文章介绍了在Linux系统中使用沙盒技术隔离AI代理(如Claude Code)的方法，以避免其随意读写文件和运行程序带来的安全风险。作者提到默认权限确认模式较为繁琐，而完全跳过权限的"YOLO"模式又过于危险，因此推荐使用Docker等轻量级虚拟化方案在本地创建沙盒环境来安全运行AI代理。

标题：在Linux中为AI代理构建沙箱环境

作者：Senko Rašić 发表日期：2026年2月3日

核心内容：

1. 使用背景

• 作者使用Claude Code命令行工具配合Opus 4.5模型辅助软件开发
• 默认权限设置会频繁请求文件读写许可，影响工作效率
• 完全跳过权限的"YOLO"模式存在安全风险

2. 沙箱解决方案

• 推荐使用轻量级工具bubblewrap（基于Linux内核的cgroups和用户命名空间）
• 主要需求：
  • 模拟常规开发环境
  • 限制访问范围仅限当前项目
  • 保留网络访问能力
  • 允许直接操作项目文件

3. 安全考量

• 可接受的风险包括：
  • 零日漏洞逃逸
  • 隐蔽信道通信
  • 项目数据外泄
  • 代码库损坏（通过git版本控制保障）

4. 实践方案

• 提供详细的bubblewrap脚本配置：
  • 绑定关键系统目录（只读）
  • 特殊处理配置文件（如.claude.json）
  • 保留项目目录的读写权限
  • 修改主机名以区分环境

5. 自定义建议

• 推荐使用strace工具追踪文件访问需求
• 建议先通过bash交互式调试
• 强调配置需要根据具体系统和AI代理调整

技术要点： - 使用bind-mount保持文件路径一致性 - 仅暴露必要的/etc目录内容 - 特殊处理缓存目录和节点安装路径 - 通过文件描述符注入配置文件

（注：已过滤作者个人环境细节和完整脚本内容，保留核心方法论和关键实现思路）

主要观点总结：

1. 支持Bubblewrap方案（评论1,9,15,16）

• "Bubblewrap & passing in a bunch of the current system sounds like a great compromise!"
• "I went exactly the same route" (附博客链接)

2. 质疑权限管理问题（评论3,7）

• "how to know what resources to make available to agents"
• "I don't know if I want to create an ad-hoc list of permissions"

3. 推荐其他沙盒方案（评论4,5,10,11,13,17,18）

• 推荐Leash："Way better than bubblewrap imo"
• 推荐VM方案："run each instance in a VM with Lima"
• 推荐Nix方案："easy to give the agent only access to the tools it actually needs"

4. 安全性担忧（评论8,12）

• "with network access it can ssh localhost to escape the sandbox"
• "I just have an unprivileged secondary local account"

5. 幽默/讽刺性评论（评论2）

• 讽刺性推出"useradd"方案："the documentation is terrible"
• "Sorry for the snark, but i cringe at the monuments to complexity"

6. 平台扩展需求（评论6,17）

• "Would love this for MacOS"
• "writing my own sandbox so that it works on Mac OS"

7. 系统级方案建议（评论14）

• "Is this BSD jails' time to shine?"

注：所有评论均无评分（None），因此未标注认可度。不同观点保持平衡呈现，每个观点选取2-3条代表性评论引用，保留原始中英文表达。总结力求简洁，控制在7个主要观点类别内。