[Intum Dev](https://intum.dev.md) / [Narzędzia AI](https://intum.dev/narzedzia-ai.md) # [Sandboxing agentów AI — porównanie narzędzi do lokalnej izolacji (Claude Code, Codex, Cursor)](https://intum.dev/modele-ai/sandboxing-agentow-ai-porownanie-narzedzi-do-lokalnej-izolacji-claude-code-codex-cursor.md) ## O czym ten wpis Porównanie narzędzi do **lokalnej izolacji agentów AI** (Claude Code, OpenAI Codex, Cursor) na macOS, Linux i Windows. Agent kodujący ma dostęp do terminala, plików i sieci — sandbox ogranicza co może zrobić. ## Dlaczego sandbox? - Agent może przypadkowo usunąć pliki, zmodyfikować konfigurację systemu - Credentials w dotfiles (`.env`, `.ssh`, `.aws`) są dostępne dla agenta - Połączenia sieciowe mogą wyciekać dane - `sandbox-exec` na macOS jest deprecated od 2016, ale nadal działa (Chrome, Claude Code, Codex go używają) --- ## Szybki start — macOS (Agent Safehouse) Najszybszy sposób na uruchomienie Claude Code w sandboxie na macOS: ```bash # 1. Instalacja brew install eugene1g/safehouse/agent-safehouse # 2. Uruchomienie Claude w sandboxie cd ~/projects/moj-projekt safehouse claude --dangerously-skip-permissions safehouse --add-dirs-ro /etc/resolv.conf claude --dangerously-skip-permissions # jesli chcemy odpalac np. testy Rails ``` `safehouse` opakowuje proces w `sandbox-exec` z polityką ograniczającą dostęp do FS i sieci. Flaga `--dangerously-skip-permissions` wyłącza potwierdzenia w Claude Code (bo sandbox i tak pilnuje granic). Agent widzi tylko katalog projektu i niezbędne zależności — nie ma dostępu do `~/.ssh`, `~/.aws`, `~/.env` ani innych wrażliwych plików. --- ## Porównanie — macOS | Narzędzie | GitHub Stars | Open Source | Licencja | Rok | Cena | Opis | |-----------|-------------|-------------|----------|-----|------|------| | **Agent Safehouse** | ~830 | Tak | MIT | 2025 | Free | Generator polityk `sandbox-exec`, profile dla Claude Code/Codex, Policy Builder online | | **Sandvault** | ~200 | Tak | MIT | 2025 | Free | `sandbox-exec` + konta Unix, agent jako unprivileged user, Homebrew | | **Treebeard** | ~150 | Tak | MIT | 2025 | Free | `sandbox-exec` + git worktree + overlay FS, copy-on-write | | **Multitui** | ~100 | Nie | Proprietary | 2025 | Free | GUI dla `sandbox-exec`, filtrowanie per domena, detekcja secrets | | **yoloai** | ~300 | Tak | MIT | 2025 | Free | Copy-on-write, backend: Docker/Seatbelt/Tart, review zmian przed apply | | **OrbStack** | ~8,200 | Nie | Proprietary | 2023 | Free/$8/mo | Szybki Docker na macOS, lekki VM | | **Lima** | ~15,200 | Tak | Apache-2.0 | 2021 | Free | Lekkie VM z Linuxem na macOS | | **Apple Container** | ~3,000 | Tak | Apache-2.0 | 2025 | Free | Oficjalne kontenery Ubuntu od Apple | **Najlepszy wybór na macOS:** **Agent Safehouse** — natywny, zero overhead, dedykowane profile dla Claude Code. Dla pełnej izolacji: **yoloai** (copy-on-write + review zmian). --- ## Porównanie — Linux | Narzędzie | GitHub Stars | Open Source | Licencja | Rok | Cena | Opis | |-----------|-------------|-------------|----------|-----|------|------| | **nsjail** | ~3,700 | Tak | Apache-2.0 | 2015 | Free | Lekki sandbox Google, namespaces + seccomp + cgroups | | **Firejail** | ~7,200 | Tak | GPL v2 | 2014 | Free | Sandboxing procesów, profile aplikacji, łatwa konfiguracja | | **Greywall** | ~100 | Tak | MIT | 2025 | Free | Binary wrapper z proxy sieciowym, dynamiczne reguły runtime | | **pi-sandbox** | ~200 | Tak | MIT | 2025 | Free | Cross-platform (bubblewrap na Linux), UX do bypass blokad | | **sandnix** | ~100 | Tak | MIT | 2025 | Free | Nix + landrun (Linux), cross-platform | | **amazing-sandbox** | ~100 | Tak | MIT | 2025 | Free | Cross-platform Linux + macOS | | **Docker** | ~71,500 | Tak | Apache-2.0 | 2013 | Free | Pełna izolacja kontenerowa | **Najlepszy wybór na Linux:** **nsjail** — lekki, dojrzały, minimalny overhead. Dla prostszej konfiguracji: **Firejail**. --- ## Porównanie — Windows | Narzędzie | GitHub Stars | Open Source | Licencja | Rok | Cena | Opis | |-----------|-------------|-------------|----------|-----|------|------| | **Docker Desktop** | ~71,500 | Tak (engine) | Apache-2.0 | 2013 | Free/$5/mo | Kontenery przez WSL2/Hyper-V | | **WSL2 + nsjail** | — | Tak | — | — | Free | nsjail w WSL2 | | **Devcontainers** | ~4,900 | Tak | MIT | 2019 | Free | Standard dev containers, VS Code integration | **Najlepszy wybór na Windows:** **Docker Desktop + WSL2** — jedyna dojrzała opcja. Natywnych sandboxów dla agentów AI na Windows praktycznie nie ma. --- ## Narzędzia cross-platform (cloud) | Narzędzie | Stars | Open Source | Rok | Cena | Opis | |-----------|-------|-------------|-----|------|------| | **E2B** | ~8,900 | Tak (Apache-2.0) | 2023 | Free/$150/mo | Cloud sandbox VM dla agentów, SDK Python/JS | | **Daytona** | ~63,900 | Tak (Apache-2.0) | 2023 | $0.067/hr | Dev environments w chmurze | | **OpenHands** | ~68,600 | Tak (MIT) | 2024 | Free | Agent AI z wbudowanym Docker sandbox | | **GitHub Codespaces** | — | Nie | 2020 | $0.18/hr | Cloud dev environments | --- ## Podejścia do izolacji ### 1. Sandbox procesów (najlżejszy) `sandbox-exec` (macOS) lub `nsjail`/`firejail` (Linux) — ogranicza dostęp do FS i sieci bez VM/kontenerów. ### 2. Copy-on-write (najlepszy UX) yoloai, Treebeard, Amika — agent pracuje na kopii, zmiany review'ujesz przed apply. ### 3. Kontenery (najpewniejszy) Docker, Apple Container — pełna izolacja, ale większy overhead. ### 4. Warstwy dodatkowe - **agentbox** — interceptuje połączenia z komunikatem "don't bypass" - **Kilntainers** — sandboxuje tylko narzędzie Bash agenta, nie cały agent - **nono.sh** — proxy credentials, agent nie widzi sekretów --- ## Rekomendacje | Platforma | Szybki start | Pełna izolacja | |-----------|-------------|----------------| | **macOS** | Agent Safehouse | yoloai (copy-on-write) | | **Linux** | Firejail | nsjail | | **Windows** | Docker + WSL2 | Docker + WSL2 | --- ## Źródła i linki ### macOS - [Agent Safehouse](https://agent-safehouse.dev/) — [GitHub](https://github.com/eugene1g/agent-safehouse) - [Sandvault](https://github.com/webcoyote/sandvault) - [Treebeard](https://github.com/divmain/treebeard) - [Multitui](https://multitui.com/) - [yoloai](https://github.com/kstenerud/yoloai) - [OrbStack](https://orbstack.dev/) — [GitHub](https://github.com/orbstack/orbstack) - [Lima](https://github.com/lima-vm/lima) - [Apple Container](https://github.com/apple/container) ### Linux - [nsjail](https://github.com/google/nsjail) - [Firejail](https://github.com/netblue30/firejail) - [Greywall](https://github.com/GreyhavenHQ/greywall) - [pi-sandbox](https://github.com/carderne/pi-sandbox) - [sandnix](https://github.com/srid/sandnix) - [amazing-sandbox](https://github.com/ashishb/amazing-sandbox) ### Cross-platform - [Docker / Moby](https://github.com/moby/moby) - [Devcontainers spec](https://github.com/devcontainers/spec) - [E2B](https://e2b.dev/) — [GitHub](https://github.com/e2b-dev/E2B) - [Daytona](https://daytona.io/) — [GitHub](https://github.com/daytonaio/daytona) - [OpenHands](https://github.com/All-Hands-AI/OpenHands) - [GitHub Codespaces](https://github.com/features/codespaces) ### Warstwy dodatkowe - [agentbox](https://github.com/gbrindisi/agentbox) - [Kilntainers](https://github.com/Kiln-AI/Kilntainers) - [Amika](https://github.com/gofixpoint/amika) ### Dyskusje - [Hacker News — sandboxing AI agents (2025)](https://news.ycombinator.com/item?id=47301085)