SecurityTechnical

Why Your AI Agent Needs a Sandbox

The security architecture that makes Stomme safe to trust with your real work

by Kai Stomme · March 2026

You've given your AI agent access to your email. Your calendar. Your file system. Maybe your company's codebase.

Now ask yourself: what happens if the agent goes wrong?

Not dramatically wrong. Not Hollywood-wrong. Just... slightly wrong. It misunderstands an instruction. A tool call has an unintended side effect. A third-party API misbehaves. And your agent has the permissions to act on it — because that's how you set it up.

Most AI agents run directly on the host operating system. Every file they can touch, they can delete. Every folder they can read, they can upload. Every API they're connected to, they can call. There are no walls. There's just the agent, your machine, and your trust.

We decided that wasn't good enough.

What isolation actually means

When we say your agent runs in an isolated environment, we don't mean we put some warnings in the UI. We mean it runs in a container — a separate computing environment with its own filesystem, its own network stack, and hardware-enforced separation from the host operating system.

The technical name is kernel namespace isolation. Your agent's process literally cannot see your home folder. Cannot access paths outside its allocated space. Cannot make outbound network requests to anything we haven't explicitly allowed. Not because we asked it nicely — because the OS enforces it at the kernel level.

Here's what it looks like in practice:

# From inside the agent's sandbox
ls /Users/
# → ls: cannot access '/Users/': No such file or directory

That's not a permission error. That directory doesn't exist from inside the container. The filesystem itself is different.

How we built it: OpenShell

The runtime we chose is OpenShell — a purpose-built secure runtime for autonomous AI agents, developed by NVIDIA and released in March 2026. We were among the first to test it in production conditions.

OpenShell runs your agent inside a Docker container managed by a lightweight Kubernetes cluster. That sounds heavyweight, but the user experience is a single command. It handles:

Filesystem isolation — the agent's workspace is completely separate from the host. No cross-contamination in either direction. Files you create inside the sandbox live there. Files you have outside are invisible to the agent unless you explicitly pass them in.

Network egress policy — every outbound network request from the agent is inspected. We run an explicit allow-list: the agent can reach Anthropic's API and Telegram. Nothing else. If an instruction asked the agent to call a URL we haven't approved, the connection is refused at the network layer — before it leaves the machine.

Credential injection — API keys and tokens are never written to disk. They're injected into the container at runtime as environment variables and exist only in memory while the sandbox is running. When the sandbox stops, they're gone.

Process isolation — seccomp profiles block syscalls that could allow privilege escalation. The agent cannot become root. It cannot install kernel modules. It cannot modify its own security policy.

Why this matters for your work

Consider what a capable AI agent actually has access to when you set it up properly:

Your email (read and write)
Your calendar (read and schedule)
Your file system (read, write, execute)
Your code repositories (read, modify, push)
Your connected APIs (billing, CRM, project management)

That's substantial access. It needs to be substantial — otherwise the agent can't do its job. But substantial access combined with a direct connection to the host OS means one misbehaving tool call can have real consequences.

With container isolation:

A runaway write operation stops at the sandbox boundary
A compromised third-party tool can't read your files
An agent that gets confused about its scope can't affect anything outside the permitted zone
If something goes wrong, the blast radius is the sandbox — not your machine

What this doesn't protect against

Honest security documentation includes the limits.

The sandbox isolates the runtime — the process execution environment. It doesn't protect against:

Bad instructions — if you tell your agent to delete your documents, it will attempt to delete them inside the workspace. The sandbox doesn't evaluate the quality of your instructions.

Data you pass in — when you connect your email or calendar, that data comes into the sandbox. The sandbox prevents the agent from accessing things outside its zone; it doesn't restrict what it does with what you've given it access to.

Credential leakage via output — if the agent writes a file that includes an API key, that key is now in the sandbox filesystem. The isolation prevents exfiltration, but doesn't prevent the agent from making mistakes.

