Anthropic Sandbox Runtime (srt) – leichtgewichtige Sandbox für KI

xguru · 2026-01-12T09:46:02+09:00

Eine Forschungs-Sandbox-Runtime, entwickelt, um eine sichere Ausführungsumgebung für KI-Agenten zu gewährleisten Leichtgewichtige Architektur, die native Sandboxing-Primitiven des Betriebssystems ohne Container nutzt, um Agenten, lokale Server oder CLI-Befehle sicher zu isolieren Unter macOS werden sandbox-exec und Seatbelt-Profile, unter Linux namespace-basierte Isolation auf Basis von bubblewrap verwendet Netzwerkverkehr wird über einen Proxy-Server gefiltert, sodass nur freigegebene Domains erreichbar sind Nach der Philosophie secure-by-default wird mit minimalen Rechten gestartet Allow-only-/Deny-only-Muster, bei denen nur benötigte Dateien oder Netzwerkpfade explizit erlaubt werden Hauptfunktionen Network restrictions: Steuerung der erreichbaren Domains für HTTP/HTTPS und andere Protokolle Filesystem restrictions: Festlegung der les- und schreibbaren Dateien und Verzeichnisse Unix socket restrictions: Einschränkung des Zugriffs auf lokale IPC-Sockets Violation monitoring: Bietet unter macOS eine Echtzeitüberwachung von Verstoß-Logs Unterstützung für MCP-Server-Sandboxing Model Context Protocol-Server können mit srt umhüllt und ausgeführt werden, um Datei- und Netzwerkrechte einzuschränken In der Konfigurationsdatei (~/.srt-settings.json) lassen sich detaillierte Zugriffsrichtlinien definieren Dual Isolation Model zur gleichzeitigen Isolation von Dateisystem und Netzwerk Dateisystem-Isolation: Lesen ist standardmäßig erlaubt, Schreiben erfordert eine explizite Freigabe Netzwerk-Isolation: Standardmäßig ist jeder Zugriff blockiert, nur freigegebene Domains können kommunizieren Unterstützt sowohl CLI als auch Bibliothek Bei der Ausführung von Befehlen mit srt wird die Sandbox automatisch angewendet In Node.js-Umgebungen ist programmatische Steuerung über die SandboxManager-API möglich Erweiterbare Netzwerkfilterung Statt des Standard-Proxys kann ein benutzerdefinierter Proxy (z. B. mitmproxy) angebunden werden Damit lassen sich Traffic-Inspektion, Audit-Logging und granulare Filterlogik umsetzen Plattformunterstützung Vollständige Unterstützung für macOS und Linux Windows wird derzeit noch nicht unterstützt Unter Linux werden Abhängigkeiten wie bubblewrap, socat, ripgrep usw. benötigt

(github.com/anthropic-experimental)

11 Punkte von xguru 2026-01-12 | 3 Kommentare | Auf WhatsApp teilen

Eine Forschungs-Sandbox-Runtime, entwickelt, um eine sichere Ausführungsumgebung für KI-Agenten zu gewährleisten
Leichtgewichtige Architektur, die native Sandboxing-Primitiven des Betriebssystems ohne Container nutzt, um Agenten, lokale Server oder CLI-Befehle sicher zu isolieren
Unter macOS werden sandbox-exec und Seatbelt-Profile, unter Linux namespace-basierte Isolation auf Basis von bubblewrap verwendet
- Netzwerkverkehr wird über einen Proxy-Server gefiltert, sodass nur freigegebene Domains erreichbar sind
Nach der Philosophie secure-by-default wird mit minimalen Rechten gestartet
- Allow-only-/Deny-only-Muster, bei denen nur benötigte Dateien oder Netzwerkpfade explizit erlaubt werden
Hauptfunktionen
- Network restrictions: Steuerung der erreichbaren Domains für HTTP/HTTPS und andere Protokolle
- Filesystem restrictions: Festlegung der les- und schreibbaren Dateien und Verzeichnisse
- Unix socket restrictions: Einschränkung des Zugriffs auf lokale IPC-Sockets
- Violation monitoring: Bietet unter macOS eine Echtzeitüberwachung von Verstoß-Logs
Unterstützung für MCP-Server-Sandboxing
- Model Context Protocol-Server können mit srt umhüllt und ausgeführt werden, um Datei- und Netzwerkrechte einzuschränken
- In der Konfigurationsdatei (~/.srt-settings.json) lassen sich detaillierte Zugriffsrichtlinien definieren
Dual Isolation Model zur gleichzeitigen Isolation von Dateisystem und Netzwerk
- Dateisystem-Isolation: Lesen ist standardmäßig erlaubt, Schreiben erfordert eine explizite Freigabe
- Netzwerk-Isolation: Standardmäßig ist jeder Zugriff blockiert, nur freigegebene Domains können kommunizieren
Unterstützt sowohl CLI als auch Bibliothek
- Bei der Ausführung von Befehlen mit srt wird die Sandbox automatisch angewendet
- In Node.js-Umgebungen ist programmatische Steuerung über die SandboxManager-API möglich
Erweiterbare Netzwerkfilterung
- Statt des Standard-Proxys kann ein benutzerdefinierter Proxy (z. B. mitmproxy) angebunden werden
- Damit lassen sich Traffic-Inspektion, Audit-Logging und granulare Filterlogik umsetzen
Plattformunterstützung
- Vollständige Unterstützung für macOS und Linux
- Windows wird derzeit noch nicht unterstützt
- Unter Linux werden Abhängigkeiten wie bubblewrap, socat, ripgrep usw. benötigt

3 Kommentare

m00nlygreat 2026-01-12

Windows bleibt wie immer auf der Strecke. MS muss endlich aufwachen. Auch wenn ich nicht glaube, dass das jetzt noch viel ändern würde.

crawler 2026-01-12

Das hätte wohl zusammen mit MCP erscheinen sollen, aber dass es erst an eine Open-Source-Stiftung übergeben wird und dann erscheint, wirkt schon ziemlich spät.
Und dann wird nicht einmal Windows unterstützt, schluchz

fastkoder 2026-01-12

Sie entwickeln wirklich Schritt für Schritt genau das, was man braucht.

Anthropic Sandbox Runtime (srt) – leichtgewichtige Sandbox für KI

Verwandte Beiträge

3 Kommentare