Agent-Sandbox
Die Agent-Sandbox ist eine Guardrail-Schicht, die der SecurityGuard des lokalen Agents durchsetzt. Sie schränkt ein, was der KI-Assistent und MCP-Erweiterungen auf deinem Rechner lesen, schreiben oder ausführen dürfen.
Wo konfigurieren
Portal → Settings → Agent-Sandbox. Settings werden über die WebSocket-Bridge an den Agent gepusht und bei jedem Tool-Call neu evaluiert.
Agent-Modes
| Mode | Was möglich ist |
|---|---|
| advisor | Projektdateien lesen, kein Schreiben, kein MCP, keine Shell |
| builder | + Schreiben innerhalb des Projekts, Browser-MCP, chat-sichere Erweiterungen |
| operator | + voller MCP-Catalog (Ops-Grade, Admin), Shell mit Argument-Sanitisation |
Mode ist pro Agent und kann von Team-Admins gesperrt werden.
Erlaubte Roots
Default-Filesystem-Zugriff in:
- Projektverzeichnis (
--project) ~/.xyva/- OS-Temp-Verzeichnis
~/Projects(Legacy-Default)
Path-Traversal (.., Symlinks) und Zugriff außerhalb dieser Roots werden abgelehnt.
Shell-Argument-Sanitisation
Wenn Operator-Mode Shell-Befehle ausführt, strippt der Agent gefährliche Zeichen vor der Ausführung:
; & | ` $ < > ( ) { } [ ] ! # ~ ' "Das verhindert Command-Injection durch KI-generierte Argumente.
URL-Guard
Outbound-HTTP von Agents ist beschränkt auf:
- Nur HTTPS (HTTP wird abgelehnt, außer explizit erlaubt)
- Allowed-Origin-Liste (per-Team konfigurierbar)
- Localhost ist erlaubt für
ollama,lm-studio, Dev-Server
Audit-Log
Der Agent hält die letzten 250 Sandbox-Events mit Zeitstempel, Mode, Aktion und Entscheidung. Sichtbar unter Settings → Agent-Sandbox → Audit-Log oder in ~/.xyva/audit.log.
Empfohlener Ablauf
- Default für neue Agents: advisor.
- Auf builder hochstufen, wenn du KI-gestützte Datei-Edits aktiv willst.
- operator nur für Engineers, die Ops-Grade-Automationen fahren (Deploys, Infra-Checks).
- Audit-Log wöchentlich sichten; bei unerwarteten Calls Keys rotieren.