Claude Code Sicherheitsleitfaden: Missbrauch von AI-Agenten-Rechten mit Incus-Sandbox verhindern

Es ist so weit: KI-Agenten geben Befehle direkt in unserem Terminal ein und bearbeiten Dateien. Anthropic's Claude Code ist innovativ. Doch diese Innovation ist ein zweischneidiges Schwert. Wenn eine KI mit vollen Systemrechten ausgeführt wird, ist das aus Sicht des Security Engineerings so, als würde man den Keim für eine massive Katastrophe säen.

Ein einfacher Fehler oder eine Halluzination genügt, um den privaten .ssh-Schlüssel nach außen zu tragen oder in Umgebungsvariablen gespeicherte AWS-Zugangsdaten zu leaken. Das ist keine theoretische Hypothese, sondern eine reale Bedrohung. Die Lösung ist klar: Wir müssen den KI-Agenten einsperren. Hier kommt Incus ins Spiel, das über eine einfache Docker-Isolierung hinausgeht und Sicherheit auf Systemebene bietet.

---

Ausführungsumgebung für KI-Agenten: Analyse der Sicherheitsrisiken

Wo Sie einen KI-Agenten ausführen, entscheidet über Erfolg oder Misserfolg Ihrer Datensicherheit. Die Ausführung direkt im lokalen Terminal ist faktisch so, als ließe man die Haustür weit offen stehen.

Vergleichspunkt	Host-Terminal	Docker-Container	Incus-Systemcontainer
Isolationsgrenze	Keine (Rechtevererbung)	Prozess-Level-Isolation	Kernel-Level-Systemisolation
Secret-Exposition	Sehr hoch	Niedrig	Sehr niedrig
Zustandspersistenz	Permanent	Flüchtig	Permanent
Berechtigungsmanagement	Benutzerrechte exponiert	Risiko von Root-Missbrauch	Unprivilegierter Modus erzwungen

Einem Sicherheitsbericht aus dem Jahr 2024 zufolge resultierten über 60 % der Missbrauchsfälle durch autonome Agenten aus unzureichenden Sandbox-Konfigurationen. Docker ist zwar leichtgewichtig, stößt aber an Grenzen, wenn der Agent Systemdienste manipulieren oder komplexe Paketabhängigkeiten verwalten muss. Incus hingegen bietet eine vom Betriebssystem unabhängige Umgebung, die einer virtuellen Maschine (VM) ähnelt, aber weitaus weniger Overhead verursacht.

---

Warum Incus statt Docker?

Senior Security Engineers entscheiden sich aus einem klaren Grund für Incus statt Docker: Docker ist ein Werkzeug zum Deployment von Applikationen, kein Gefängnis, um nicht vertrauenswürdige Agenten einzusperren.

1. Nutzung von User Namespaces durch unprivilegierten Modus

Das Herzstück von Incus sind User Namespaces. Innerhalb des Containers sieht es so aus, als hätte man root(UID 0)-Rechte, aber auf dem tatsächlichen Host-System wird dies auf einen sehr hohen Benutzer-ID-Bereich ohne jegliche Privilegien (z. B. UID 1.000.000) gemappt. Selbst wenn die KI aus dem Container ausbricht, ist sie auf dem Host-System lediglich ein unbekannter Standardbenutzer ohne Rechte.

2. Bereitstellung einer permanenten Entwicklungsumgebung

Wenn Sie einen Docker-Container löschen, verschwinden die Daten. Ein Agent wie Claude Code muss sich jedoch an den Kontext früherer Aufgaben und installierte Werkzeuge erinnern können. Da Incus ein Systemcontainer ist, bleibt der gesamte Zustand erhalten, auch wenn der Container aus- und wieder eingeschaltet wird. Man gibt dem Agenten quasi ein Gehirn mit Kontinuität.

---

Incus-Setup-Handbuch für macOS-Nutzer

Da Incus Linux-Kernelfunktionen nutzt, kann es nicht direkt auf dem Mac ausgeführt werden. Stattdessen nutzen wir Colima, eine leichtgewichtige Linux-Virtualisierungsschicht, als Brücke.

Schritt 1: Infrastruktur vorbereiten

Installieren Sie zuerst die benötigten Tools und weisen Sie Ressourcen für die KI-Aufgaben zu. Ohne ausreichend CPU und RAM sinkt die Inferenzgeschwindigkeit des Agenten erheblich.

bash brew install colima incus colima start --cpu 4 --memory 8 --runtime incus --network-address

Schritt 2: Remote-Verbindung konfigurieren

Verbinden Sie den Incus-Server innerhalb der Colima-VM so, dass Sie ihn vom Mac-Terminal aus steuern können.

1. Greifen Sie mit colima ssh zu und führen Sie sudo incus admin init --auto aus.
2. Registrieren Sie den Server auf dem Mac mit dem generierten Token via incus remote add colima-vm <IP>.

Schritt 3: Netzwerk-Troubleshooting

Oft wird der Internetzugang blockiert. Das liegt meist daran, dass Umgebungen mit installiertem Docker die iptables-Policy auf DROP setzen. Mit den folgenden Befehlen müssen Sie den Durchgang öffnen:

bash sudo firewall-cmd --zone=trusted --change-interface=incusbr0 --permanent sudo firewall-cmd --reload

---

Reale Bedrohungsszenarien und Abwehrprinzipien

Sehen wir uns an konkreten Szenarien an, wie Incus das System schützt, falls ein KI-Agent bösartig wird oder gehackt wird.

Szenario: Versuch, Umgebungsvariablen zu stehlen

Der Agent führt unter dem Vorwand des Debuggings printenv aus oder eine bösartige Library versucht, AWS-Keys aus dem Speicher zu entwenden.

• Abwehr durch Incus: Der Container ist vollständig von den Umgebungsvariablen des Hosts isoliert. Informationen, die der Benutzer nicht explizit injiziert hat, kann der Agent unmöglich in Erfahrung bringen.

Szenario: Versuch, SSH-Schlüssel zu entwenden

Ein Skript durchsucht den Pfad ~/.ssh/id_rsa, um den Schlüssel an einen externen Server zu senden.

• Abwehr durch Incus: Unprivilegierte Container haben keinen Zugriff auf das Host-Dateisystem. Selbst wenn bestimmte Ordner gemountet werden, wird der Lesezugriff dank des oben erwähnten UID-Mappings verweigert.

---

Sicherheit ist kein Hindernis für die Produktivität

Die Einführung von KI ohne Sicherheitsvorkehrungen ist eine technische Schuld, die später hohe Kosten verursacht. Nur weil Produktivität verlockend ist, darf man der KI nicht den kompletten Hausschlüssel übergeben. Die Incus-Sandbox ist der Mindest-Sicherheitsgurt, den Entwickler im KI-Zeitalter anlegen sollten.

Stoppen Sie Claude Code, wenn es derzeit direkt in Ihrem lokalen Terminal läuft. Die Migration in eine isolierte Incus-Umgebung ist der sicherste Weg, um Ihren Code, Ihr Eigentum und Ihre Karriere zu schützen. Bauen Sie noch heute mit dem Befehl colima start --edit Ihr eigenes sicheres Entwicklungslabor auf.