NanoClaws Sicherheitsmodell für KI-Agenten: Container-Isolation und minimaler Code

NanoClaws Sicherheitsarchitektur für nicht vertrauenswürdige KI-Agenten
Der NanoClaw-Blog argumentiert, dass KI-Agenten als nicht vertrauenswürdig und potenziell bösartig behandelt werden sollten, und plädiert für architektonische Abschottung statt anwendungsbasierter Berechtigungsprüfungen. Das System basiert auf dem Prinzip, dass Agenten sich fehlverhalten werden, und konzentriert sich darauf, den Schaden zu begrenzen, wenn sie es tun.
Container-Isolation als Kern der Sicherheit
NanoClaw führt jeden Agenten in seinem eigenen Container mit Docker oder Apple Container unter macOS aus. Diese Container sind kurzlebig – bei jedem Aufruf neu erstellt und anschließend zerstört. Agenten laufen als eingeschränkte Benutzer und können nur auf explizit eingebundene Verzeichnisse zugreifen. Dies steht im Gegensatz zum Standardansatz von OpenClaw, bei dem Agenten direkt auf dem Host-System laufen, mit einem optionalen Docker-Sandbox-Modus, den die meisten Nutzer nie aktivieren.
Die Containergrenze bietet hermetische Sicherheit, die vom Betriebssystem durchgesetzt wird und verhindert, dass Agenten entkommen, unabhängig von der Konfiguration. Jeder Agent erhält seinen eigenen Container, sein eigenes Dateisystem und seine eigene Claude-Sitzungshistorie, was Informationslecks zwischen Agenten verhindert, die auf unterschiedliche Daten zugreifen sollen.
Mount-Allowlist und Standard-Schutzmaßnahmen
Eine Mount-Allowlist unter ~/.config/nanoclaw/mount-allowlist.json dient als Verteidigung in der Tiefe und verhindert, dass Nutzer versehentlich sensible Pfade einbinden. Sensible Verzeichnisse wie .ssh, .gnupg, .aws, .env, private_key und credentials sind standardmäßig blockiert. Die Allowlist liegt außerhalb des Projektverzeichnisses, sodass kompromittierte Agenten ihre eigenen Berechtigungen nicht ändern können.
Der Host-Anwendungscode wird schreibgeschützt eingebunden, sodass nichts, was ein Agent tut, nach der Zerstörung des Containers bestehen bleibt. Nicht-Hauptgruppen sind standardmäßig nicht vertrauenswürdig, was gruppenübergreifende Nachrichten, Aufgabenplanung oder Datenanzeige verhindert, um vor Prompt-Injection durch Gruppenmitglieder zu schützen.
Minimale, überprüfbare Codebasis
NanoClaw hält eine bewusst minimale Codebasis von einem Prozess und einer Handvoll Dateien aufrecht, im Gegensatz zu OpenClaws etwa 400.000 Codezeilen, 53 Konfigurationsdateien und über 70 Abhängigkeiten. Das System verlässt sich stark auf Anthropics Agent SDK für Sitzungsverwaltung, Speicherkomprimierung und andere Funktionen, anstatt Komponenten neu zu erfinden.
Dieses Design ermöglicht es einem kompetenten Entwickler, die gesamte Codebasis an einem Nachmittag zu überprüfen. Beitragsrichtlinien akzeptieren nur Fehlerbehebungen, Sicherheitskorrekturen und Vereinfachungen. Neue Funktionalität kommt über Skills – Anleitungen mit vollständigen funktionierenden Referenzimplementierungen, die programmierende Agenten nach Überprüfung in Codebasen einfügen.
Jede Installation besteht am Ende aus ein paar tausend Codezeilen, die auf die spezifischen Bedürfnisse des Eigentümers zugeschnitten sind, und vermeidet die Komplexität, in der sich Schwachstellen typischerweise verbergen.
📖 Read the full source: HN LLM Tools
👀 Siehe auch

Sieb: Lokaler geheimer Scanner für KI-Coding-Tool-Chatverläufe
Sieve durchsucht Cursor-, Claude Code-, Copilot- und andere KI-Chatverläufe nach durchgesickerten API-Schlüsseln und Tokens. Die gesamte Überprüfung erfolgt lokal, mit Schwärzung und macOS-Schlüsselbund-Vault.

Gefälschte Claude-Website verbreitet PlugX-Malware über Sideloading-Angriff
Eine gefälschte Claude-Website bietet einen trojanisierten Installer an, der PlugX-Malware durch DLL-Sideloading einschleust und Angreifern Fernzugriff auf kompromittierte Systeme ermöglicht. Der Angriff nutzt einen legitimen G DATA Antivirus-Updater mit gültiger Signatur, um schädlichen Code zu laden.

Claude Cage: Docker-Sandbox für Claude-Code-Sicherheit
Ein Entwickler hat einen Docker-Container namens Claude Cage erstellt, der Claude Code auf einen einzigen Arbeitsbereich-Ordner beschränkt und so den Zugriff auf SSH-Schlüssel, AWS-Zugangsdaten und persönliche Dateien verhindert. Das Setup umfasst Sicherheitsregeln und dauert etwa 2 Minuten bei installiertem Docker.

Windows-Notizblock-App Remote Code Execution-Sicherheitsanfälligkeit CVE-2026-20841
CVE-2026-20841 ist eine Remote-Code-Ausführungsanfälligkeit in der Windows-Notepad-App. Details und Schritte zur Minderung sind im Update-Leitfaden des Microsoft Security Response Center verfügbar.