Perplexity Computer ist ein autonomer Agent, der Code ausführt, im Internet recherchiert und externe Dienste nutzt, um komplexe Aufgaben eigenständig zu erledigen. Perplexity Computer Sicherheit war dabei von Tag eins ein zentrales Entwicklungsziel, das auf einer bestehenden SOC 2 Type II zertifizierten Infrastruktur mit SAML SSO und Audit Logs aufsetzt. Da die Ausführung von Code und die Anbindung liveer Dienste jedoch neue Risiken mit sich bringen, erforderte es zusätzliche Schutzmaßnahmen. Wie das Unternehmen Nutzer durch Sandbox-Isolation, kontrollierte Connectors und Prompt-Injection-Abwehr schützt, zeigt dieser Überblick.
Perplexity Computer Sicherheit durch Sandbox-Isolation
Jede Aufgabe in Perplexity Computer läuft innerhalb einer eigenen Firecracker microVM. Diese virtuelle Maschine erzwingt das Prinzip der geringsten Rechte auf einer Ebene, die über die Standard-Sicherheit von Betriebssystemen hinausgeht.
Die Isolierung erfolgt über drei Dimensionen. Jede Session erhält einen dedizierten Linux-Kernel. Das Dateisystem ist vollständig isoliert und wird nach Session-Ende zurückgesetzt. Zudem verfügt jede Sandbox über einen privaten Netzwerk-Namespace mit eigenen Firewall-Regeln.
Lebenszyklusmanagement und Berechtigungen
Inaktive Sandboxen pausieren automatisch und werden nach einer gewissen Zeit zerstört. Nur für die aktuelle Aufgabe benötigte Anmeldedaten werden eingespeist und gemeinsam mit der Umgebung vernichtet. Sub-Agenten nutzen kurzlebige Proxy-Token statt direkter API-Schlüssel.
Zusätzlich trennt Perplexity Datenspeicher und Code-Ausführung physisch über separate Cloud-VPCs. Die Kommunikation zwischen beiden Bereichen erfolgt ausschließlich über verschlüsselte HTTPS-Verbindungen.
Kontrollierter Zugriff auf externe Dienste
Perplexity Computer kann sich mit externen Services verbinden, ohne die Kontrolle über den Datenfluss zu verlieren. Administratoren legen fest, welche Connectors für die Organisation überhaupt verfügbar sind.
Authentifizierung und minimale Datenübertragung
Einzelne Nutzer authentifizieren die gewünschten Dienste selbst. Integrierte Anbindungen wie Google oder Microsoft nutzen Provider-Authentifizierungsflows. Individuelle Remote-Connectors unterstützen OAuth 2.0 oder unternehmensverwaltete API-Schlüssel. Alle Varianten sind so konzipiert, dass sie ausschließlich die für die Aufgabe nötigen Daten übertragen.
Verschlüsselung und datenschutzfreundliche Handhabung
Remote-Connectors müssen zwingend HTTPS verwenden. Dateidaten aus Connectors werden während der Übertragung und im Ruhezustand verschlüsselt. Enterprise-Daten wie Aufgaben-Ein- und Ausgaben, Connector-Informationen und Sandbox-Inhalte fließen nicht in das Modelltraining ein. Dateianhänge werden automatisch nach sieben Tagen gelöscht.
Abwehr von Prompt-Injection-Angriffen
Da der Agent im Internet recherchiert und externe Inhalte liest, besteht die Gefahr von Prompt-Injection-Angriffen. Perplexity setzt hier auf eine mehrschichtige Abwehrarchitektur, die ursprünglich für Comet entwickelt und für Computer erweitert wurde.
Dazu gehören das Open-Source-Modell BrowseSafe sowie ML-Klassifikatoren, die abgerufene Inhalte vor der Verarbeitung prüfen. Das Erkennungssystem arbeitet parallel zur Reasoning-Pipeline des Agenten und löst einen sicheren Stopp aus, wenn verdächtige Inhalte auftauchen.
Die Klassifikatoren werden kontinuierlich auf Basis von Bug-Bounty-Funden, Red-Team-Übungen und realen Erkennungsereignissen aktualisiert. Zusätzlich enthalten die System-Prompts jedes Tools explizite Guardrails. Externe Inhalte werden als nicht vertrauenswürdig markiert, während das System kontinuierlich die ursprüngliche Nutzeranfrage als Referenz behält.
Enterprise Governance und Admin-Steuerung
Für Unternehmenskunden bietet Perplexity erweiterte Kontrollmöglichkeiten, um den Einsatz von Computer im eigenen Haus zu regulieren.
Audit Logs und SIEM-Integration
Administratoren können wichtige Ereignisse protokollieren lassen. Dazu zählen Nutzeranfragen, agentische Aktionen, Dateizugriffe und die Nutzung von Connectors. Die Audit Logs lassen sich in führende SIEM-Systeme wie Splunk, Azure Sentinel und Datadog einbinden. Sicherheitsteams können Computer-Aktivitäten so nahtlos in ihre bestehende Monitoring-Infrastruktur integrieren.
Granulare Zugriffs- und Kostensteuerung
Admins können Computer global deaktivieren oder gezielt für einzelne Mitglieder freischalten. Drittanbieter-Connectors wie Gmail, Outlook, Slack, GitHub, Notion, Snowflake, Databricks und Salesforce lassen sich separat ein- oder ausschalten. Auch die verwendbaren KI-Modelle können eingeschränkt werden.
Im Bereich Billing lassen sich pro Sitzplatz Credit-Limits festlegen, individuelle Zuweisungen überschreiben und automatische Nachlade-Schwellen konfigurieren. Monatliche Obergrenzen sowie die Beschränkung auf die im Preis inbegriffenen Credits sind ebenfalls möglich.
Weitere Details finden sich im Trust Center und in der offiziellen Dokumentation.
Quelle: https://www.perplexity.ai/hub/blog/how-we-built-security-into-computer
