SPACE: Perplexitys neue Sandbox-Architektur für sichere KI-Agenten

Deine Reaktion:

Du gibst einem KI-Assistenten die Erlaubnis, Dateien zu bearbeiten, Code auszuführen oder auf deine private Cloud zuzugreifen. Solche Agenten arbeiten nicht nur mit einem Chat-Interface. Sie führen mehrstufige Aufgaben aus, die Stunden oder Tage dauern können. Die Frage ist: Wo läuft dieser Assistent? Wie stellst du sicher, dass er nur das tut, was du ihm aufgetragen hast, und nicht plötzlich auf vertrauliche Daten zugreift? Hier kommen Sandboxes ins Spiel – isolierte Umgebungen, die den Agenten einschließen und seine Aktionen kontrollieren. Perplexity, das Unternehmen hinter dem KI-gestützten Suchdienst Computer, hat mit SPACE eine neue Architektur für solche Sandboxes entwickelt. Sie soll die bisherigen Kompromisse zwischen Funktionalität, Effizienz und Sicherheit aufheben.

Das Prinzip einer Sandbox ist bekannt. Wer schon einmal Code in einer virtuellen Maschine getestet hat, kennt es: Man erzeugt eine abgeschottete Umgebung, in der Programme laufen, ohne das restliche System zu beeinflussen. Bei KI-Agenten wird das komplizierter. Sie benötigen langlebige Sitzungen, greifen auf externe Dienste zu und verarbeiten sensible Informationen. Bisherige Sandbox-Plattformen mussten sich laut Perplexity zwischen zwei von drei Zielen entscheiden. Entweder boten sie starke Isolation, ließen Zugangsdaten im Inneren der Sandbox aber ungeschützt. Oder sie waren für kurze Jobs optimiert, verloren aber den Kontext, sobald eine Aufgabe länger als ein paar Minuten dauerte. SPACE soll diese Kompromisse eliminieren, indem es die Verantwortlichkeiten auf drei dedizierte Dienste aufteilt: die Control Plane, die Node-Ebene und die In-Sandbox-Ebene. Jede Schicht übernimmt einen klar definierten Teil der Sicherheitsaufgaben.

Die Control Plane orchestriert den gesamten Lebenszyklus einer Sandbox. Alle Anfragen kommen über eine einzige API herein. Sie verfolgt den Status der Sandbox und entscheidet in Echtzeit, an welches Backend eine Aufgabe weitergeleitet wird. Die Control Plane ist zustandslos und zentral gehostet. Derselbe API-Aufruf funktioniert auf jeder Infrastruktur, sogar auf einem lokalen Rechner. Sie bestimmt, wann eine neue Sandbox startet und wann eine Aufgabe beendet ist. Dann wird die Sandbox mitsamt aller darin enthaltenen Daten zerstört. Diese Ephemeralität ist ein Kernelement: Sandboxes leben nur so lange, wie sie gebraucht werden. Danach sind sie weg – inklusive aller Dateien und Berechtigungen, die sie vielleicht zwischengespeichert haben.

Die Node-Ebene ist der Ort, an dem sich Perplexitys Sicherheitsphilosophie besonders zeigt. Zugangsdaten gelangen nie in die Sandbox hinein. Sie bleiben außerhalb und werden nur im richtigen Moment von außen eingespielt. Angenommen, ein Agent muss sich kurzzeitig mit deinem Google-Konto verbinden. SPACE wickelt den Anmeldevorgang außerhalb der Sandbox ab – das Passwort oder der Token verlassen nie die geschützte Node-Ebene. Auch der ausgehende Netzwerkverkehr wird auf Node-Ebene gesteuert. Selbst wenn ein Agent kompromittiert wird, kann er sich nur mit den Diensten verbinden, die ihm ausdrücklich erlaubt wurden. Diese granulare Kontrolle stellt sicher, dass bei einem Angriff keine sensiblen Informationen nach außen dringen.

Die dritte Schicht ist die In-Sandbox-Umgebung selbst. Perplexity setzt auf Firecracker-Mikro-VMs – extrem leichtgewichtige virtuelle Maschinen mit eigenem Betriebssystem. Sie sind vollständig vom Host isoliert. Nichts, was innerhalb einer Sandbox passiert, kann eine andere Sandbox oder den darunterliegenden Server beeinflussen. Ein sogenannter Space Daemon ist der einzige Prozess, der mit der Control Plane kommuniziert. Er überträgt Steuerbefehle wie Start, Pause oder Snapshot. Diese Kommunikation ist auditierbar und kann jederzeit unterbrochen werden. Wenn eine Sandbox als unwiderruflich kompromittiert gilt, kann sie einfach abgeschaltet werden – ohne dass sich der Schaden ausbreitet.

