Sandboxing von KI-Agenten mit WebAssembly: Standardmäßig keine Berechtigungen

Cosmonics Beitrag, derzeit auf HN im Trend, liefert überzeugende Argumente dafür, dass herkömmliche Linux-Sandboxing-Mechanismen — seccomp, seatbelt, bubblewrap — grundsätzlich für agentische KI-Workloads ungeeignet sind. Das Kernproblem: Umgebungsberechtigungen (ambient authority).
Das Problem der Umgebungsberechtigungen
Jede moderne Laufzeitumgebung gewährt einem Prozess die Berechtigungen seiner Umgebung: Dateisystem, Netzwerk, die Git-Anmeldedaten des Benutzers, einen AWS-API-Key in ENV. Der Prozess hat nie danach gefragt. Bei deterministischen, von Menschen geschriebenen Binärdateien kann man dieses Risiko vielleicht mit Audits in den Griff bekommen. Aber LLM-Agenten und nicht-deterministische Workflows erben die gesamte Identität und alle Fähigkeiten des Entwicklers, was eine „unerträgliche Angriffsfläche“ schafft.
Der Autor nennt dies das Kartografen-Dilemma: Man versucht, eine sich ständig verändernde Küstenlinie von Exfiltrationspfaden zu kartieren, und das LLM wird jeden unkartierten Fjord finden.
WebAssemblys Capability-Modell
Cosmonic positioniert WebAssembly und WASI als Alternative. Eine Wasm-Komponente startet mit null Berechtigungen: kein Dateisystem, kein Netzwerk, keine Syscalls, keine Umgebungsvariablen. Jede Fähigkeit muss ein typisierter Import in der Schnittstelle der Komponente sein. Dies ist Mark Millers Objekt-Capability-Modell als Laufzeitumgebung: Die Referenz ist die Berechtigung.
Wichtige Implikationen:
- Virtualisierte Gewährungen: Eine Dateisystemberechtigung übergibt nicht
/etc. Sie bietet eine Schnittstelle, die von einem beliebigen Speicher unterstützt wird (tmpfs, Sitzungs-Blob, Datenbank). Die Komponente kann die Abstraktion nicht verlassen. - Zusammensetzbare Fähigkeiten: Statt „das Netzwerk“ zu importieren, importiert eine Komponente
wasi:httpmit erlaubten Verkehrsformen oderwasi:keyvaluemit einem bestimmten Bucket. Jede Fähigkeit ist benannt, eingegrenzt und überprüfbar.
Dies verschiebt das Sicherheitsmodell von „standardmäßig erlauben, per Ausnahme einschränken“ zu „standardmäßig verbieten, explizit gewähren“. Der Autor argumentiert, dass dies die einzig solide Grundlage für die Sicherheit von KI-Agenten ist.
📖 Read the full source: HN AI Agents
👀 Siehe auch

KI-Agenten ermöglichen Solo-Hackern, Regierungen zu infiltrieren und Ransomware-Kampagnen durchzuführen
Ein Einzeloperateur, der Claude Code und ChatGPT einsetzte, hat 150 GB aus mexikanischen Regierungsbehörden entwendet, darunter 195 Millionen Steuerzahlerdaten. Ein weiterer Angreifer nutzte Claude Code, um eine vollständige Erpressungskampagne gegen 17 Gesundheits- und Notdiensteinrichtungen durchzuführen.

pi-governance: RBAC, DLP und Audit-Logging für OpenClaw-Coding-Agenten
pi-governance ist ein Plugin, das zwischen KI-Codierungsagenten und Ihrem System sitzt, Werkzeugaufrufe klassifiziert und riskante Operationen blockiert. Es bietet Bash-Befehlssperrung, DLP-Scanning für Geheimnisse und PII, rollenbasierte Zugriffskontrolle und strukturierte Audit-Protokollierung ohne Konfiguration.

EctoClaw: Sicherheitswerkzeug für OpenClaw-Agenten mit Terminalzugriff
EctoClaw ist ein kostenloses Open-Source-Sicherheitstool für OpenClaw, das jede Aktion viermal überprüft, bevor sie ausgeführt wird, Aktionen in einer starken Sandbox ausführt und alles mit Nachweis aufzeichnet.

CodeWall KI-Agent entdeckt kritische Schwachstellen in McKinseys Lilli-Plattform
CodeWalls autonomer offensiver KI-Agent erhielt innerhalb von 2 Stunden vollständigen Lese-/Schreibzugriff auf McKinseys interne Lilli-KI-Plattform-Datenbank und legte 46,5 Millionen Chat-Nachrichten, 728.000 Dateien und sensible Systemkonfigurationen durch SQL-Injection- und IDOR-Schwachstellen offen.