Sicherheitsarchitektur für autonome KI-Agenten: Das Isolationsmodell von Nous Research Hermes
Zusammenfassung
Mit der zunehmenden Verbreitung autonomer, langlebiger KI-Agenten wachsen auch die Sicherheitsrisiken bei der Ausführung von dynamisch generiertem Code. Das Hermes-Agenten-Framework von Nous Research adressiert diese Herausforderung durch eine ausgeklügelte, mehrschichtige Sicherheitsarchitektur (Defense-in-Depth). Dieser Artikel analysiert das 7-Schichten-Sicherheitsmodell, die verbleibenden Risiken und Best Practices für den sicheren Betrieb im Unternehmen.
Was ist passiert?
Das Open-Source-Framework „Hermes Agent“ von Nous Research wurde mit einem strukturierten Sicherheitsmodell ausgestattet, um persistente Ausführungsrisiken zu mindern. Da der Agent weitreichenden Zugriff auf Systemressourcen, Terminals und externe APIs über das Model Context Protocol (MCP) erhalten kann, ist die klassische Sandbox-Ausführung allein nicht mehr ausreichend. Das Framework setzt stattdessen auf eine Kombination aus menschlicher Kontrolle (Human-in-the-Loop) und technischer Abschottung auf verschiedenen Systemebenen.
Warum es wichtig ist
Herkömmliche Security-Software (wie EDR-Systeme) ist oft nicht darauf ausgelegt, das Verhalten autonom agierender KI-Agenten zu bewerten, die legitime Entwickler-Tools nutzen, aber durch Prompt-Injection oder Schadcode-Generierung kompromittiert werden können. Ein strukturiertes Isolationsmodell ist daher zwingend erforderlich, um Datenabflüsse, unbefugte Dateizugriffe oder die Ausführung zerstörerischer Systembefehle zu verhindern.
Beweise
Die Sicherheitsarchitektur von Hermes basiert auf sieben klar definierten Schichten:
- User Authorization (Benutzerautorisierung): Zugriffskontrolle über Allowlisten und direkte Kommunikationskanäle (z. B. DM-Pairing).
- Dangerous Command Approval (Freigabe kritischer Befehle): Ein Kontrollschritt, bei dem potenziell schädliche Aktionen (z. B. Löschen von Dateien) explizit vom Benutzer bestätigt werden müssen.
- Container Isolation (Container-Isolierung): Unterstützung gehärteter Sandbox-Backends wie Docker, Singularity und Modal, inklusive schreibgeschützter Root-Dateisysteme.
- MCP Credential Filtering (Filterung von Anmeldedaten): Abschottung von Umgebungsvariablen, um den unbefugten Zugriff von Unterprozessen auf API-Schlüssel zu verhindern.
- Context File Scanning (Scan von Kontextdateien): Automatische Erkennung potenzieller Prompt-Injection-Angriffe in Projektdateien.
- Cross-Session Isolation (Sitzungsübergreifende Isolierung): Trennung von Sitzungsdaten, um gegenseitigen Zugriff von Sub-Agenten zu verhindern.
- Input Sanitization (Eingabebereinigung): Validierung des Arbeitsverzeichnisses (Cwd) gegen eine Allowlist zur Abwehr von Shell-Injection-Angriffen.
Analyse
Obwohl das 7-Schichten-Modell ein solides Fundament bietet, zeigen Sicherheitsanalysen und Audits in der Praxis immer wieder Schwachstellen. Die größte Herausforderung bleibt die Balance zwischen Nützlichkeit und Sicherheit:
- Terminal-Bypasses: In früheren Versionen gab es Möglichkeiten, die Filterung von Terminal-Befehlen durch geschickte Verschleierung zu umgehen.
- Das Credential-Dilemma: Da Agenten für viele Aufgaben Lese- und Schreibrechte in Cloud-Umgebungen benötigen, ist die sichere Verwahrung von API-Schlüsseln ohne Funktionsverlust hochkomplex.
- Erkennungsgrenzen: Context-Scanning kann komplexe, indirekte Prompt-Injections (Indirect Prompt Injections) nicht immer zuverlässig vorab erkennen.
Praktische Erkenntnisse
Unternehmen und Entwickler, die Hermes Agent einsetzen, sollten folgende Best Practices beachten:
- Niemals auf dem Host ausführen: Der Agent sollte ausschließlich in einer dedizierten, stark eingeschränkten Docker-Umgebung betrieben werden.
- Prinzip der minimalen Rechte (Least Privilege): Vergeben Sie nur Lesezugriff auf Verzeichnisse, die der Agent zwingend benötigt.
- Credential Vaulting: Nutzen Sie Vaults oder temporäre Sitzungstoken anstelle von persistenten, weitreichenden API-Schlüsseln.
- Regelmäßige Updates: Da das Framework kontinuierlich gegen neu entdeckte Umgehungsversuche gehärtet wird, sind zeitnahe Updates unerlässlich.
Offene Fragen
- Wie gut schützen diese Mechanismen gegen fortgeschrittene, mehrstufige Prompt-Injection-Angriffe über externe MCP-Server?
- Wird sich ein plattformübergreifender Standard für die Berechtigungsvergabe bei KI-Agenten etablieren?