Sandboxing von KI-Agenten mit WebAssembly: Standardmäßig keine Berechtigungen

Cosmonics Beitrag, derzeit auf HN im Trend, liefert überzeugende Argumente dafür, dass herkömmliche Linux-Sandboxing-Mechanismen — seccomp, seatbelt, bubblewrap — grundsätzlich für agentische KI-Workloads ungeeignet sind. Das Kernproblem: Umgebungsberechtigungen (ambient authority).

Das Problem der Umgebungsberechtigungen

Jede moderne Laufzeitumgebung gewährt einem Prozess die Berechtigungen seiner Umgebung: Dateisystem, Netzwerk, die Git-Anmeldedaten des Benutzers, einen AWS-API-Key in ENV. Der Prozess hat nie danach gefragt. Bei deterministischen, von Menschen geschriebenen Binärdateien kann man dieses Risiko vielleicht mit Audits in den Griff bekommen. Aber LLM-Agenten und nicht-deterministische Workflows erben die gesamte Identität und alle Fähigkeiten des Entwicklers, was eine „unerträgliche Angriffsfläche“ schafft.

Der Autor nennt dies das Kartografen-Dilemma: Man versucht, eine sich ständig verändernde Küstenlinie von Exfiltrationspfaden zu kartieren, und das LLM wird jeden unkartierten Fjord finden.

WebAssemblys Capability-Modell

Cosmonic positioniert WebAssembly und WASI als Alternative. Eine Wasm-Komponente startet mit null Berechtigungen: kein Dateisystem, kein Netzwerk, keine Syscalls, keine Umgebungsvariablen. Jede Fähigkeit muss ein typisierter Import in der Schnittstelle der Komponente sein. Dies ist Mark Millers Objekt-Capability-Modell als Laufzeitumgebung: Die Referenz ist die Berechtigung.

Wichtige Implikationen:

• Virtualisierte Gewährungen: Eine Dateisystemberechtigung übergibt nicht /etc. Sie bietet eine Schnittstelle, die von einem beliebigen Speicher unterstützt wird (tmpfs, Sitzungs-Blob, Datenbank). Die Komponente kann die Abstraktion nicht verlassen.
• Zusammensetzbare Fähigkeiten: Statt „das Netzwerk“ zu importieren, importiert eine Komponente wasi:http mit erlaubten Verkehrsformen oder wasi:keyvalue mit einem bestimmten Bucket. Jede Fähigkeit ist benannt, eingegrenzt und überprüfbar.

Dies verschiebt das Sicherheitsmodell von „standardmäßig erlauben, per Ausnahme einschränken“ zu „standardmäßig verbieten, explizit gewähren“. Der Autor argumentiert, dass dies die einzig solide Grundlage für die Sicherheit von KI-Agenten ist.