This is why we have a second layer: permission policies. Every capability your agent has is explicitly configured. It doesn't have access to services you haven't connected. And you can inspect the configuration at any time.

The credentials question

When you set up your Stomme agent, you provide API keys for the services you want to connect. Here's exactly what happens to them:

You enter them during onboarding
They're transmitted over HTTPS to our provisioning system
The provisioning system injects them as environment variables into your agent's sandbox at startup
They're never written to your host machine's disk
They're never stored on our servers beyond what's needed for the injection
When your sandbox is not running, they don't exist anywhere persistent

The onboarding process captures them. The sandbox runtime uses them. When you're done, they're gone.

The practical result

What does all of this feel like for you? Nothing, mostly. The security architecture is invisible when everything is working correctly — which is the point. You send your agent a task. It executes. The results come back.

What changes is what you can trust. You can give your agent genuinely capable access — email, files, code — knowing there are hard limits on what it can affect. You can expand what your agent does over time, knowing the failure mode of any mistake is bounded.

The agent that handles your morning meeting preparation, triages your inbox, and deploys your code isn't running loose on your machine. It's running in a purpose-built runtime designed for exactly this kind of high-trust, high-stakes work.

That's the stomme: the load-bearing structure underneath. You don't see it. But without it, nothing stays up.

Technical summary

Layer	Technology	What it provides
Container isolation	Docker + K3s	Filesystem and process separation
Network policy	OpenShell egress engine	Allow-list for outbound HTTPS
Credential handling	Runtime injection	Keys in memory only, never on disk
Syscall filtering	seccomp profiles	Block privilege escalation
Runtime	OpenShell 0.0.12	Orchestrates the above

Stomme runs on your Mac. Your agent is isolated by design — not by policy.

SäkerhetTeknisk

Varför din AI-agent behöver en sandlåda

Säkerhetsarkitekturen som gör Stomme säkert att anförtro ditt riktiga arbete

av Kai Stomme · Mars 2026

Du har gett din AI-agent tillgång till din e-post. Din kalender. Ditt filsystem. Kanske ditt företags kodbas.

Fråga dig nu: vad händer om agenten gör fel?

Inte dramatiskt fel. Inte Hollywood-fel. Bara... lite fel. Den missförstår en instruktion. Ett verktygsanrop får en oavsiktlig bieffekt. Ett tredjeparts-API beter sig konstigt. Och din agent har behörigheten att agera på det — för att du satt upp det så.

De flesta AI-agenter körs direkt på värddatorns operativsystem. Varje fil de kan röra kan de radera. Varje mapp de kan läsa kan de ladda upp. Varje API de är anslutna till kan de anropa. Det finns inga väggar. Bara agenten, din dator och ditt förtroende.

Vi bestämde oss för att det inte räckte.

Vad isolering faktiskt betyder

När vi säger att din agent körs i en isolerad miljö menar vi inte att vi lade till varningar i gränssnittet. Vi menar att den körs i en container — en separat datormiljö med sitt eget filsystem, sitt eget nätverkslager och maskinvarubaserad separation från värddatorns operativsystem.

Det tekniska begreppet är kernel namespace isolation. Din agents process kan bokstavligen inte se din hemmapp. Kan inte komma åt sökvägar utanför det allokerade utrymmet. Kan inte göra utgående nätverksanrop till något vi inte uttryckligen tillåtit. Inte för att vi bad snällt — utan för att operativsystemet tvingade det på kernelnivå.

Så här ser det ut i praktiken:

# Inifrån agentens sandlåda
ls /Users/
# → ls: cannot access '/Users/': No such file or directory

Det är inte ett behörighetsfel. Den katalogen existerar inte inifrån containern. Filsystemet i sig är annorlunda.

Hur vi byggde det: OpenShell

Den runtime vi valde är OpenShell — en specialbyggd säker runtime för autonoma AI-agenter, utvecklad av NVIDIA och utgiven i mars 2026. Vi var bland de första att testa den under produktionsförhållanden.

