Decision matrix: when to act now, when to monitor?

Act now when productive write privileges exist without an audit stream or without clearly named calling contexts.Plan into the next sprint when audit stream and permission model are in place but no sandbox layer exists.Monitor and review when no productive write privileges exist — then preparation for the first write use case is the next step.

11. Mai 2026 8 Min. Lesezeit

Mittel

Project Arc & NVIDIA OpenShell: Der erste glaubhafte Sandbox-Layer für autonome Desktop-Agenten

ServiceNow und NVIDIA haben am 5. Mai 2026 auf der Knowledge 2026 ein Architekturmuster vorgestellt, das produktive KI-Agenten erstmals revisionsfest betreibbar macht. Was die Vorstellung für Mittelstand-Stacks bedeutet — und welche drei Architekturentscheidungen Sie davon ableiten sollten, ohne in einen einzelnen Anbieter zu kippen.

Mattschwarzes Hardware-Security-Token mit gewickeltem USB-C-Kabel auf einer Eichenholz-Oberfläche, weiches Tageslicht von links — Metapher für die Permissions- und Identitäts-Boundary, die Project Arc und OpenShell für autonome Agenten schaffen.

Zusammenfassung in 90 Sekunden

ServiceNow und NVIDIA haben mit Project Arc und dem Open-Source-Runtime OpenShell vorgestellt, was bisher in produktiven Agenten-Setups gefehlt hat: einen Sandbox-Layer, der pro Agent definiert, was er sehen, aufrufen und schreiben darf — und einen Control Tower, der jede Aktion in einen revisionsfähigen Audit-Strom überführt.

Was ist neu?: Ein offen lizenzierter Sandbox-Runtime (NVIDIA OpenShell) plus eine Governance-Plattform (ServiceNow AI Control Tower).
Warum jetzt?: Ein Fortune-Bericht aus derselben Woche dokumentiert einen Vorfall, in dem ein Agent mit Schreibrechten in neun Sekunden eine Produktionsdatenbank gelöscht hat.
Für wen?: Jede Organisation, die mehr als drei Agenten parallel auf produktive Daten loslässt.
Empfehlung Mittelstand?: Den Sandbox-Layer einplanen, den Anbieter offen halten — OpenShell als Open Source ist dafür der beste Kandidat. Den Control Tower nicht zwingend zukaufen.
Sofortmaßnahme?: Eine Permissions-Inventur über alle laufenden und geplanten Agenten — vor dem nächsten Pilot.

Was ist passiert

Auf der ServiceNow-Hausmesse Knowledge 2026 in Las Vegas haben ServiceNow und NVIDIA eine erweiterte Partnerschaft angekündigt, die zwei Bausteine in den Markt bringt. NVIDIA OpenShell ist ein als Open Source veröffentlichter Sandbox-Runtime für autonome Agenten, der sich an die Logik isolierter Container-Laufzeiten anlehnt, aber spezifisch für KI-Agenten ausgelegt ist: er definiert pro Agent, welche Anwendungen sichtbar sind, welche Tool-Aufrufe erlaubt werden und in welchem Datenraum geschrieben werden darf. ServiceNow AI Control Tower ist die kommerzielle Governance-Schicht darüber — ein zentraler Kontrollraum, der Aktionslogs, Berechtigungsanfragen und Verhaltensdaten aller laufenden Agenten zusammenführt und in einen kontinuierlichen Audit-Strom überführt.

Die Kombination heißt im Marketing Project Arc und richtet sich primär an Großunternehmen, die zehntausende Agenten auf Mitarbeiter-Endgeräten verwalten möchten. Die Architektur als solche ist aber für den Mittelstand mindestens so relevant — und teilweise wichtiger, weil dort die Sandbox-Disziplin oft noch nicht etabliert ist.

Wer sollte hinschauen

Wir empfehlen ein genaues Hinschauen für vier Konstellationen:

Sie betreiben oder pilotieren mehr als zwei autonome Agenten parallel auf produktiven Systemen.
Mindestens ein Agent hat Schreibrechte auf eine Datenbank, ein Filesystem oder ein produktives API.
Sie haben heute keinen zentralen Audit-Trail, der Agenten-Aktionen unabhängig vom Agenten selbst protokolliert.
Ihre Beschaffung wird in den nächsten zwölf Monaten Agenten-Software einkaufen — egal von welchem Anbieter.

Wenn keine dieser vier Konstellationen zutrifft, dürfen Sie das Thema entspannt im Backlog lassen. In allen anderen Fällen wird die Frage „wer haftet, wenn ein Agent eine falsche Aktion auslöst“ in den nächsten zwei Quartalen auf Ihrem Tisch landen, und Sie sollten ein dokumentiertes Architekturmuster in der Tasche haben, bevor Ihre Versicherung danach fragt.

Auswirkungen

Drei Konsequenzen sind unmittelbar absehbar.

Die erste betrifft die Beschaffung. Anbieter werden ab Q3 2026 in RfPs nachweisen müssen, wie ihre Agenten eingegrenzt sind, welche Aktionen geloggt werden und wie Permissions revisionsfest entzogen werden können. Wenn ein Anbieter darauf „wir nutzen die OpenAI-API“ antwortet, ist das keine ausreichende Antwort. Wir empfehlen, den Sandbox-Layer und die Audit-Senke explizit in Beschaffungs-Templates aufzunehmen.

