Warum Sandbox-AI-Agenten die Zukunft der autonomen KI sind

Der Übergang von Chatbots zu Agenten ist keine Vorhersage. Er findet statt. Unternehmen wollen KI, die über Chats hinausgeht – KI, die Code ausführt, Workflows automatisiert, Systeme überwacht und autonom handelt.

Die Frage ist nicht mehr, ob autonome KI-Agenten Mainstream werden. Es ist die Frage, ob die aktuelle Architektur sie unterstützen kann, ohne alles zu gefährden.

Die Beweise sprechen dagegen.

OpenClaw hat die Nachfrage bewiesen. Es hat auch das Problem bewiesen.

OpenClaw ist das am schnellsten wachsende Open-Source-Projekt der letzten Zeit. Über 150.000 GitHub-Sterne in 10 Wochen. 416.000+ npm-Downloads in einem einzigen 30-Tage-Zeitraum. Berichterstattung von CNBC, CNN, Fortune und TechCrunch. Das Projekt – das in drei Monaten fünf Namensänderungen durchlief, einschließlich eines Markenstreits mit Anthropic – hat etwas Wichtiges gezeigt: Die Menschen wollen wirklich KI-Agenten, die Dinge tun, nicht nur darüber reden.

Dann begannen die Sicherheitsberichte einzutreffen.

Die Ergebnisse der Sicherheitsprüfung waren verheerend – Malware im Skills-Marktplatz, Prompt-Injection in über einem Drittel der analysierten Skills und Datenexfiltration, die vom Sicherheitsteam von Cisco nachgewiesen wurde.

Die Reaktion der Sicherheitsgemeinschaft war einstimmig: Das Raw-Access-Modell ist grundlegend fehlerhaft.

Die Nachfrage war echt. Die Umsetzung war nicht bereit.

Was schiefgelaufen ist: das Raw-Systemzugriffsmodell

Die Architektur von OpenClaw gibt dem KI-Agenten vollen Zugriff auf die Hostmaschine. Shell-Befehle, Dateisystem-Lese- und Schreibvorgänge, Skriptausführung, Browserautomatisierung – alles läuft mit den Berechtigungen des Nutzers auf der Hardware des Nutzers.

Das ist mächtig. Es ist auch die Hauptursache für fast jedes Sicherheitsproblem, mit dem das Projekt konfrontiert war.

Die Plattform hat auch architektonische Probleme – Speicherung von Anmeldeinformationen im Klartext, dokumentierte Schwachstellen bei der Ausführung von Remote-Code und ein offenes Skill-Register ohne Prüfprozess. Keine Sandbox. Keine Isolation zwischen der Ausführungsumgebung des Agenten und den persönlichen Daten des Nutzers.

Das grundlegende Problem ist kein Fehler, der behoben werden kann. Es ist eine architektonische Entscheidung. Wenn der KI-Agent und der Nutzer die gleiche Ausführungsumgebung teilen, ist der Explosionsradius eines Fehlers – bösartiger Skill, Prompt-Injection, halluzinierter Befehl – das gesamte System des Nutzers.

Die Architektur, die funktioniert: sandboxed execution

Die Alternative ist containerbasierte Isolation, und das ist keine neue Idee. E2B (kurz für “environment to browser”) hat diesen Ansatz für KI-Workloads entwickelt: Ein leichtgewichtiger Container wird für jede Aufgabe gestartet, der Agent erhält eine eingeschränkte Ausführungsumgebung innerhalb dieses Containers, und der Container wird gelöscht, wenn die Aufgabe abgeschlossen ist.

