NanoClaws Sicherheitsmodell für KI-Agenten: Container-Isolation und minimaler Code

NanoClaws Sicherheitsarchitektur für nicht vertrauenswürdige KI-Agenten

Der NanoClaw-Blog argumentiert, dass KI-Agenten als nicht vertrauenswürdig und potenziell bösartig behandelt werden sollten, und plädiert für architektonische Abschottung statt anwendungsbasierter Berechtigungsprüfungen. Das System basiert auf dem Prinzip, dass Agenten sich fehlverhalten werden, und konzentriert sich darauf, den Schaden zu begrenzen, wenn sie es tun.

Container-Isolation als Kern der Sicherheit

NanoClaw führt jeden Agenten in seinem eigenen Container mit Docker oder Apple Container unter macOS aus. Diese Container sind kurzlebig – bei jedem Aufruf neu erstellt und anschließend zerstört. Agenten laufen als eingeschränkte Benutzer und können nur auf explizit eingebundene Verzeichnisse zugreifen. Dies steht im Gegensatz zum Standardansatz von OpenClaw, bei dem Agenten direkt auf dem Host-System laufen, mit einem optionalen Docker-Sandbox-Modus, den die meisten Nutzer nie aktivieren.

Die Containergrenze bietet hermetische Sicherheit, die vom Betriebssystem durchgesetzt wird und verhindert, dass Agenten entkommen, unabhängig von der Konfiguration. Jeder Agent erhält seinen eigenen Container, sein eigenes Dateisystem und seine eigene Claude-Sitzungshistorie, was Informationslecks zwischen Agenten verhindert, die auf unterschiedliche Daten zugreifen sollen.

Mount-Allowlist und Standard-Schutzmaßnahmen

Eine Mount-Allowlist unter ~/.config/nanoclaw/mount-allowlist.json dient als Verteidigung in der Tiefe und verhindert, dass Nutzer versehentlich sensible Pfade einbinden. Sensible Verzeichnisse wie .ssh, .gnupg, .aws, .env, private_key und credentials sind standardmäßig blockiert. Die Allowlist liegt außerhalb des Projektverzeichnisses, sodass kompromittierte Agenten ihre eigenen Berechtigungen nicht ändern können.

Der Host-Anwendungscode wird schreibgeschützt eingebunden, sodass nichts, was ein Agent tut, nach der Zerstörung des Containers bestehen bleibt. Nicht-Hauptgruppen sind standardmäßig nicht vertrauenswürdig, was gruppenübergreifende Nachrichten, Aufgabenplanung oder Datenanzeige verhindert, um vor Prompt-Injection durch Gruppenmitglieder zu schützen.

Minimale, überprüfbare Codebasis

NanoClaw hält eine bewusst minimale Codebasis von einem Prozess und einer Handvoll Dateien aufrecht, im Gegensatz zu OpenClaws etwa 400.000 Codezeilen, 53 Konfigurationsdateien und über 70 Abhängigkeiten. Das System verlässt sich stark auf Anthropics Agent SDK für Sitzungsverwaltung, Speicherkomprimierung und andere Funktionen, anstatt Komponenten neu zu erfinden.

Dieses Design ermöglicht es einem kompetenten Entwickler, die gesamte Codebasis an einem Nachmittag zu überprüfen. Beitragsrichtlinien akzeptieren nur Fehlerbehebungen, Sicherheitskorrekturen und Vereinfachungen. Neue Funktionalität kommt über Skills – Anleitungen mit vollständigen funktionierenden Referenzimplementierungen, die programmierende Agenten nach Überprüfung in Codebasen einfügen.

Jede Installation besteht am Ende aus ein paar tausend Codezeilen, die auf die spezifischen Bedürfnisse des Eigentümers zugeschnitten sind, und vermeidet die Komplexität, in der sich Schwachstellen typischerweise verbergen.