OpenShell kör din agent inuti en Docker-container hanterad av ett lättviktigt Kubernetes-kluster. Det låter tungt, men för dig som användare är det ett enda kommando. Det hanterar:

Filsystemsisolering — agentens arbetsyta är helt separerad från värddatorn. Ingen korskontaminering åt något håll. Filer du skapar inuti sandlådan bor där. Filer du har utanför är osynliga för agenten om du inte explicit skickar in dem.

Nätverks-egress-policy — varje utgående nätverksanrop från agenten inspekteras. Vi kör en explicit tillåtelselista: agenten kan nå Anthropics API och Telegram. Inget annat. Om en instruktion ber agenten anropa en URL vi inte godkänt, nekas anslutningen på nätverksnivå — innan den lämnar maskinen.

Credential-injektion — API-nycklar och tokens skrivs aldrig till disk. De injiceras in i containern vid uppstart som miljövariabler och existerar bara i minnet medan sandlådan körs. När sandlådan stoppas är de borta.

Processisolering — seccomp-profiler blockerar systemanrop som skulle kunna möjliggöra privilegieupptrappning. Agenten kan inte bli root. Den kan inte installera kärnmoduler. Den kan inte ändra sin egen säkerhetspolicy.

Varför det spelar roll för ditt arbete

Tänk på vad en kapabel AI-agent faktiskt har tillgång till när du sätter upp den ordentligt:

Din e-post (läsa och skriva)
Din kalender (läsa och schemalägga)
Ditt filsystem (läsa, skriva, köra)
Dina kodrepon (läsa, ändra, pusha)
Dina anslutna API:er (fakturering, CRM, projektledning)

Det är substantiell åtkomst. Den behöver vara substantiell — annars kan agenten inte göra sitt jobb. Men substantiell åtkomst kombinerat med en direkt anslutning till värddatorns OS innebär att ett felaktigt verktygsanrop kan få verkliga konsekvenser.

Med containerisolering:

En löpsk skrivoperation stannar vid sandlådans gräns
Ett komprometterat tredjeparts-verktyg kan inte läsa dina filer
En agent som förvirras om sin räckvidd kan inte påverka något utanför den tillåtna zonen
Om något går fel är skaderadien sandlådan — inte din dator

Vad det inte skyddar mot

Ärlig säkerhetsdokumentation inkluderar begränsningarna.

Sandlådan isolerar runtime — processmiljön. Den skyddar inte mot:

Dåliga instruktioner — om du säger åt din agent att radera dina dokument kommer den att försöka radera dem inuti arbetsytan. Sandlådan utvärderar inte kvaliteten på dina instruktioner.

Data du skickar in — när du ansluter din e-post eller kalender kommer den datan in i sandlådan. Sandlådan förhindrar agenten från att komma åt saker utanför sin zon; den begränsar inte vad den gör med det du gett den tillgång till.

Credential-läckage via utdata — om agenten skriver en fil som innehåller en API-nyckel finns nyckeln nu i sandlådans filsystem. Isoleringen förhindrar exfiltrering, men förhindrar inte att agenten gör misstag.

Det är därför vi har ett andra lager: behörighetspolicyer. Varje förmåga din agent har är uttryckligen konfigurerad. Den har inte tillgång till tjänster du inte anslutit. Och du kan inspektera konfigurationen när som helst.

Frågan om autentiseringsuppgifter

När du sätter upp din Stomme-agent anger du API-nycklar för de tjänster du vill ansluta. Här är exakt vad som händer med dem:

Du anger dem under onboardingen
De överförs via HTTPS till vårt provisioneringssystem
Provisioneringssystemet injicerar dem som miljövariabler i din agents sandlåda vid uppstart
De skrivs aldrig till värddatorns disk
De lagras aldrig på våra servrar längre än vad som behövs för injektionen
När din sandlåda inte körs existerar de inte någonstans beständigt

Onboardingprocessen fångar dem. Sandlåde-runtime:n använder dem. När du är klar är de borta.

