Wann man dazu greift
- Agenten Code, Shell-Befehle oder Browser-Aktionen ausführen.
- Nicht vertrauenswürdige Eingaben verarbeitet werden.
- Nebeneffekte eingedämmt werden müssen.
/pattern/sandbox-execution/
Vom Modell generierter oder vom Agenten ausgewählter Code läuft in einer isolierten Umgebung — einem Container, einer MicroVM (z. B. Firecracker) oder einer gehosteten Code-Sandbox — ohne Zugriff auf Host-Dateisystem, Netzwerk oder Anmeldedaten über das hinaus, was die Aufgabe ausdrücklich benötigt.
In der PraxisEin Datenanalyse-Agent führt vom Nutzer bereitgestellte Python-Snippets in einem gVisor-Container aus, sodass ein bösartiges Skript nicht das Host-Dateisystem lesen kann.
Ohne esOhne Sandbox läuft vom Modell generierter Code mit den vollen Host-Berechtigungen des Agenten und macht eine Prompt-Injektion zu einem beliebigen Codeausführungspfad. Zum Anti-Pattern →
Wann man dazu greift
Wann es nach hinten losgeht
Die Abwägung
Sichere Ausführung wird auf Kosten von Infrastruktur- und Performance-Overhead erreicht.
Nicht vertrauenswürdiger Code läuft in einer isolierenden Sandbox.
Die Sandbox blockiert Dateizugriff, aber der generierte Code nutzt ein Web-Request-Tool zum Exfiltrieren von Daten.
Lösung · Den innerhalb der Sandbox verfügbaren Tool-Satz prüfen. Netzwerkfähige Tools entfernen, sofern sie nicht ausdrücklich benötigt und überwacht werden.
Eine unkontrollierte Schleife innerhalb der Sandbox verbraucht die gesamte CPU oder den gesamten Arbeitsspeicher. Der Host-Prozess verschlechtert sich oder stürzt ab.
Lösung · cgroup-Limits für CPU, Arbeitsspeicher und reale Laufzeit (Wall-Clock-Zeit) erzwingen. Die Sandbox beenden, wenn ein Limit überschritten wird.
Patterns, Frameworks und Seiten durchsuchen.