O czym ten wpis
Porównanie narzędzi do lokalnej izolacji agentów AI (Claude Code, OpenAI Codex, Cursor) na macOS, Linux i Windows. Agent kodujący ma dostęp do terminala, plików i sieci — sandbox ogranicza co może zrobić.
Dlaczego sandbox?
- Agent może przypadkowo usunąć pliki, zmodyfikować konfigurację systemu
- Credentials w dotfiles (
.env,.ssh,.aws) są dostępne dla agenta - Połączenia sieciowe mogą wyciekać dane
-
sandbox-execna macOS jest deprecated od 2016, ale nadal działa (Chrome, Claude Code, Codex go używają)
Szybki start — macOS (Agent Safehouse)
Najszybszy sposób na uruchomienie Claude Code w sandboxie na macOS:
# 1. Instalacja
brew install eugene1g/safehouse/agent-safehouse
# 2. Uruchomienie Claude w sandboxie
cd ~/projects/moj-projekt
safehouse claude --dangerously-skip-permissions
safehouse --add-dirs-ro /etc/resolv.conf claude --dangerously-skip-permissions # jesli chcemy odpalac np. testy Rails
safehouse opakowuje proces w sandbox-exec z polityką ograniczającą dostęp do FS i sieci. Flaga --dangerously-skip-permissions wyłącza potwierdzenia w Claude Code (bo sandbox i tak pilnuje granic).
Agent widzi tylko katalog projektu i niezbędne zależności — nie ma dostępu do ~/.ssh, ~/.aws, ~/.env ani innych wrażliwych plików.
Porównanie — macOS
| Narzędzie | GitHub Stars | Open Source | Licencja | Rok | Cena | Opis |
|---|---|---|---|---|---|---|
| Agent Safehouse | ~830 | Tak | MIT | 2025 | Free | Generator polityk sandbox-exec, profile dla Claude Code/Codex, Policy Builder online |
| Sandvault | ~200 | Tak | MIT | 2025 | Free |
sandbox-exec + konta Unix, agent jako unprivileged user, Homebrew |
| Treebeard | ~150 | Tak | MIT | 2025 | Free |
sandbox-exec + git worktree + overlay FS, copy-on-write |
| Multitui | ~100 | Nie | Proprietary | 2025 | Free | GUI dla sandbox-exec, filtrowanie per domena, detekcja secrets |
| yoloai | ~300 | Tak | MIT | 2025 | Free | Copy-on-write, backend: Docker/Seatbelt/Tart, review zmian przed apply |
| OrbStack | ~8,200 | Nie | Proprietary | 2023 | Free/$8/mo | Szybki Docker na macOS, lekki VM |
| Lima | ~15,200 | Tak | Apache-2.0 | 2021 | Free | Lekkie VM z Linuxem na macOS |
| Apple Container | ~3,000 | Tak | Apache-2.0 | 2025 | Free | Oficjalne kontenery Ubuntu od Apple |
Najlepszy wybór na macOS: Agent Safehouse — natywny, zero overhead, dedykowane profile dla Claude Code. Dla pełnej izolacji: yoloai (copy-on-write + review zmian).
Porównanie — Linux
| Narzędzie | GitHub Stars | Open Source | Licencja | Rok | Cena | Opis |
|---|---|---|---|---|---|---|
| nsjail | ~3,700 | Tak | Apache-2.0 | 2015 | Free | Lekki sandbox Google, namespaces + seccomp + cgroups |
| Firejail | ~7,200 | Tak | GPL v2 | 2014 | Free | Sandboxing procesów, profile aplikacji, łatwa konfiguracja |
| Greywall | ~100 | Tak | MIT | 2025 | Free | Binary wrapper z proxy sieciowym, dynamiczne reguły runtime |
| pi-sandbox | ~200 | Tak | MIT | 2025 | Free | Cross-platform (bubblewrap na Linux), UX do bypass blokad |
| sandnix | ~100 | Tak | MIT | 2025 | Free | Nix + landrun (Linux), cross-platform |
| amazing-sandbox | ~100 | Tak | MIT | 2025 | Free | Cross-platform Linux + macOS |
| Docker | ~71,500 | Tak | Apache-2.0 | 2013 | Free | Pełna izolacja kontenerowa |
Najlepszy wybór na Linux: nsjail — lekki, dojrzały, minimalny overhead. Dla prostszej konfiguracji: Firejail.
Porównanie — Windows
| Narzędzie | GitHub Stars | Open Source | Licencja | Rok | Cena | Opis |
|---|---|---|---|---|---|---|
| Docker Desktop | ~71,500 | Tak (engine) | Apache-2.0 | 2013 | Free/$5/mo | Kontenery przez WSL2/Hyper-V |
| WSL2 + nsjail | — | Tak | — | — | Free | nsjail w WSL2 |
| Devcontainers | ~4,900 | Tak | MIT | 2019 | Free | Standard dev containers, VS Code integration |
Najlepszy wybór na Windows: Docker Desktop + WSL2 — jedyna dojrzała opcja. Natywnych sandboxów dla agentów AI na Windows praktycznie nie ma.
Narzędzia cross-platform (cloud)
| Narzędzie | Stars | Open Source | Rok | Cena | Opis |
|---|---|---|---|---|---|
| E2B | ~8,900 | Tak (Apache-2.0) | 2023 | Free/$150/mo | Cloud sandbox VM dla agentów, SDK Python/JS |
| Daytona | ~63,900 | Tak (Apache-2.0) | 2023 | $0.067/hr | Dev environments w chmurze |
| OpenHands | ~68,600 | Tak (MIT) | 2024 | Free | Agent AI z wbudowanym Docker sandbox |
| GitHub Codespaces | — | Nie | 2020 | $0.18/hr | Cloud dev environments |
Podejścia do izolacji
1. Sandbox procesów (najlżejszy)
sandbox-exec (macOS) lub nsjail/firejail (Linux) — ogranicza dostęp do FS i sieci bez VM/kontenerów.
2. Copy-on-write (najlepszy UX)
yoloai, Treebeard, Amika — agent pracuje na kopii, zmiany review’ujesz przed apply.
3. Kontenery (najpewniejszy)
Docker, Apple Container — pełna izolacja, ale większy overhead.
4. Warstwy dodatkowe
- agentbox — interceptuje połączenia z komunikatem “don’t bypass”
- Kilntainers — sandboxuje tylko narzędzie Bash agenta, nie cały agent
- nono.sh — proxy credentials, agent nie widzi sekretów
Rekomendacje
| Platforma | Szybki start | Pełna izolacja |
|---|---|---|
| macOS | Agent Safehouse | yoloai (copy-on-write) |
| Linux | Firejail | nsjail |
| Windows | Docker + WSL2 | Docker + WSL2 |