Agentic Orchestration Teil 5: Docker Sandboxing und YOLO-Modus

In den vergangenen zwei Wochen haben wir unser hochleistungsfähiges Orchestrator-Framework aufgeschlüsselt. Wir haben die Definition von Agentenprofilen untersucht, wie man sie mit Übergabedokumenten (Handoff Documents) verkettet, Minor-Abhängigkeiten gruppiert (Teil 2), Code für Major-Upgrades automatisch migriert (Teil 3) und Fehler elegant rückgängig macht (Teil 4).

Aber mit großer Macht kommt ein eklatantes Sicherheitsrisiko.

Das Risiko des Root-Zugriffs

Wenn Sie einem LLM die Möglichkeit geben, bash-Befehle direkt auf Ihrem Host-Rechner auszuführen, wandeln Sie auf einem Drahtseil. Selbst mit strengen Orchestrator-Konfigurationen: Was passiert, wenn der Agent versehentlich beschließt, rm -rf / auszuführen? Oder noch schlimmer, was ist, wenn ein kompromittiertes npm-Paket ein bösartiges Post-Install-Skript ausführt, während der Agent pnpm install ausführt?

Sie sollten einer KI nicht die Schlüssel zu Ihrem gesamten System geben.

Bühne frei für Docker Sandboxes & MicroVMs

Um dies zu lösen, lassen wir uns von Microsofts jüngster Arbeit an GitHub Copilot Workspaces inspirieren. Das Ziel ist es, den Orchestrator und den Agenten in einer hochgradig isolierten MicroVM via Docker Sandbox auszuführen.

Anstatt /orchestrate dependency-updates auf Ihrem Mac auszuführen, führen Sie es in einem temporären Sandbox-Container aus.

Parallele Worktrees

Bei der Arbeit mit mehreren Agenten und komplexen Repositories ist es langsam und fehleranfällig, alles in einem einzigen Verzeichnis zu tun. Unsere Architektur verwendet ein orchestrate-worktrees.js-Skript, um die Ausführung in der Sandbox zu verwalten:

docker exec -it claude-sandbox node scripts/orchestrate-worktrees.js .claude/plan/workflow-e2e.json --execute

Dieser Befehl nimmt einen JSON-Plan, fährt isolierte git worktrees innerhalb der MicroVM für jeden Agent-Worker hoch und führt sie parallel aus (wobei unter der Haube tmux-Panes verwendet werden). Wenn Sie den Vorgang überwachen müssen, ohne ihn zu unterbrechen, können Sie einen Live-Control-Plane-Snapshot exportieren:

docker exec -it claude-sandbox node scripts/orchestration-status.js .claude/plan/workflow-e2e.json

Da die Worktrees innerhalb des Containers vollständig isoliert sind, kann der Agent Dateien verunstalten, nicht vertrauenswürdige Pakete installieren und Compiler zerstören, ohne jemals den Zustand Ihres Host-Rechners zu berühren. Darüber hinaus filtert ein Proxy den ausgehenden Netzwerkverkehr streng, um sicherzustellen, dass ein bösartiges Paket, falls es heruntergeladen wird, Ihren Quellcode nicht exfiltrieren kann.

Wechsel in den YOLO-Modus

Wenn ein Agent direkt auf Ihrem Laptop läuft, möchten Sie natürlich jede einzelne Aktion genehmigen. “Agent möchte npm install ausführen. Erlauben? (y/n)” Dies führt zu “Genehmigungsmüdigkeit” und blockiert den gesamten Modernisierungsprozess.

Aber sobald Ihr Agent sicher in einer netzwerkgefilterten, isolierten MicroVM eingeschlossen ist, in der er Ihr Host-System buchstäblich nicht zerstören oder Daten lecken kann… können Sie den Schalter auf den YOLO-Modus umlegen.

Sie können 100 Docker-Sandboxes parallel über eine Flotte von Servern hochfahren, sie mit Ihren .claude/plan/-Konfigurationen füttern und Ihre major-upgrader-Agenten autonom 100 verschiedene Legacy-Repositories gleichzeitig aktualisieren lassen.

Fazit

Agentisches Refactoring ist kein futuristisches Konzept mehr. Durch die Kombination von sorgfältig entworfenen lokalen Claude-Pipelines, strukturierten Übergabedokumenten (Handoff Documents), Three-Strike-Fallback-Logik und Docker Sandbox-Isolation erreichen wir das Beste aus beiden Welten: die Geschwindigkeit autonomer KI und die Sicherheit von Enterprise-Infrastruktur.

Vielen Dank, dass Sie diese 5-teilige Serie verfolgt haben! Gehen Sie hinaus und automatisieren Sie verantwortungsbewusst.

Bleiben Sie dran und genießen Sie jeden Schritt Ihrer Coding-Reise.