Det praktiska resultatet

Hur känns allt det här för dig? Ingenting, mestadels. Säkerhetsarkitekturen är osynlig när allt fungerar korrekt — vilket är poängen. Du skickar ett uppdrag till din agent. Den kör det. Resultaten kommer tillbaka.

Det som förändras är vad du kan lita på. Du kan ge din agent genuint kapabel åtkomst — e-post, filer, kod — i vetskap om att det finns hårda gränser för vad den kan påverka. Du kan utöka vad din agent gör över tid, i vetskap om att felläget för vilket misstag som helst är begränsat.

Agenten som hanterar din förmiddag, triagerar din inkorg och driftsätter din kod körs inte löst på din dator. Den körs i en ändamålsbyggd runtime designad för exakt denna typ av högt förtroende, höga insatser-arbete.

Det är stommen: den bärande strukturen under. Du ser den inte. Men utan den håller ingenting uppe.

Teknisk sammanfattning

Lager	Teknologi	Vad det tillhandahåller
Containerisolering	Docker + K3s	Filsystem- och processeparation
Nätverkspolicy	OpenShell egress engine	Tillåtelselista för utgående HTTPS
Credential-hantering	Runtime-injektion	Nycklar bara i minne, aldrig på disk
Syscall-filtrering	seccomp-profiler	Blockerar privilegieupptrappning
Runtime	OpenShell 0.0.12	Orkestrerar ovanstående

Stomme körs på din Mac. Din agent är isolerad av design — inte av policy.

SicherheitTechnisch

Warum dein KI-Agent eine Sandbox braucht

Die Sicherheitsarchitektur, die Stomme vertrauenswürdig für deine echte Arbeit macht

von Kai Stomme · März 2026

Du hast deinem KI-Agenten Zugang zu deiner E-Mail gegeben. Deinem Kalender. Deinem Dateisystem. Vielleicht zur Codebasis deines Unternehmens.

Frag dich jetzt: Was passiert, wenn der Agent einen Fehler macht?

Nicht dramatisch falsch. Nicht Hollywood-falsch. Nur... ein bisschen falsch. Er missversteht eine Anweisung. Ein Tool-Aufruf hat einen unbeabsichtigten Seiteneffekt. Eine Drittanbieter-API verhält sich unerwartet. Und dein Agent hat die Berechtigung, darauf zu reagieren — weil du es so eingerichtet hast.

Die meisten KI-Agenten laufen direkt auf dem Host-Betriebssystem. Jede Datei, die sie berühren können, können sie löschen. Jeden Ordner, den sie lesen können, können sie hochladen. Jede API, mit der sie verbunden sind, können sie aufrufen. Es gibt keine Wände. Nur den Agenten, dein Gerät und dein Vertrauen.

Wir haben entschieden, dass das nicht gut genug ist.

Was Isolation wirklich bedeutet

Wenn wir sagen, dein Agent läuft in einer isolierten Umgebung, meinen wir nicht, dass wir Warnhinweise in die Benutzeroberfläche eingefügt haben. Wir meinen, dass er in einem Container läuft — einer separaten Rechenumgebung mit eigenem Dateisystem, eigenem Netzwerk-Stack und hardwareerzwungener Trennung vom Host-Betriebssystem.

Der technische Begriff ist Kernel-Namespace-Isolation. Der Prozess deines Agenten kann dein Home-Verzeichnis buchstäblich nicht sehen. Kann nicht auf Pfade außerhalb seines zugewiesenen Bereichs zugreifen. Kann keine ausgehenden Netzwerkanfragen an etwas stellen, das wir nicht explizit erlaubt haben. Nicht weil wir freundlich gefragt haben — sondern weil das Betriebssystem es auf Kernel-Ebene durchsetzt.

