Cl.Sandbox
Die Sicherheitserwägungen für einen lokalen Agenten sind immanent. Was heißt das? Im Falle von Claude Code kann dieser einfach mal eben den Schlüsselbund auslesen, wenn man ihn lässt.
Sandbox
Ein Lösungsansatz ist Sandboxing. Das Prinzip ist es den Agenten einzusperren in einer Umgebung aus der er nur mit Zustimmung ausbrechen kann und somit auch nur dann auf Ressourcen zugreift, wenn das ausdrücklich gewünscht ist. In Setup hatte ich auf einen /reddit verlinkt, der das Problem aufzeigt. Das es sich dabei um eine macOS Schlüsselbund handelt ist als Analogie zu anderen Tools auf anderen Betriebssystemen zu sehen. Oder auch Zugriff auf die Mailbox, oder …
Docker
docker bringt eine eigene Sandbox. Wie in Docker Sandboxes: Run Claude Code and Other Coding Agents Unsupervised (but Safely)
beschrieben werden alle gängigen KI-Agenten vom Prinzip her eingesperrt.
Mit der passenden Version von docker (mind. 4.58) werden die Agenten in microVMs isoliert und laufen mit jeweils einem eigenen Docker daemon. Das versetzt den Agenten in die Lage weitere Container zu laden, zu testen, deren Umgebung zu manipulieren ohne dass der Host “kontaminiert” wird.
cd ~/project-dir
docker sandbox run claude
Weitere Informationen, z.B. die Übergabe von API-KEYs an die Sandbox liefern die Dokumentationen unter:
nono.sh
Handle with care - hot stuff!
Unter macOS gibt es eine Alterntive, deren Implementierung auch für gängige Linux-Distributionen in der Planung ist. Interessierte Benutzer sollten die Webseite daher im Auge behalten.
Einen noch stringenteren Ansatz liefert nono, das nach eigenem Motto den KI-Agenten (etwas) den Wind aus den Segeln nimmt.
AI agent security that makes the dangerous bits structurally impossible.