So sieht das in der Praxis aus:

• Container pro Aufgabe. Jede Codeausführung, jeder Skill-Aufruf, jede autonome Aktion läuft in ihrem eigenen isolierten Container. Der Container hat sein eigenes Dateisystem, seine eigenen Netzwerkbeschränkungen und seine eigenen Ressourcenlimits.
• Erstellt und gelöscht. Der Container existiert nur für die Dauer der Aufgabe. Wenn die Aufgabe beendet ist, wird der Container gelöscht. Kein persistenter Zustand, der zwischen den Ausführungen durchdringt. Keine Ansammlung von Angriffsflächen über die Zeit.
• Kein Host-Zugriff. Der Agent kann nicht auf das Host-Dateisystem lesen oder schreiben. Er kann nicht auf das Host-Netzwerk zugreifen. Er kann die Daten anderer Nutzer nicht sehen. Wenn der Agent einen bösartigen Befehl ausführt, ist der Schaden auf einen Container beschränkt, der kurz vor der Müllabfuhr steht.
• Verschlüsselte Speicherung von Anmeldeinformationen. API-Schlüssel und Geheimnisse leben in verschlüsseltem Speicher, der zur Laufzeit in den Container injiziert und bei der Zerstörung gelöscht wird. Nicht in einer Klartext-Konfigurationsdatei auf dem Desktop des Nutzers.

Dies ist dasselbe Isolationsmodell, das jeder große Cloud-Anbieter für Multi-Tenant-Workloads verwendet. AWS Lambda, Google Cloud Run, Cloudflare Workers – sie alle verwenden eine Form von Containern oder Isolationsgrenzen, um sicherzustellen, dass der Code eines Kunden den eines anderen nicht beeinflussen kann. Das gleiche Prinzip auf die Ausführung von KI-Agenten anzuwenden, ist überfällig.

Warum cloud-native besser ist als lokal zuerst für Agenten-Workloads

Das lokal zuerst-Modell hat eine überzeugende Datenschutzgeschichte: Ihre Daten bleiben auf Ihrer Hardware. Aber speziell für KI-Agenten-Workloads sprechen die Abwägungen für cloud-native Ausführung.

Persistente Arbeitsbereiche ohne lokale Risiken. Ein Cloud-Arbeitsbereich gibt dem Agenten ein persistentes Dateisystem für Dateien, Gesprächsverlauf und Konfiguration – ohne dass diese Daten auf Ihrem Laptop gespeichert werden. Ihr Arbeitsbereich überlebt über Sitzungen hinweg. Ihr lokales Gerät bleibt sauber.

Null Einrichtung. Die eigene Community von OpenClaw berichtet von mehr als 3 Tagen für eine funktionierende Einrichtung. Abhängigkeitsmanagement, Berechtigungskonfiguration, Kanaladapter, API-Schlüsselverwaltung des Modellanbieters. Eine cloud-native Plattform reduziert dies auf einen Browser-Tab und eine E-Mail-Adresse. Der Benchmark, den wir für cloud-native KI-Agenten-Plattformen gesehen haben, liegt bei unter 60 Sekunden von der Anmeldung bis zur ersten Aufgabenausführung.

Hintergrundaufgaben. Autonome Agenten müssen laufen, wenn Sie nicht zuschauen. Überwachung Ihres Posteingangs um 3 Uhr morgens, Verarbeitung einer Datenpipeline über Nacht, Ausführung geplanter Automatisierungen. Ein lokaler Agent benötigt eine dedizierte, ständig laufende Maschine. Ein Cloud-Agent läuft auf Infrastruktur, die genau dafür ausgelegt ist.

Multi-Modell-Routing. Cloud-Plattformen können Aufgaben je nach Aufgabentyp an verschiedene LLMs weiterleiten – Claude für Code, GPT-4 für allgemeines Denken, DeepSeek für kostenempfindliche Workloads – über eine einzige Schnittstelle. Kein Verwalten von vier separaten API-Schlüsseln und vier separaten Abrechnungskonten.

Der ehrliche Kompromiss: Wenn Sie möchten, dass Ihr KI-Agent mit lokaler Hardware oder lokalem Software nur interagiert, funktioniert eine Cloud-Sandbox dafür nicht. Für die anderen 99 % der Anwendungsfälle von Agenten – Codeausführung, Datenverarbeitung, Webautomatisierung, E-Mail-Management, geplante Aufgaben – ist das Cloud-Modell in Bezug auf Sicherheit, Zuverlässigkeit und Betriebskosten eindeutig besser.

