CNCF: Prempti bringt Policy-Enforcement und Sichtbarkeit für KI-Coding-Agenten
Das CNCF-Falco-Team hat Prempti veröffentlicht — ein experimentelles Projekt, das Falcos Runtime-Security-Modell auf KI-Coding-Agenten ausweitet. Das System fängt Tool-Calls vor der Ausführung ab und wendet Policy-Regeln an, sodass Teams die Aktionen von Agenten wie Claude Code kontrollieren können.
Dieser Artikel wurde mithilfe von künstlicher Intelligenz aus Primärquellen erstellt.
Das Falco-Team innerhalb der Cloud Native Computing Foundation (CNCF) hat Prempti veröffentlicht — ein experimentelles Projekt, das strukturierte Sichtbarkeit und Kontrolle über die Aktionen von KI-Coding-Agenten bietet. Das Ziel ist dasselbe, das Falco bereits in Kubernetes-Umgebungen erreicht: Runtime-Security, die im Moment des Handelns greift — nicht erst, nachdem der Schaden eingetreten ist.
Was ist Prempti und wie funktioniert Policy-Enforcement?
Prempti ist ein schlanker User-Space-Dienst, der sich zwischen KI-Agent und Betriebssystem einschaltet. Wenn ein Agent — etwa Claude Code — einen Tool-Call ankündigt (eine Operation wie das Lesen einer Datei, das Ausführen eines Shell-Befehls oder den Netzwerkzugriff), fängt Prempti dieses Ereignis vor der Ausführung ab und sendet es über einen Unix-Socket an Falco.
Falcos Regelwerk wertet die Anfrage dann anhand einer YAML-Policy-Konfiguration aus — demselben Format, das Ingenieurinnen und Ingenieure bereits aus Falco-Runtime-Regeln kennen. Das Ergebnis kann Allow, Deny oder Ask (interaktive Nutzerbestätigung) lauten. Das System unterstützt zwei Modi: Monitor, der Ereignisse nur protokolliert ohne zu blockieren, und Guardrails, der das Enforcement aktiv durchsetzt.
Welche Bedrohungen werden abgedeckt und warum ist das wichtig?
Das Standard-Regelset deckt sechs Risikokategorien ab, die spezifisch für KI-Agenten sind: Verlassen des Arbeitsverzeichnisses, Zugriff auf sensible Pfade (SSH-Schlüssel, AWS-Credentials, .env-Dateien), Deaktivierung der Sandbox, Credential-Diebstahl, destruktive Befehle und MCP/Slash-Command-Injektion — ein Angriffsvektor, der immer relevanter wird, je mehr KI-Agenten Zugang zu externen Werkzeugen erhalten.
Kann Prempti eine Sandbox ersetzen?
Nein — und die Autoren betonen dies ausdrücklich. Prempti fängt deklarierte Tool-Calls des Agenten ab, nicht die Systemaufrufe, die diese eventuell generieren. Es handelt sich um eine Policy-Schicht, die OS-Hardening und Prozessisolierung ergänzt, aber nicht ersetzt. Derzeit wird Claude Code unter Linux, macOS und Windows unterstützt; eine Integration mit OpenAI Codex ist geplant.
Für Sicherheitsteams, die bereits Falco einsetzen, bietet Prempti eine natürliche Erweiterung des vertrauten Modells auf eine neue Angriffsfläche — KI-Agenten, die Code in Produktionsumgebungen zunehmend autonom ausführen.
Häufig gestellte Fragen
- Was ist Falco und wie hängt es mit Prempti zusammen?
- Falco ist ein CNCF-Graduated-Projekt für Cloud-native Runtime-Security, das anomales Verhalten in Kubernetes-Umgebungen durch Analyse von Systemaufrufen erkennt. Prempti nutzt Falcos Plugin-System und Regelwerk, um dasselbe Policy-Modell auf Tool-Calls von KI-Coding-Agenten anzuwenden.
- Wie entscheidet Prempti, was ein Agent darf und was nicht?
- Prempti fängt jeden vom Agenten angekündigten Tool-Call ab, sendet das Ereignis über einen Unix-Socket an Falco, und Falcos Engine wertet es anhand von YAML-Policy-Regeln aus. Das Ergebnis kann Allow, Deny oder Ask sein — je nachdem, ob die Aktion den definierten Regeln entspricht.
- Ersetzt Prempti eine Sandbox oder OS-Hardening?
- Nein. Prempti ist eine Policy-Schicht, die deklarierte Tool-Calls des Agenten abfängt, nicht die Systemaufrufe, die diese generieren. Es ergänzt OS-Hardening und Sandboxing, ersetzt sie jedoch nicht.
Quellen
Verwandte Nachrichten
arXiv:2605.18414: Prompts schützen nicht — MCP-Proxy mit ABAC erreicht 0 % unerlaubte Tool-Aufrufe
IBM: Project Glasswing bringt das fortschrittlichste KI-Sicherheitsportfolio für Enterprise
arXiv:2605.16090: CrossMPI — Angriff auf Vision-Language-Modelle ausschließlich durch Bildperturbation