So sieht das in der Praxis aus:

# Innerhalb der Sandbox des Agenten
ls /Users/
# → ls: cannot access '/Users/': No such file or directory

Das ist kein Berechtigungsfehler. Dieses Verzeichnis existiert innerhalb des Containers nicht. Das Dateisystem selbst ist anders.

Wie wir es gebaut haben: OpenShell

Die Laufzeitumgebung, die wir gewählt haben, ist OpenShell — eine speziell entwickelte sichere Runtime für autonome KI-Agenten, entwickelt von NVIDIA und im März 2026 veröffentlicht. Wir gehörten zu den ersten, die es unter Produktionsbedingungen getestet haben.

OpenShell führt deinen Agenten in einem Docker-Container aus, der von einem schlanken Kubernetes-Cluster verwaltet wird. Das klingt aufwendig, aber für dich als Nutzer ist es ein einziger Befehl. Es übernimmt:

Dateisystem-Isolation — der Arbeitsbereich des Agenten ist vollständig vom Host getrennt. Keine Kreuzkontamination in irgendeiner Richtung. Dateien, die du innerhalb der Sandbox erstellst, bleiben dort. Dateien, die du außerhalb hast, sind für den Agenten unsichtbar, es sei denn, du gibst sie explizit hinein.

Netzwerk-Egress-Policy — jede ausgehende Netzwerkanfrage des Agenten wird überprüft. Wir führen eine explizite Allowlist: der Agent kann die Anthropic-API und Telegram erreichen. Nichts sonst. Wenn eine Anweisung den Agenten bittet, eine URL aufzurufen, die wir nicht genehmigt haben, wird die Verbindung auf Netzwerkebene abgelehnt — bevor sie das Gerät verlässt.

Credential-Injektion — API-Schlüssel und Tokens werden niemals auf die Festplatte geschrieben. Sie werden beim Start als Umgebungsvariablen in den Container injiziert und existieren nur im Speicher, während die Sandbox läuft. Wenn die Sandbox stoppt, sind sie weg.

Prozess-Isolation — seccomp-Profile blockieren Systemaufrufe, die eine Privilegienerweiterung ermöglichen könnten. Der Agent kann nicht root werden. Er kann keine Kernel-Module installieren. Er kann seine eigene Sicherheitsrichtlinie nicht ändern.

Warum das für deine Arbeit wichtig ist

Bedenke, worauf ein fähiger KI-Agent tatsächlich Zugriff hat, wenn du ihn richtig einrichtest:

Deine E-Mail (lesen und schreiben)
Deinen Kalender (lesen und planen)
Dein Dateisystem (lesen, schreiben, ausführen)
Deine Code-Repositories (lesen, ändern, pushen)
Deine verbundenen APIs (Abrechnung, CRM, Projektmanagement)

Das ist erheblicher Zugriff. Er muss erheblich sein — sonst kann der Agent seinen Job nicht erledigen. Aber erheblicher Zugriff kombiniert mit einer direkten Verbindung zum Host-Betriebssystem bedeutet, dass ein fehlerhafter Tool-Aufruf echte Konsequenzen haben kann.

Mit Container-Isolation:

Eine unkontrollierte Schreiboperation stoppt an der Sandbox-Grenze
Ein kompromittiertes Drittanbieter-Tool kann deine Dateien nicht lesen
Ein Agent, der sich über seinen Geltungsbereich irrt, kann nichts außerhalb der erlaubten Zone beeinflussen
Wenn etwas schiefgeht, ist der Explosionsradius die Sandbox — nicht dein Gerät

Was das nicht schützt

Ehrliche Sicherheitsdokumentation benennt auch die Grenzen.