SPACE hebt sich von anderen Sandbox-Plattformen durch eine Reihe von Steuerungsmöglichkeiten ab, die sonst nirgends in einem Produkt vereint sind. Dazu gehören Pause- und Resume-Funktionen, Session Forking, isolierte Zugangsdaten pro Sitzung, Protokollweiterleitung und Multi-Backend-Orchestrierung. Besonders hervorzuheben ist die Rolling-Snapshot-Technologie. SPACE erstellt regelmäßig – teilweise minütlich – vollständige Schnappschüsse des gesamten Sitzungszustands, einschließlich Arbeitsspeicher und aller Dateien. Diese Snapshots können bis zu einer Woche zurückreichen. Du arbeitest an einer komplexen Analyse, unterbrichst die Arbeit und kommst eine Woche später zurück: Der Agent setzt genau an der Stelle fort, an der du aufgehört hast. Das ist eine eingebaute Zeitmaschine für KI-Agenten.

Die Standardannahme ist, dass jede Sandbox als potenziell unsicher gilt. Deshalb wird sie von Netzwerk- und Zugangskontrollen umgeben, die Mieter trennen und die Daten verschlüsseln. Fällt eine der Sicherheitsschichten aus, schützen die anderen weiterhin die persönlichen Informationen. Unternehmen können sogar eigene Verschlüsselungsschlüssel mitbringen. Wenn ein Kunde seinen Schlüssel widerruft, können keine neuen Sandboxes mehr gestartet werden, und verschlüsselte Daten lassen sich nicht mehr entschlüsseln. Für Organisationen mit besonders sensiblen Daten ist SPACE zudem so konzipiert, dass es vor Ort im Rechenzentrum oder vollständig offline betrieben werden kann. Die Kontrolle über die Daten liegt dann immer beim Kunden.

Perplexity hat SPACE in zehn Wochen von der Idee zum Produkt entwickelt. Seit zwei Monaten wird es intern genutzt. In der vergangenen Woche hat die Plattform bereits Millionen von Sandbox-Erstellungen und zig Millionen Wiederverbindungen unterstützt. Heute ist SPACE live in Computer für alle Nutzer verfügbar. Die Architektur ist bewusst backend-agnostisch ausgelegt und läuft auf beliebiger Hardware. In einem frühen Test auf einem NVIDIA Vera-CPU-System waren tatsächliche Computer-Workflows etwa 1,5-mal schneller als auf der aktuellen Produktionsreferenz, das parallele Starten von Sandboxes bis zu 1,9-mal schneller. Diese Zahlen zeigen, dass die Trennung von Funktionalität, Effizienz und Sicherheit nicht nur theoretisch ist, sondern messbare Vorteile bringt.

Für die KI-Technologie bedeutet das: Es geht um die grundlegende Infrastruktur, die es Agenten ermöglicht, verantwortungsvoll zu handeln. Eine einfache Erklärung: KI-Agenten sind digitale Assistenten, die Aufgaben für dich erledigen. Damit sie das sicher tun können, brauchen sie einen abgeschotteten Arbeitsplatz – die Sandbox. SPACE ist eine besonders durchdachte Version eines solchen Arbeitsplatzes, optimiert für langlaufende, komplexe Vorgänge. Wer sich mit KI-Anwendungen beschäftigt, sieht hier, dass Sicherheit kein Hindernis für Leistung sein muss. Im Gegenteil, sie ist die Voraussetzung für vertrauenswürdige Automatisierung.

Die Erkenntnis: Perplexity glaubt nicht, dass man sich zwischen Funktionalität, Effizienz und Sicherheit entscheiden muss. Ein Agent sollte auf denselben Daten arbeiten können wie wir Menschen, mit dem Vertrauen, das wir einem Teammitglied entgegenbringen. SPACE ist der erste Schritt in diese Richtung. Die Plattform wird sich weiterentwickeln, genau wie die KI selbst. Für Unternehmen, die ihre Prozesse automatisieren wollen, ohne Sicherheitsrisiken einzugehen, eröffnet sich ein neues Kapitel. Die Sandbox ist nicht mehr nur eine Hülle – sie wird zum zentralen Baustein einer verantwortungsvollen KI-Infrastruktur.

Quelle: perplexity.ai

Deine Reaktion:
Artikel teilen:
Sebastian Krötzsch
Autor

Sebastian Krötzsch

Sebastian Krötzsch schreibt auf sebask.de über Künstliche Intelligenz, Automatisierung, digitale Systeme und die Frage, was davon im Alltag wirklich nützlich ist. Ohne Buzzword-Nebel, dafür mit klarem Blick auf Praxis, Tools und echte Wirkung.