sandbox-shell：为 AI 编程工作流打造的 macOS 沙箱隔离方案

sandbox-shell是一款专为Claude Code等AI编程工具设计的macOS沙箱CLI，通过Seatbelt实现默认拒绝的文件系统隔离，保护SSH密钥、AWS凭证等敏感数据免受供应链攻击，解决AI编程时代开发者面临的安全困境。

随着Claude Code、Cursor等AI编程助手普及，开发者常让AI执行代码、安装依赖，但恶意npm包、篡改开源库或AI无意执行的破坏性命令可能窃取/删除敏感文件。传统权限管理难以判断操作安全性，而macOS内置Seatbelt沙箱机制提供了解决方案。

sandbox-shell是封装Seatbelt配置的命令行工具，采用"默认拒绝"理念（除非明确允许，否则禁止文件系统访问）。适用于：AI工作流运行不可信代码、执行互联网脚本、测试依赖包、隔离构建环境等场景。

Seatbelt沙箱技术

Seatbelt是macOS强制访问控制机制，通过配置限制进程权限，sandbox-shell利用其创建受限环境。

默认拒绝策略

禁止一切访问，除非允许：无法访问主目录、敏感配置（SSH私钥/AWS凭证）、系统关键目录。

最小权限原则

用户可通过参数/配置精确指定读写目录，限制恶意进程破坏范围。

保护Claude Code工作流

包装Claude Code运行，确保AI无法访问/.ssh、/.aws等敏感目录，同时正常读写项目代码。

安全测试第三方依赖

在隔离环境运行npm/PyPI依赖安装脚本，避免影响主系统。

隔离构建环境

限制构建过程的临时文件生成、命令调用，防止环境污染。

使用方式：在命令前加sandbox-shell即可进入受限环境。通过配置文件定义权限模板，典型配置包括：允许读取的项目目录、允许写入的构建输出目录、临时文件夹访问、网络控制（可选）。

sandbox-shell仅支持macOS，Linux用户可考虑systemd-nspawn、Docker或Firejail。沙箱主要针对文件系统攻击，对内存/网络层面攻击需配合其他安全措施。

sandbox-shell代表开发工具安全从"事后补救"转向"事前隔离"的趋势，通过最小权限沙箱平衡AI编程的便利与安全。随着AI工具普及，此类安全基础设施将更重要，推动安全思维转变，让开发者放心拥抱AI编程未来。