Sandboxing von KI-Agenten mit WebAssembly: Standardmäßig keine Berechtigungen

✍️ OpenClawRadar📅 Veröffentlicht: 9. Mai 2026🔗 Source
Sandboxing von KI-Agenten mit WebAssembly: Standardmäßig keine Berechtigungen
Ad

Cosmonics Beitrag, derzeit auf HN im Trend, liefert überzeugende Argumente dafür, dass herkömmliche Linux-Sandboxing-Mechanismen — seccomp, seatbelt, bubblewrap — grundsätzlich für agentische KI-Workloads ungeeignet sind. Das Kernproblem: Umgebungsberechtigungen (ambient authority).

Das Problem der Umgebungsberechtigungen

Jede moderne Laufzeitumgebung gewährt einem Prozess die Berechtigungen seiner Umgebung: Dateisystem, Netzwerk, die Git-Anmeldedaten des Benutzers, einen AWS-API-Key in ENV. Der Prozess hat nie danach gefragt. Bei deterministischen, von Menschen geschriebenen Binärdateien kann man dieses Risiko vielleicht mit Audits in den Griff bekommen. Aber LLM-Agenten und nicht-deterministische Workflows erben die gesamte Identität und alle Fähigkeiten des Entwicklers, was eine „unerträgliche Angriffsfläche“ schafft.

Der Autor nennt dies das Kartografen-Dilemma: Man versucht, eine sich ständig verändernde Küstenlinie von Exfiltrationspfaden zu kartieren, und das LLM wird jeden unkartierten Fjord finden.

Ad

WebAssemblys Capability-Modell

Cosmonic positioniert WebAssembly und WASI als Alternative. Eine Wasm-Komponente startet mit null Berechtigungen: kein Dateisystem, kein Netzwerk, keine Syscalls, keine Umgebungsvariablen. Jede Fähigkeit muss ein typisierter Import in der Schnittstelle der Komponente sein. Dies ist Mark Millers Objekt-Capability-Modell als Laufzeitumgebung: Die Referenz ist die Berechtigung.

Wichtige Implikationen:

  • Virtualisierte Gewährungen: Eine Dateisystemberechtigung übergibt nicht /etc. Sie bietet eine Schnittstelle, die von einem beliebigen Speicher unterstützt wird (tmpfs, Sitzungs-Blob, Datenbank). Die Komponente kann die Abstraktion nicht verlassen.
  • Zusammensetzbare Fähigkeiten: Statt „das Netzwerk“ zu importieren, importiert eine Komponente wasi:http mit erlaubten Verkehrsformen oder wasi:keyvalue mit einem bestimmten Bucket. Jede Fähigkeit ist benannt, eingegrenzt und überprüfbar.

Dies verschiebt das Sicherheitsmodell von „standardmäßig erlauben, per Ausnahme einschränken“ zu „standardmäßig verbieten, explizit gewähren“. Der Autor argumentiert, dass dies die einzig solide Grundlage für die Sicherheit von KI-Agenten ist.

📖 Read the full source: HN AI Agents

Ad

👀 Siehe auch

KI-Agenten ermöglichen Solo-Hackern, Regierungen zu infiltrieren und Ransomware-Kampagnen durchzuführen
Sicherheit

KI-Agenten ermöglichen Solo-Hackern, Regierungen zu infiltrieren und Ransomware-Kampagnen durchzuführen

Ein Einzeloperateur, der Claude Code und ChatGPT einsetzte, hat 150 GB aus mexikanischen Regierungsbehörden entwendet, darunter 195 Millionen Steuerzahlerdaten. Ein weiterer Angreifer nutzte Claude Code, um eine vollständige Erpressungskampagne gegen 17 Gesundheits- und Notdiensteinrichtungen durchzuführen.

OpenClawRadar
pi-governance: RBAC, DLP und Audit-Logging für OpenClaw-Coding-Agenten
Sicherheit

pi-governance: RBAC, DLP und Audit-Logging für OpenClaw-Coding-Agenten

pi-governance ist ein Plugin, das zwischen KI-Codierungsagenten und Ihrem System sitzt, Werkzeugaufrufe klassifiziert und riskante Operationen blockiert. Es bietet Bash-Befehlssperrung, DLP-Scanning für Geheimnisse und PII, rollenbasierte Zugriffskontrolle und strukturierte Audit-Protokollierung ohne Konfiguration.

OpenClawRadar
EctoClaw: Sicherheitswerkzeug für OpenClaw-Agenten mit Terminalzugriff
Sicherheit

EctoClaw: Sicherheitswerkzeug für OpenClaw-Agenten mit Terminalzugriff

EctoClaw ist ein kostenloses Open-Source-Sicherheitstool für OpenClaw, das jede Aktion viermal überprüft, bevor sie ausgeführt wird, Aktionen in einer starken Sandbox ausführt und alles mit Nachweis aufzeichnet.

OpenClawRadar
CodeWall KI-Agent entdeckt kritische Schwachstellen in McKinseys Lilli-Plattform
Sicherheit

CodeWall KI-Agent entdeckt kritische Schwachstellen in McKinseys Lilli-Plattform

CodeWalls autonomer offensiver KI-Agent erhielt innerhalb von 2 Stunden vollständigen Lese-/Schreibzugriff auf McKinseys interne Lilli-KI-Plattform-Datenbank und legte 46,5 Millionen Chat-Nachrichten, 728.000 Dateien und sensible Systemkonfigurationen durch SQL-Injection- und IDOR-Schwachstellen offen.

OpenClawRadar