Die Sandbox isoliert die Runtime — die Prozessausführungsumgebung. Sie schützt nicht vor:

Schlechten Anweisungen — wenn du deinem Agenten sagst, deine Dokumente zu löschen, wird er versuchen, sie innerhalb des Arbeitsbereichs zu löschen. Die Sandbox bewertet nicht die Qualität deiner Anweisungen.

Daten, die du hineinbringst — wenn du deine E-Mail oder deinen Kalender verbindest, kommen diese Daten in die Sandbox. Die Sandbox verhindert, dass der Agent auf Dinge außerhalb seiner Zone zugreift; sie schränkt nicht ein, was er mit dem macht, worauf du ihm Zugriff gegeben hast.

Credential-Leaks über Ausgaben — wenn der Agent eine Datei schreibt, die einen API-Schlüssel enthält, ist dieser Schlüssel jetzt im Sandbox-Dateisystem. Die Isolation verhindert Exfiltration, verhindert aber nicht, dass der Agent Fehler macht.

Deshalb haben wir eine zweite Schicht: Berechtigungsrichtlinien. Jede Fähigkeit, die dein Agent hat, ist explizit konfiguriert. Er hat keinen Zugriff auf Dienste, die du nicht verbunden hast. Und du kannst die Konfiguration jederzeit einsehen.

Die Frage nach den Zugangsdaten

Wenn du deinen Stomme-Agenten einrichtest, gibst du API-Schlüssel für die Dienste an, die du verbinden möchtest. Hier ist genau, was damit passiert:

Du gibst sie beim Onboarding ein
Sie werden per HTTPS an unser Provisionierungssystem übertragen
Das Provisionierungssystem injiziert sie beim Start als Umgebungsvariablen in die Sandbox deines Agenten
Sie werden niemals auf die Festplatte deines Geräts geschrieben
Sie werden niemals auf unseren Servern gespeichert, über das hinaus, was für die Injektion benötigt wird
Wenn deine Sandbox nicht läuft, existieren sie nirgends dauerhaft

Der Onboarding-Prozess erfasst sie. Die Sandbox-Runtime verwendet sie. Wenn du fertig bist, sind sie weg.

Das praktische Ergebnis

Wie fühlt sich das alles für dich an? Meistens nach nichts. Die Sicherheitsarchitektur ist unsichtbar, wenn alles korrekt funktioniert — das ist der Punkt. Du gibst deinem Agenten eine Aufgabe. Er führt sie aus. Die Ergebnisse kommen zurück.

Was sich ändert, ist das, was du vertrauen kannst. Du kannst deinem Agenten wirklich leistungsfähigen Zugang geben — E-Mail, Dateien, Code — in dem Wissen, dass es harte Grenzen gibt, was er beeinflussen kann. Du kannst im Laufe der Zeit erweitern, was dein Agent tut, in dem Wissen, dass der Fehlerfall eines jeden Fehlers begrenzt ist.

Der Agent, der deine Morgenbesprechung vorbereitet, deinen Posteingang triagiert und deinen Code deployed, läuft nicht unkontrolliert auf deinem Gerät. Er läuft in einer zweckgebauten Runtime, die genau für diese Art von hochvertrauens- und hocheinsatzreicher Arbeit entwickelt wurde.

Das ist das Stomme: die tragende Struktur darunter. Du siehst sie nicht. Aber ohne sie hält nichts stand.

Technische Zusammenfassung

Schicht	Technologie	Was es bietet
Container-Isolation	Docker + K3s	Dateisystem- und Prozesstrennung
Netzwerkrichtlinie	OpenShell Egress Engine	Allowlist für ausgehende HTTPS
Credential-Verwaltung	Runtime-Injektion	Schlüssel nur im Speicher, nie auf der Festplatte
Syscall-Filterung	seccomp-Profile	Privilegienerweiterung blockieren
Runtime	OpenShell 0.0.12	Orchestriert das Obige

Stomme läuft auf deinem Mac. Dein Agent ist durch Design isoliert — nicht durch Richtlinien.