Leichtgewichtige sichere Runtime für autonome Agenten

Eine Runtime, um autonome Agenten wie OpenClaw sicher zu nutzen.

Autonome Agenten haben einen größeren Handlungsspielraum als herkömmliche Agenten und sind dadurch deutlich nützlicher einsetzbar. Gleichzeitig benötigen sie jedoch weitreichende Berechtigungen, weshalb ihr Einsatz ohne Schutzmechanismen problematisch ist: Falsche API-Aufrufe oder übermäßige Rechte wie rm -rf sind riskant. Tatsächlich wurden bei OpenClaw bereits schwerwiegende Sicherheitsvorfälle festgestellt, darunter das versehentliche Löschen echter Dateien oder die Ausführung von Schadcode in Clawhub.

Ich wollte OpenClaw über eine AWS-Instanz nutzen. Bei bestehenden Sicherheitsmaßnahmen wie NVIDIA NemoClaw gab es jedoch Hardware-Abhängigkeiten, und faktisch musste Infrastruktur wie Kubernetes verwaltet werden. Ein einfacher Betrieb in Docker war ebenfalls schwierig, da es ursprünglich als einfacher Container konzipiert ist und dadurch Policy-Design sowie Berechtigungskontrolle erschwert werden.

Daher habe ich ohne zusätzliche Infrastruktur eine leichtgewichtige Sicherheits-Schicht entwickelt, die aus zwei Rust-Binärdateien besteht. Sie hat keine weiteren Abhängigkeiten und funktioniert auch in anderen Umgebungen, empfohlen wird jedoch Linux, da Linux-Kernel-Funktionen genutzt werden.

Die technischen Bestandteile dieses Projekts sind wie folgt:

1. Ein Proxy, der sämtlichen ausgehenden HTTP/HTTPS-Traffic anhand der Policy in allow / deny / delay usw. klassifiziert
2. seccomp-bpf und Namespace-Isolation, um zu verhindern, dass der Agent den Proxy umgeht
3. Verhinderung des Missbrauchs von Syscall-Berechtigungen durch den Agenten sowie Unterbindung direkter Arbeit an lokalen Dateien mittels overlayfs
4. Verhinderung von Leaks durch Secret Injection, sodass der Agent API-Keys nicht kennen kann

Ausführlichere technische Implementierungsdetails sind auf GitHub nach Bereichen getrennt dokumentiert. Grundlegende Stresstests wie Speichersicherheit und das Verhindern verwaister Zustände beim Beenden wurden abgeschlossen, und auch bei Laufzeiten von über 60 Minuten wurden die Tests bestanden. (OpenClaw, Hermes agent auf einer AWS-Instanz ausgeführt) Auch die Latenz wurde im Vergleich zur eigentlichen Agent-Ausführung als vernachlässigbar gemessen.

Ich denke, das ist nützlich für alle, die wie ich Agenten produktiv auf Linux-Servern einsetzen oder Traffic von Agenten debuggen bzw. steuern müssen. Da es sich um ein CLI-basiertes Tool handelt, kann die UI unbequem sein, aber über eine statische HTML-Seite ist auch eine einfache Einsicht möglich. Fehlermeldungen, Feedback und sonstige Fragen sind willkommen!