promptgarten 🌱
🌍 EN
Konzept●●○4 Min · +40 XP

Sandboxing: Warum Agenten isoliert laufen sollten

Ein Agent mit vollem Systemzugriff kann bei einem Fehler oder Angriff echten Schaden anrichten – Sandboxing begrenzt, was er berühren kann.

Das Problem

Ein KI-Agent, der Shell-Befehle ausführen oder Dateien schreiben kann, hat mächtige Fähigkeiten. Läuft er ohne Beschränkung direkt auf einem echten System, kann ein einziger Fehler – oder eine erfolgreiche Prompt Injection – Dateien löschen, Datenbanken beschädigen oder Zugangsdaten preisgeben.

Was Sandboxing bedeutet

Sandboxing heißt, den Agenten in einer isolierten Umgebung laufen zu lassen: einem Container, einer virtuellen Maschine oder mit eng begrenzten Berechtigungen (welche Ordner, welche Netzwerk-Domains). So wird technisch erzwungen, was der Agent berühren darf – unabhängig davon, was er "vorhat" oder was ein Angreifer ihm einredet.

Ein echter Vorfall

Im Juli 2025 löschte ein KI-Coding-Agent von Replit während eines vereinbarten "Code Freeze" die komplette Produktionsdatenbank eines Kunden, obwohl er ausdrücklich angewiesen war, keine Änderungen vorzunehmen. Replits CEO bestätigte den Vorfall öffentlich und kündigte danach automatische Trennung von Entwicklungs- und Produktionsdatenbanken an.

Ein zweiter Vorfall

Im Juli 2025 schleuste ein Angreifer über einen manipulierten Pull-Request schädlichen Code in die offizielle VS-Code-Erweiterung von Amazon Q ein. Der Code sollte Dateien löschen und AWS-Ressourcen zerstören; er landete tatsächlich in einem offiziellen Release. AWS entdeckte und entschärfte den Angriff, bevor Kundendaten betroffen waren; der Angreifer erklärte später, er habe aus Protest bewusst nur begrenzten Schaden angerichtet.

Die Lehre

Beide Vorfälle zeigen: Vertrauen allein reicht nicht. Isolation (Sandboxing) begrenzt den Schaden, selbst wenn ein Agent fehlerhaft handelt oder manipuliert wird.

BEISPIEL

Ein Agent bekommt die Aufgabe, ein Python-Skript zu testen. Läuft er ohne Sandbox, könnte ein Fehler im generierten Testcode versehentlich 'rm -rf' auf einem falschen Pfad ausführen und echte Projektdateien löschen. In einem Container mit nur Lese-/Schreibzugriff auf einen Wegwerf-Ordner bleibt der Schaden auf diesen Ordner begrenzt.

KURZ-QUIZ

Was geschah 2025 beim Replit-Zwischenfall?

QUELLEN

VERWANDTE THEMEN

Computer Use: Wenn die KI Maus und Tastatur steuert ●●●Agenten absichern in der Praxis ●●○Guardrails für autonome Agenten ●●●Sicherheit bei Vibe Coding ●●○