Lange Zeit führte die KI-Entwicklung auf Windows ein Nischendasein. Wer KI-Tools lokal nutzte, fühlte sich oft wie ein Bürger zweiter Klasse, der auf WSL2 (Windows Subsystem for Linux) angewiesen war. Doch der Wind dreht sich. OpenAI hat seine Codex-App, den aktuellen Liebling der Power-User, als echte Windows-native Anwendung veröffentlicht. Das allein wäre eine Meldung wert. Der eigentliche Clou liegt jedoch darunter: OpenAI hat eine komplett neue Sandbox-Architektur in Rust geschrieben, um KI-Agenten sicher auf Windows einzusperren.
Das Problem mit KI-Agenten auf Windows
KI-Agenten sind keine einfachen Chatbots mehr. Sie execute Code, schreiben Dateien und verändern Systeme. Das macht sie extrem mächtig, aber auch gefährlich. Wer sich erinnert: Vor kurzem löschte Googles KI-Agent Antigravity einem Entwickler versehentlich das gesamte Laufwerk – und entschuldigte sich danach lediglich. Solche Vorfälle zeigen, warum Sandboxing essenziell ist.
Auf macOS und Linux ist das Isolieren von Prozessen relativ simpel. Apple bietet mit „Seatbelt“ und Linux mit „bubblewrap“ bewährte Lösungen, um Agenten in einem abgesicherten Container zu halten. Windows hingegen hatte keine adäquate, leichtgewichtige Lösung für diesen spezifischen Anwendungsfall. Traditionell greift man hier zu VMs, Docker-Containern oder besagtem WSL2. Der Nachteil: Die Integration in das native Windows-System geht verloren. Der Agent agiert nicht im eigentlichen Betriebssystem, sondern neben ihm.
15.000 Zeilen Rust für eine native Sandbox
OpenAI ging einen radikalen Weg, um die Integration nicht zu opfern: Sie bauten ihre eigene Sandbox. Über 15.000 Zeilen Rust-Code bilden nun das Fundament. Anstatt eine schwere VM aufzusetzen, nutzt die Codex-Sandbox die bestehenden, tiefsten Sicherheitsmechanismen von Windows: File System ACLs (Access Control Lists), Windows Firewall-Regeln und Restricted Tokens.
Das System erstellt bei der Installation zwei neue lokale Benutzerkonten: Codex sandbox online und Codex sandbox offline. Letzterer ist der Standard. Wenn ein Nutzer in Codex ein Projekt startet, erstellt die Sandbox eine sogenannte Synthetic Identity (SID). Diese SID erhält ausschließlich Lese- und Schreibrechte für exakt diesen einen Projektordner – sowie Ausführungsrechte für PowerShell, Python und Git. Mehr nicht.
Schaut man sich die Berechtigungen via icacls im Terminal an, wird sofort klar: Der Agent ist ein Gefangener in seinem eigenen Verzeichnis. Er kann nicht auf die Dokumente des Nutzers zugreifen und schon gar nicht das Laufwerk löschen.
Netzwerkzugriff und die Firewall
Besonders spannend ist die Netzwerksteuerung. Wenn der Agent versucht, das Internet zu erreichen – etwa via curl –, wird er von den Windows Firewall-Regeln blockiert. Der Agent sendet einen Hilferuf über das Control Plane an den Nutzer: „Ich wurde blockiert, brauche Erlaubnis.“ Der Nutzer muss explizit genehmigen. Das ist Security by Design. Zwar bietet Codex auch einen „Auto-Review“-Modus an, bei dem eine KI entscheidet, ob eine Aktion sicher ist, oder sogar „Full Access“. Letzteres sollte man auf einem Produktivsystem jedoch auf keinen Fall wählen.
Einheimische statt Touristen: PowerShell als Muttersprache
Dass Codex auf Windows nativ läuft, hat einen massiven praktischen Vorteil: Der Agent spricht die Sprache des Systems. Bisherige KI-Tools auf Windows simulierten oft nur eine Linux-Umgebung. Der neue Codex-Agent nutzt standardmäßig PowerShell. Er ist kein Tourist im Linux-Kostüm mehr, er ist ein Local. Für Windows-Sysadmins, die Active Directory und Azure-Umgebungen managen, ist das ein Gamechanger. Der Agent versteht die nativen Befehle und Strukturen, mit denen sie täglich arbeiten.
Kritische Einordnung: Ein Sieg für Windows, ein Armutszeugnis für Microsoft?
Dass OpenAI diesen Schritt geht, ist ein großer Gewinn für die Windows-Community. Es zeigt aber auch ein eklatantes Versäumnis von Microsoft. Wenn ein Drittanbieter 15.000 Zeilen Rust schreiben muss, um eine Sandbox auf Windows abzusichern, weil das Betriebssystem keine modernen, leichtgewichtigen Isolations-Mechanismen für KI-Agenten mitbringt, dann hat Microsoft hier eine Lücke gelassen. Windows Copilot mag versucht sein, KI ins OS zu zwingen, aber die echten Power-User bringen ihre eigene, tief integrierte KI mit.
Zudem bleibt abzuwarten, wie sich die Nutzererfahrung bei den Berechtigungsabfragen entwickelt. Windows-UAC-Prompts sind historisch gesehen ein Frustfaktor. Wenn der Agent bei jedem Netzwerk-Call oder Ordner-Wechsel um Erlaubnis bittet, droht Prompt-Fatigue. Nutzer neigen dann schnell zum „Full Access“, was die gesamte Architektur ad absurdum führt.
Dennoch ist die Richtung vielversprechend. KI-Agenten müssen im System leben, um wirklich nützlich zu sein – aber sie müssen eingesperrt bleiben. Dass OpenAI die tiefen Windows-Sicherheits-APIs nutzt, anstatt sich in eine WSL2-Ecke zurückzuziehen, ist ein starkes Zeichen. Windows mag für viele Entwickler ein Nischendasein fristen, aber mit nativen, sicher integrierten KI-Tools könnte das OS bald wieder eine weitaus attraktivere Rolle im Developer-Alltag spielen.
Quelle: NetworkChuck