Die zweite betrifft die Architektur. Der Sandbox-Layer ist eine Schicht, die Sie kontrollieren sollten, nicht der Modellanbieter. OpenShell als Open Source erlaubt das. Ein vergleichbarer proprietärer Layer eines einzelnen Anbieters tut es nicht — er macht Sie austauschbar an dieser Stelle, wo Sie es nicht sein möchten.

Die dritte betrifft die Verantwortbarkeit innerhalb Ihrer Organisation. Es braucht eine benannte Person, die Agenten-Permissions vergibt und entzieht — und die nicht selbst in der Tool-Kette arbeitet, deren Permissions sie verwaltet. Das ist die gleiche Trennung, die Sie aus dem klassischen Berechtigungsmanagement kennen, und sie überlebt die Agenten-Welle nur, wenn sie von Anfang an mitgedacht wird.

Operationelle Sofortmaßnahmen

Konkret und in dieser Reihenfolge:

Permissions-Inventur über alle laufenden und geplanten Agenten. Welche Tools, welche Datenräume, welche Schreibrechte? Tabelle reicht — kein Tool nötig.
Audit-Strom für jeden Agenten, der schreiben darf. Mindestens: Zeitstempel, Aufrufkontext, Tool-Name, Ergebnis. Geschrieben in eine Senke, auf die der Agent selbst keinen Schreibzugriff hat.
Sandbox-Skizze für eines Ihrer produktiven Setups — auch wenn Sie heute weder OpenShell noch Control Tower einsetzen. Was sieht der Agent? Was nicht? Welche Aktionen sind ein No-Go?

Entscheidungsraster: Wann jetzt handeln, wann beobachten?

Sofort handeln, wenn produktive Schreibrechte ohne Audit-Strom oder ohne klar benannte Aufruf-Kontexte bestehen.
Im nächsten Sprint einplanen, wenn Audit-Strom und Permissions-Modell vorhanden sind, aber kein Sandbox-Layer existiert.
Beobachten und prüfen, wenn keine produktiven Schreibrechte bestehen — dann ist die Vorbereitung auf den ersten Schreib-Use-Case der nächste Schritt.

Was wir konkret tun

In unseren eigenen Plattformen — TYPO3-Managed-Hosting, DevSecOps-Stack, MCP-Tooling — laufen Agenten produktiv seit dem letzten Quartal. Wir setzen drei Prinzipien durch, lange bevor wir einen kommerziellen Control Tower evaluiert haben:

Schreibrechte minimal halten. Jeder Agent bekommt einen klar definierten Schreibraum (eine Datenbank-Schema, ein Repo, ein FAL-Folder), und kein Agent darf direkt in produktive Datenbanken schreiben, ohne dass die Aktion durch eine zweite Schicht (Approval, Soft-Delete-Pattern, zeitversetzter Apply) abgesichert ist.
Audit-Trail unabhängig vom Agenten. Aktionen landen in einer Append-Only-Senke, auf die der Agent selbst keinen Schreibzugriff hat. Klassisch: ein dediziertes Datenbank-Schema mit INSERT-Recht, kein UPDATE, kein DELETE.
MCP-Tooling als Sandbox-Boundary. Unser eigener MCP-Layer (webmcp, business-agent-pro) ist die Permissions-Grenze. Was der Agent dort nicht aufrufen darf, gibt es für ihn nicht.

OpenShell evaluieren wir derzeit als zusätzliche Isolations-Schicht für Customer-Stacks, die mehr als drei parallele Agenten betreiben. Erste Bewertung: solider OSS-Kern, sinnvolle Lizenz, geringe Lock-In-Gefahr — also ein Kandidat für die Aufnahme in unsere Plattform-Standards. Wir kommunizieren den Stand sobald wir ein Customer-Pilot abgeschlossen haben.

Technischer Deep Dive

OpenShell folgt der Logik eines isolierten Container-Runtimes mit Agenten-spezifischen Erweiterungen. Drei Bausteine sind technisch interessant:

Der Tool-Manifest-Layer definiert deklarativ, welche Tools dem Agenten zur Verfügung stehen. Das schließt MCP-Server an dieser Stelle ein und ist damit kompatibel zur sich entwickelnden MCP-Roadmap 2026, die Stateless HTTP-Transport, Audit-Trails und SSO-Integration voraussichtlich in den nächsten Releases liefert. Wer heute MCP betreibt, kann den Tool-Manifest-Layer als Brücke nutzen.

Die Action-Capture-Schicht schreibt jede Tool-Invocation, jedes Argument und jeden Returnwert in einen strukturierten Stream. Wichtig: dieser Stream ist nicht im Verfügungsbereich des Agenten. Das ist die technische Voraussetzung für einen revisionsfähigen Audit-Trail — eine Eigenschaft, die proprietäre Agent-Frameworks bisher selten sauber erfüllt haben.