Der Skills-Marktplatz richtig gemacht

ClawHub hat Tausende von von der Community erstellten Skills – und dokumentierte Sicherheitsprobleme, die mit seiner Popularität skalieren. Das Skill-Register ist die größte Angriffsfläche im OpenClaw-Ökosystem, und es wurde absichtlich so gestaltet: niedrige Reibung, hohe Geschwindigkeit, minimale Zugangskontrolle.

Ein geprüfter Marktplatz opfert Geschwindigkeit für Vertrauen. Jeder Skill durchläuft automatisierte Code-Scans, Sandbox-Tests und menschliche Überprüfungen, bevor er veröffentlicht wird. Das ist langsamer. Es bedeutet weniger verfügbare Skills zum Start. Aber es bedeutet auch null macOS-Stealer-Malware im Katalog, was wie ein angemessener Kompromiss erscheint.

Der Importpfad ist ebenfalls wichtig. Viele OpenClaw-Nutzer haben Skills erstellt oder angepasst, auf die sie angewiesen sind. Eine verantwortungsvolle alternative Plattform sollte einen Weg bieten, diese Skills zu übertragen – nachdem sie durch denselben Sicherheitsprüfungsprozess gelaufen sind. Migration ohne Prüfung würde nur das Problem importieren.

Kostenvorhersehbarkeit: das versteckte Sicherheitsproblem

OpenClaw ist kostenlose Software. Die API-Kosten sind es nicht. Nutzer berichten von unvorhersehbaren monatlichen API-Kosten ohne integrierte Ausgabenkontrollen.

Das ist auch ein Sicherheitsproblem, nicht nur ein Budgetproblem. Unkontrollierte Kosten durch einen kompromittierten Agenten, einen Prompt-Injection-Angriff, der teure Modellaufrufe in einer Schleife auslöst, oder einen bösartigen Skill, der absichtlich Tokens verbrennt – all dies sind Angriffsvektoren, die die Abwesenheit von Kostenkontrollen ausnutzen.

Festpreis-Tarife mit Nutzungskappen adressieren dies direkt. Harte Grenzen für Sandbox-Ausführungen, Token-Nutzungsverfolgung, die für den Nutzer sichtbar ist, und automatische Drosselung, wenn die Grenzen erreicht werden. Der Nutzer weiß, was er bezahlen wird, bevor er es bezahlt. Und ein Angreifer kann das Abrechnungssystem nicht ausnutzen.

Wohin das führt

Der Markt für agentische KI wächst schnell, und dieses Wachstum wird nicht auf Architekturen stattfinden, bei denen der Agent uneingeschränkten Zugriff auf die Maschine des Nutzers hat und der Skills-Marktplatz ein ungeprüfter Malware-Vertriebskanal ist.

Der Übergang zur sandboxed execution ist bereits im Gange. E2B wird zu einem Standardbaustein für KI-Agenten-Plattformen. Cloudflare hat Moltworker speziell entwickelt, um OpenClaw in einer containerisierten Umgebung auszuführen. NanoClaw, ein Community-Fork, läuft in Apple-Containern zur Sicherheit. Das Ökosystem konvergiert auf Isolation als Anforderung, nicht als Funktion.

OpenClaw hat den Markt demonstriert. Die nächste Generation von KI-Agenten-Plattformen wird definiert durch die Frage, ob sie die gleichen Fähigkeiten – Codeausführung, autonome Aktionen, Multi-Modell-Zugriff, erweiterbare Skills – innerhalb einer Sicherheitsgrenze liefern können, die tatsächlich hält.

Wir haben LikeClaw entwickelt, um diese Plattform zu sein. Sandboxed execution, geprüfte Skills, vorhersehbare Preise, null Einrichtung. Wenn Sie sehen möchten, wie das in der Praxis aussieht, ist der Codeausführungsanwendungsfall ein guter Ausgangspunkt.

Die Zukunft der KI-Agenten ist autonom. Sie ist auch sandboxed. Das sind keine konkurrierenden Ideen. Sie sind Voraussetzungen füreinander.