Simon Wright

Sicherheitsarchitektur

Sicherheit als Mechanik, nicht als Versprechen.

Das System arbeitet mit Defense-in-Depth: acht unabhaengige Schutzschichten, die sich gegenseitig absichern. Wenn eine Schicht versagt, greifen die anderen.

Defense-in-Depth

Acht Schutzschichten, von aussen nach innen.

1 Netzwerksicherheit WireGuard, UFW, iptables auf GX10 2 nftables-Firewall Container koennen keine privaten Netze frei erreichen 3 Docker-Sandbox Jede Session isoliert, getrennt vom Host-System 4 Tool-Berechtigungen Jeder Agent sieht nur die Werkzeuge die er braucht 5 Permission Broker Jeder Befehl wird gegen eine Whitelist geprueft 6 Modellrouting Kritische Qualitaet und Fallbacks bewusst verteilt 7 SOUL-Regeln Verhaltens- und Sicherheitsgrenzen pro Agent definiert

Schicht 8 (Secrets Management) laeuft quer: Passwoerter und Schluessel als Dateien mit Modus 600 — nie als Umgebungsvariablen.

Kontrolle ueber Werkzeuge

Permission Broker als Gate.

Jeder Tool-Aufruf eines Agenten laeuft durch den Permission Broker. Er prueft den Befehl gegen eine agenten-spezifische Whitelist. Nicht erlaubte Befehle werden blockiert — auch wenn das Modell sie formuliert hat.

Das verhindert, dass manipulierte Nachrichten (Prompt-Injection) unerlaubte Aktionen ausloesen koennen.

Permission Broker Anfrage Erlaubt ✓ Blockiert ✗

Minimale Rechte

Jeder Agent bekommt nur was er braucht.

AgentLesenSchreibenBefehleBrowserAgenten starten
Simon (Brain)
Elsbeth (Legal)eingeschraenkt
Ada (Entwicklung)
Don (Marketing)eingeschraenkt

Global verboten: Browser, sudo, rm, curl, wget, externe Interpreter. Zugang ueber Telegram und Mattermost nur per freigegebener Allowlist.