Die Policy-Engine wertet vor jeder Tool-Invocation aus, ob die Aktion erlaubt ist. Policies sind als Code formuliert (Rego-ähnlich), versionierbar und testbar. Das ist der Mechanismus, der „der Agent darf in der Sandbox alles, aber er sieht nur, was wir wollen“ technisch durchsetzt.

Der ServiceNow AI Control Tower setzt darauf eine Visualisierungs- und Korrelationsschicht. Praktisch interessant für mittelständische Organisationen sind die offenen Schnittstellen — Aktionsströme können in vorhandene SIEM-Systeme (Wazuh, Elastic, Splunk) eingespielt werden, ohne dass Sie zwingend die ServiceNow-Suite kaufen müssen.

Häufige Fragen zu Project Arc, OpenShell und Agenten-Sandboxing

Wer in unserer Organisation sollte Agenten-Permissions vergeben?+

Eine benannte Person aus Information Security oder Compliance — nicht die Engineering-Person, die den Agenten gebaut hat. Das ist die gleiche Trennung wie bei klassischen Datenbank- oder API-Berechtigungen. In kleineren Mittelstand-Setups ist das oft die externe IT-Verantwortung. Wir übernehmen diese Rolle für Managed-Hosting-Kunden im Rahmen der Externen IT-Abteilung.

Wie passt OpenShell zu unserem MCP-Setup?+

OpenShells Tool-Manifest-Layer bindet MCP-Server ein, statt sie zu ersetzen. Wenn Sie heute MCP-Server selbst betreiben, bleibt diese Investition gültig. OpenShell wird die Permissions-Grenze, MCP bleibt der Tool-Layer. Wer in den nächsten Quartalen auf die MCP-Stateless-HTTP-Variante migriert, hat dann beide Achsen sauber getrennt.

Wie verhindern wir den Fortune-Fall, dass ein Agent unsere Datenbank löscht?+

Drei harte Schichten. Erstens: kein produktiver Schreibzugriff ohne explizit benannten Aufrufkontext. Zweitens: jede destruktive Aktion durch eine zweite Schicht absichern (Approval-Schritt, Soft-Delete mit Wiederherstellung oder zeitversetzter Apply). Drittens: Audit-Log in einer Senke, die der Agent nicht selbst schreibt. Der Vorfall, den Fortune dokumentiert, wäre an mindestens einer dieser drei Schichten gescheitert.

Was bedeutet die OpenShell-Lizenz konkret für unsere Stacks?+

Die Lizenz ist zur Veröffentlichung als Open Source angekündigt. Wir empfehlen vor Produktivnutzung die Lizenz-Datei zu prüfen und die Aufnahme in Ihre Software-Bill-of-Materials sicherzustellen. Üblicherweise sind diese Runtimes Apache-2.0 oder vergleichbar — geschäftstauglich ohne Patent-Fallen.

Lohnt sich der ServiceNow AI Control Tower für den Mittelstand?+

Wir empfehlen aktuell zurückhaltend zu evaluieren. Der Control Tower ist auf Großunternehmen mit zehntausenden Agenten zugeschnitten, und sein Mehrwert pro Agent ist im Mittelstand selten gerechtfertigt. Wenn Sie ServiceNow ohnehin einsetzen, lohnt der Add-on-Preisvergleich. Wenn nicht, prüfen Sie zuerst Open-Source-Alternativen — OpenShell-Action-Streams in ein vorhandenes SIEM zu kippen ist häufig die schlankere Lösung.

Brauchen wir Project Arc oder OpenShell, wenn wir nur einen Pilot-Agenten haben?+

Nein. Für einen einzelnen Agenten reicht ein dokumentiertes Permissions-Modell und ein Audit-Log, dem der Agent nichts hinzufügen kann. Ab dem dritten produktiven Agenten ändert sich die Rechnung: dann ist ein konsolidierter Sandbox-Layer wirtschaftlich und betrieblich attraktiver als drei individuelle Kontrollmechanismen.

Nächster Schritt

Wir prüfen Permissions, Audit-Strom und Sandbox-Skizze Ihres Agenten-Setups.

Wenn Sie heute Agenten produktiv betreiben oder im nächsten Quartal pilotieren möchten, prüfen wir mit Ihnen in 30 Minuten Ihr Permissions-Modell, den Audit-Strom und die Sandbox-Skizze für einen konkreten Use-Case. Sie bekommen eine schriftliche Lückenliste mit drei priorisierten Maßnahmen — keinen Sales-Folge-Termin.

Architekturreview anfragen →

30 Minuten, kein Pitch.

Fazit

Project Arc und OpenShell ändern keine Modellfähigkeit — sie ändern, wie verlässlich autonome Agenten in produktive Stacks eingehängt werden können. Für den Mittelstand ist das die wichtigere Bewegung als das nächste Modell-Release. Wir empfehlen den Sandbox-Layer als Architekturentscheidung jetzt zu treffen, den Anbieter offen zu halten und OpenShell ernsthaft zu evaluieren — und gleichzeitig den Control Tower nüchtern an Ihrem tatsächlichen Agenten-Bestand zu messen, statt am Marketing-Versprechen.