sandbox-shell：为 AI 编程工作流打造的 macOS 沙箱隔离方案\n\n## 背景：AI 编程时代的安全困境\n\n随着 Claude Code、Cursor 等 AI 编程助手的普及，开发者越来越习惯让 AI 代理直接执行代码、安装依赖、运行构建脚本。然而，这种便利背后隐藏着巨大的安全隐患：恶意 npm 包、被篡改的开源库、或是 AI 无意中执行的破坏性命令，都可能窃取甚至直接删除本地敏感文件。\n\n传统的权限管理模型在这一场景下显得力不从心。当 AI 建议运行 npm install 或执行一个构建脚本时，用户往往难以判断这个操作是否安全。而 macOS 内置的 Seatbelt 沙箱机制，恰好为这个问题提供了一个优雅的解决方案。\n\n## sandbox-shell 是什么\n\nsandbox-shell 是一个轻量级的命令行工具，它封装了 macOS 的 Seatbelt 沙箱配置文件，为开发者提供了一种"默认拒绝"的安全执行环境。它的核心设计理念很简单：除非明确允许，否则一切文件系统访问都被禁止。\n\n这个工具特别适合以下场景：\n\n- 在 AI 编程工作流中运行不可信的代码\n- 执行来自互联网的随机脚本\n- 测试新的依赖包而不担心副作用\n- 隔离构建环境，保护主系统的完整性\n\n## 核心安全机制解析\n\n### Seatbelt 沙箱技术\n\nSeatbelt 是 macOS 内置的一种强制访问控制机制，通过定义详细的沙箱配置文件来限制进程的文件系统、网络和系统调用权限。sandbox-shell 利用这一底层技术，为 shell 命令创建了一个受限的执行环境。\n\n### 默认拒绝策略\n\n与传统沙箱"允许一切，除非禁止"的思路不同，sandbox-shell 采用"禁止一切，除非允许"的默认拒绝策略。这意味着：\n\n- 无法访问用户主目录下的任何文件\n- 无法读取 SSH 私钥、AWS 凭证等敏感配置\n- 无法写入系统关键目录\n- 只能在显式允许的范围内操作\n\n### 最小权限原则\n\n用户可以通过命令行参数或配置文件，精确指定哪些目录可以被读取、哪些可以被写入。这种最小权限原则确保了即使沙箱内的进程被恶意控制，其造成的破坏也被严格限制在可控范围内。\n\n## 实际应用场景\n\n### 保护 Claude Code 工作流\n\nClaude Code 的 --dangerously-skip-permissions 标志允许 AI 代理无需逐条确认即可执行命令，极大提升了工作效率。但这也意味着 AI 可能在未经审查的情况下执行潜在危险操作。\n\n通过将 Claude Code 包装在 sandbox-shell 中运行，开发者可以在享受 AI 编程便利的同时，确保：\n\n- AI 无法访问 ~/.ssh 目录中的私钥\n- AI 无法读取 ~/.aws 中的云凭证\n- AI 无法在系统关键位置写入文件\n- 项目代码仍然可以正常读写\n\n### 安全测试第三方依赖\n\n在安装来自 npm、PyPI 等仓库的新依赖时，开发者往往难以完全信任这些代码。使用 sandbox-shell 可以在隔离环境中运行安装脚本，观察其行为而不必担心对主系统造成影响。\n\n### 隔离构建环境\n\n复杂的构建过程可能涉及大量临时文件生成、系统命令调用。将这些操作限制在沙箱内，可以有效防止构建脚本中的 bug 或恶意代码对开发环境造成污染。\n\n## 使用方式与配置\n\nsandbox-shell 的设计追求简洁易用。用户只需在要执行的命令前加上 sandbox-shell，即可自动进入受限环境。通过配置文件，可以定义不同项目的权限模板，实现一键切换。\n\n典型的配置包括：\n\n- 允许读取的项目源代码目录\n- 允许写入的构建输出目录\n- 允许访问的临时文件夹\n- 网络访问控制（可选）\n\n## 局限性与注意事项\n\n作为一款基于 macOS Seatbelt 的工具，sandbox-shell 目前仅支持 macOS 系统。Linux 用户可以考虑使用 systemd-nspawn、Docker 或 Firejail 等替代方案。\n\n此外，沙箱隔离虽然强大，但并非万能。它主要针对文件系统层面的攻击，对于纯内存中的恶意行为或网络层面的攻击，仍需配合其他安全措施。\n\n## 总结与展望\n\nsandbox-shell 代表了开发工具安全领域的一个重要趋势：在 AI 编程时代，安全防护需要从"事后补救"转向"事前隔离"。通过将 AI 代理的执行环境限制在最小权限沙箱中，开发者可以在享受 AI 带来的效率提升的同时，守住安全底线。\n\n随着 AI 编程工具的普及，类似 sandbox-shell 这样的安全基础设施将变得越来越重要。它不仅是技术层面的创新，更是一种安全思维的转变——在便利与安全之间找到平衡点，让开发者能够放心地拥抱 AI 编程的未来。