NanoClaws Sicherheitsmodell für KI-Agenten: Container-Isolation und minimaler Code

✍️ OpenClawRadar📅 Veröffentlicht: 28. Februar 2026🔗 Source
NanoClaws Sicherheitsmodell für KI-Agenten: Container-Isolation und minimaler Code
Ad

NanoClaws Sicherheitsarchitektur für nicht vertrauenswürdige KI-Agenten

Der NanoClaw-Blog argumentiert, dass KI-Agenten als nicht vertrauenswürdig und potenziell bösartig behandelt werden sollten, und plädiert für architektonische Abschottung statt anwendungsbasierter Berechtigungsprüfungen. Das System basiert auf dem Prinzip, dass Agenten sich fehlverhalten werden, und konzentriert sich darauf, den Schaden zu begrenzen, wenn sie es tun.

Container-Isolation als Kern der Sicherheit

NanoClaw führt jeden Agenten in seinem eigenen Container mit Docker oder Apple Container unter macOS aus. Diese Container sind kurzlebig – bei jedem Aufruf neu erstellt und anschließend zerstört. Agenten laufen als eingeschränkte Benutzer und können nur auf explizit eingebundene Verzeichnisse zugreifen. Dies steht im Gegensatz zum Standardansatz von OpenClaw, bei dem Agenten direkt auf dem Host-System laufen, mit einem optionalen Docker-Sandbox-Modus, den die meisten Nutzer nie aktivieren.

Die Containergrenze bietet hermetische Sicherheit, die vom Betriebssystem durchgesetzt wird und verhindert, dass Agenten entkommen, unabhängig von der Konfiguration. Jeder Agent erhält seinen eigenen Container, sein eigenes Dateisystem und seine eigene Claude-Sitzungshistorie, was Informationslecks zwischen Agenten verhindert, die auf unterschiedliche Daten zugreifen sollen.

Ad

Mount-Allowlist und Standard-Schutzmaßnahmen

Eine Mount-Allowlist unter ~/.config/nanoclaw/mount-allowlist.json dient als Verteidigung in der Tiefe und verhindert, dass Nutzer versehentlich sensible Pfade einbinden. Sensible Verzeichnisse wie .ssh, .gnupg, .aws, .env, private_key und credentials sind standardmäßig blockiert. Die Allowlist liegt außerhalb des Projektverzeichnisses, sodass kompromittierte Agenten ihre eigenen Berechtigungen nicht ändern können.

Der Host-Anwendungscode wird schreibgeschützt eingebunden, sodass nichts, was ein Agent tut, nach der Zerstörung des Containers bestehen bleibt. Nicht-Hauptgruppen sind standardmäßig nicht vertrauenswürdig, was gruppenübergreifende Nachrichten, Aufgabenplanung oder Datenanzeige verhindert, um vor Prompt-Injection durch Gruppenmitglieder zu schützen.

Minimale, überprüfbare Codebasis

NanoClaw hält eine bewusst minimale Codebasis von einem Prozess und einer Handvoll Dateien aufrecht, im Gegensatz zu OpenClaws etwa 400.000 Codezeilen, 53 Konfigurationsdateien und über 70 Abhängigkeiten. Das System verlässt sich stark auf Anthropics Agent SDK für Sitzungsverwaltung, Speicherkomprimierung und andere Funktionen, anstatt Komponenten neu zu erfinden.

Dieses Design ermöglicht es einem kompetenten Entwickler, die gesamte Codebasis an einem Nachmittag zu überprüfen. Beitragsrichtlinien akzeptieren nur Fehlerbehebungen, Sicherheitskorrekturen und Vereinfachungen. Neue Funktionalität kommt über Skills – Anleitungen mit vollständigen funktionierenden Referenzimplementierungen, die programmierende Agenten nach Überprüfung in Codebasen einfügen.

Jede Installation besteht am Ende aus ein paar tausend Codezeilen, die auf die spezifischen Bedürfnisse des Eigentümers zugeschnitten sind, und vermeidet die Komplexität, in der sich Schwachstellen typischerweise verbergen.

📖 Read the full source: HN LLM Tools

Ad

👀 Siehe auch

Sieb: Lokaler geheimer Scanner für KI-Coding-Tool-Chatverläufe
Sicherheit

Sieb: Lokaler geheimer Scanner für KI-Coding-Tool-Chatverläufe

Sieve durchsucht Cursor-, Claude Code-, Copilot- und andere KI-Chatverläufe nach durchgesickerten API-Schlüsseln und Tokens. Die gesamte Überprüfung erfolgt lokal, mit Schwärzung und macOS-Schlüsselbund-Vault.

OpenClawRadar
Gefälschte Claude-Website verbreitet PlugX-Malware über Sideloading-Angriff
Sicherheit

Gefälschte Claude-Website verbreitet PlugX-Malware über Sideloading-Angriff

Eine gefälschte Claude-Website bietet einen trojanisierten Installer an, der PlugX-Malware durch DLL-Sideloading einschleust und Angreifern Fernzugriff auf kompromittierte Systeme ermöglicht. Der Angriff nutzt einen legitimen G DATA Antivirus-Updater mit gültiger Signatur, um schädlichen Code zu laden.

OpenClawRadar
Claude Cage: Docker-Sandbox für Claude-Code-Sicherheit
Sicherheit

Claude Cage: Docker-Sandbox für Claude-Code-Sicherheit

Ein Entwickler hat einen Docker-Container namens Claude Cage erstellt, der Claude Code auf einen einzigen Arbeitsbereich-Ordner beschränkt und so den Zugriff auf SSH-Schlüssel, AWS-Zugangsdaten und persönliche Dateien verhindert. Das Setup umfasst Sicherheitsregeln und dauert etwa 2 Minuten bei installiertem Docker.

OpenClawRadar
Windows-Notizblock-App Remote Code Execution-Sicherheitsanfälligkeit CVE-2026-20841
Sicherheit

Windows-Notizblock-App Remote Code Execution-Sicherheitsanfälligkeit CVE-2026-20841

CVE-2026-20841 ist eine Remote-Code-Ausführungsanfälligkeit in der Windows-Notepad-App. Details und Schritte zur Minderung sind im Update-Leitfaden des Microsoft Security Response Center verfügbar.

OpenClawRadar