- Eine Forschungs-Sandbox-Runtime, entwickelt, um eine sichere Ausführungsumgebung für KI-Agenten zu gewährleisten
- Leichtgewichtige Architektur, die native Sandboxing-Primitiven des Betriebssystems ohne Container nutzt, um Agenten, lokale Server oder CLI-Befehle sicher zu isolieren
- Unter macOS werden
sandbox-exec und Seatbelt-Profile, unter Linux namespace-basierte Isolation auf Basis von bubblewrap verwendet
- Netzwerkverkehr wird über einen Proxy-Server gefiltert, sodass nur freigegebene Domains erreichbar sind
- Nach der Philosophie secure-by-default wird mit minimalen Rechten gestartet
- Allow-only-/Deny-only-Muster, bei denen nur benötigte Dateien oder Netzwerkpfade explizit erlaubt werden
- Hauptfunktionen
- Network restrictions: Steuerung der erreichbaren Domains für HTTP/HTTPS und andere Protokolle
- Filesystem restrictions: Festlegung der les- und schreibbaren Dateien und Verzeichnisse
- Unix socket restrictions: Einschränkung des Zugriffs auf lokale IPC-Sockets
- Violation monitoring: Bietet unter macOS eine Echtzeitüberwachung von Verstoß-Logs
- Unterstützung für MCP-Server-Sandboxing
- Model Context Protocol-Server können mit
srt umhüllt und ausgeführt werden, um Datei- und Netzwerkrechte einzuschränken
- In der Konfigurationsdatei (
~/.srt-settings.json) lassen sich detaillierte Zugriffsrichtlinien definieren
- Dual Isolation Model zur gleichzeitigen Isolation von Dateisystem und Netzwerk
- Dateisystem-Isolation: Lesen ist standardmäßig erlaubt, Schreiben erfordert eine explizite Freigabe
- Netzwerk-Isolation: Standardmäßig ist jeder Zugriff blockiert, nur freigegebene Domains können kommunizieren
- Unterstützt sowohl CLI als auch Bibliothek
- Bei der Ausführung von Befehlen mit
srt wird die Sandbox automatisch angewendet
- In Node.js-Umgebungen ist programmatische Steuerung über die
SandboxManager-API möglich
- Erweiterbare Netzwerkfilterung
- Statt des Standard-Proxys kann ein benutzerdefinierter Proxy (z. B. mitmproxy) angebunden werden
- Damit lassen sich Traffic-Inspektion, Audit-Logging und granulare Filterlogik umsetzen
- Plattformunterstützung
- Vollständige Unterstützung für macOS und Linux
- Windows wird derzeit noch nicht unterstützt
- Unter Linux werden Abhängigkeiten wie
bubblewrap, socat, ripgrep usw. benötigt
Noch keine Kommentare.