Entwickler baut Firecracker MicroVM-Sandbox für OpenClaw Security

Ein Entwickler auf r/openclaw baute eine sicherheitsorientierte Sandbox für die Ausführung von OpenClaw-Agenten, nachdem er Bedenken hatte, LLMs beliebigen Python-Code lokal ausführen zu lassen. Die Lösung nutzt Firecracker-MicroVMs, die gleiche Technologie, die auch AWS Lambda antreibt.

Wichtige Details zum Aufbau

Der Entwickler versuchte zunächst NemoClaw, stellte jedoch fest, dass es 8-16 GB RAM benötigte und weiterhin Container verwendete, was seinen Sicherheitsanforderungen nicht entsprach. Die Firecracker-basierte Lösung bietet:

• Jedes Skript läuft in seiner eigenen Linux-Kernel-Isolierung
• Kaltstartzeit unter 150 ms
• Harte RAM-Begrenzung von 128 MB pro VM
• Kein Netzwerkzugriff, es sei denn, er wird explizit aktiviert
• Die VM wird nach Abschluss der Skriptausführung beendet
• Ausgabestreams werden aus der isolierten Umgebung zurückgesendet

Das System ist so konzipiert, dass Code in der MicroVM ausgeführt wird, Ausgabestreams zum Host zurückfließen und die VM dann beendet wird. Dieser Ansatz bietet Kernel-Level-Isolierung anstelle von containerbasierter Sicherheit.

Zukünftige Pläne

Der Entwickler plant als Nächstes den Aufbau von Compute-Profilen, die es Agenten ermöglichen, je nach Aufgabenanforderungen verschiedene VM-Konfigurationen anzufordern. Beispielsweise könnte eine "schwere" VM für Datenverarbeitung mit pandas hochgefahren werden, während einfache Mathe-Skripte die standardmäßige kleine Konfiguration verwenden würden.

Der Beitrag bittet um Feedback der Community, ob dieses Maß an Isolierung für den lokalen Agenteneinsatz praktikabel ist oder eine Übertechnisierung aus Sicherheitsgründen darstellt.