KI-Coding-Agenten brauchen Schreibrechte, Shell-Zugriff und Internet, um zu nuetzen. Genau das macht sie auf dem eigenen Laptop zur Gefahr. Das Open-Source-Werkzeug Clawk sperrt sie deshalb in eine wegwerfbare Linux-VM.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenEin KI-Coding-Agent mit vollen Rechten ist bequem und riskant zugleich, weil er Pakete installiert, Code ausfuehrt und Server startet, ohne zu fragen. Das Projekt Clawk verlegt diese Autonomie von Ihrem Rechner in eine isolierte, jederzeit wegwerfbare virtuelle Maschine. Der Ansatz trifft einen wunden Punkt, den Prompt-Injection-Angriffe gerade schmerzhaft sichtbar machen.
Das Wichtigste in Kürze
- Clawk führt Agenten wie Claude Code oder Codex in einer eigenen Linux-VM aus, nicht auf dem Host.
- Die Isolierung stützt sich auf Hardware-Virtualisierung, nicht auf Container mit geteiltem Kernel.
- Ein Userspace-Netzstack erzwingt eine Allow-Liste, die selbst Root im Gast nicht aushebelt.
- Für DSGVO und Haftung bleibt der Betreiber verantwortlich, auch wenn der Agent den Fehler macht.
Warum wird ein KI-Coding-Agent zum Risiko?

Ein Coding-Agent bekommt Shell-Zugriff, um produktiv zu sein. Kombiniert mit manipulierten Repositories oder Webinhalten kann eine einzige versteckte Anweisung ihn dazu bringen, Schadcode auszuführen, Zugangsdaten abzugreifen oder Daten zu löschen.
Zwei schlechte Optionen prägen den Alltag mit solchen Agenten. Entweder bestätigen Sie jeden Befehl einzeln und werden ständig unterbrochen, oder Sie geben dem Agenten volle Rechte und riskieren den Totalschaden.
Realer Totalschaden: Replits KI-Agent hat im Juli 2025 während eines ausdrücklichen Änderungsstopps die Produktionsdatenbank des SaaS-Gründers Jason Lemkin gelöscht und den Fehler anschließend mit erfundenen Statusmeldungen überdeckt.
Prompt Injection ist die eigentliche Sprengkraft. Ein Agent, der ein fremdes Repository liest oder eine Website öffnet, verarbeitet deren Text als Anweisung, und Sicherheitsforscher haben zuletzt fünf neue Varianten dafür demonstriert. Wie brüchig die Infrastruktur für KI-Agenten insgesamt ist, zeigt der Blick auf die verbreiteten MCP-Server.
Wie sperrt Clawk den Agenten in eine Wegwerf-VM?
Clawk startet für jede Sitzung eine frische Linux-VM über Apples Virtualization.framework oder Firecracker. Der Host bleibt unsichtbar, ausgehender Datenverkehr ist standardmäßig gesperrt, und der Agent darf gefahrlos mit vollen Rechten arbeiten.
Eigener Kernel: Der entscheidende Unterschied zum Container liegt im Kernel. Container teilen ihn sich mit dem Host, eine Kernel-Lücke genügt also für den Ausbruch, während die Hardware-Virtualisierung die Angriffsfläche drastisch verkleinert.
Netzfilter unter dem Kernel: Den Verkehr filtert ein Userspace-Stack namens gvproxy unterhalb des Gast-Kernels. Selbst ein Agent mit Root-Rechten kann die Allow-Liste damit nicht umschreiben; freigegeben sind nur Ziele wie npm, PyPI, GitHub und die Modell-Anbieter, jede Blockade wird nach Hostname protokolliert.
Wegwerfbar in Sekunden: Weil die VM ohnehin abgeschottet ist, läuft der Agent bei Clawk bewusst mit übersprungenen Rechteabfragen[1]. Anthropics Claude Code, OpenAIs Codex und eine reine Shell werden unterstützt, die Festplatten sind Copy-on-write-Klone, sodass jede Sitzung in Sekunden entsteht und wieder verschwindet.
Die Frage ist nicht mehr, ob ein Coding-Agent Zugriff bekommt, sondern wie eng dieser Zugriff eingezäunt ist. Eine Wegwerf-VM verwandelt einen potenziellen Totalschaden in einen Neustart per Knopfdruck.
— Markus Seyfferth, Chefredakteur Dr. Web
Container
Teilt sich den Kernel mit dem Host. Eine Kernel-Lücke genügt für den Ausbruch, Docker-in-Docker wirkt gebastelt.
Wegwerf-VM (Clawk)
Eigener Kernel per Hardware-Virtualisierung, Host-Dateisystem unsichtbar, jede Sitzung als Copy-on-write-Klon in Sekunden.
Was heißt das für den Mittelstand?
Setzen Sie KI-Coding-Agenten ein, sollten Sie sie grundsätzlich isolieren, den Netzzugang einschränken und Geheimnisse aus der Sandbox heraushalten. Die Haftung für Datenschäden bleibt beim Unternehmen, nicht beim Modell-Anbieter.
DSGVO trifft den Quellcode: Schon das Repository zählt als schützenswert, sobald Zugangsdaten, Kundendaten oder Betriebsgeheimnisse darin stecken. Ein Agent mit unkontrolliertem Netzzugang wird damit zum meldepflichtigen Risiko, und diese Verantwortung lässt sich nicht an das Werkzeug delegieren.
Noch jung, aber Blaupause: Clawk läuft vorerst nur auf Apple Silicon ab macOS 14, die Linux-Variante über Firecracker gilt als experimentell. Als Prinzip taugt der Ansatz trotzdem schon, denn Container mit eigenem Netzwerk, Cloud-Sandboxes oder microVMs erreichen denselben Effekt. Denselben Kontrollgedanken zeigt auch der Streit darum, was Coding-CLIs im Hintergrund nach Hause funken.
Bevor Sie einem Agenten die Rechteabfrage abnehmen, sollten drei Punkte geklärt sein:
- eine echte Isolationsschicht per VM oder microVM, nicht bloß ein zweites Nutzerkonto
- eine restriktive Allow-Liste, die ausgehenden Verkehr im Standard blockt
- ein Geheimnis-Management, das Schlüssel und Token gar nicht erst in die Sandbox reicht
Der praktische Rat: Behandeln Sie jeden Coding-Agenten wie einen fremden Praktikanten mit Vollzugriff und geben Sie ihm eine Umgebung, deren Verlust nicht schmerzt. Das ordnet sich in den größeren Trend ein, KI-Werkzeuge nüchtern auf ihre Kosten und Risiken im Produktivbetrieb abzuklopfen, statt sie blind laufen zu lassen. Mehr Hintergrund zu Sprachmodellen sammelt die KI-Themenseite.
Quelle
[1] Clawk (clawkwork): „Give a coding agent its own disposable Linux machine, not yours“ (GitHub-Projektdokumentation) ↩
Mehr Newshunger?
- Jeder vierzehnte MCP-Server fällt durch: Wie unsicher die Infrastruktur für KI-Agenten wirklich ist
- Fünf neue Prompt-Injection-Angriffe: Wie sich KI-Agenten heimlich umprogrammieren lassen
- Was xAIs Grok Build CLI wirklich an xAI sendet
- Claude Code sendet 33.000 Token vor dem ersten Prompt, OpenCode nur 7.000
- Weg von GitHub? Was der Wechsel zu Codeberg und Self-Hosting wirklich bringt