AIエージェントの安全な遊び場！macOSネイティブなサンドボックス「Agent Safehouse」

Agent Safehouseは、ローカル環境で実行されるAIエージェント向けに設計されたmacOSネイティブのサンドボックス（隔離環境）です。エージェントがシステムに予期せぬ影響を与えないよう、安全かつ軽量な実行環境を提供し、開発者が安心してAIを動かせる仕組みを実現しています。

これ、単にsandbox-execのラッパーだね。考え抜かれたプリセットが大量にあるのは素晴らしいよ。sandbox-execを使いこなすには、90%は内部環境が必要とする範囲に正しく絞り込むことだし（残りの90%はどう動くか理解すること）。ただのシェルスクリプトなのも好き。個人的には、オーバーレイとかコピーオンライト（できればバインドマウント）でプログラムをサンドボックス化する簡単な方法があればいいのにと思う。LLMエージェントが作業中に.bashrcをいじっても構わないけど、いじられるのが「俺の」.bashrcなら話は別だ。

開発者です。こんなに早く公開されるとは思ってなかった。いくつか補足： 1. エージェントはローカルで動かしたい派なんだ。コンテナやリモートサーバーじゃなく、自分好みにチューニングしたマシンでね。そうすれば、安心してフルオートで動かせるから。 2. そう、これは単なるsandbox-execのポリシー生成器。依存関係も派手な技術も仮想化もなし。そこがこのプロジェクトのいいところだと思う。でも、自動アップデート、キーチェーン連携、画像の貼り付けとかを維持しつつ、エージェントに必要な最小限の権限を特定するのにかなりの時間を費やしたよ。各エージェントに必要な調査結果のメモはこちら： https://agent-safehouse.dev/docs/agent-investigations/ (AI生成) 3. プロジェクト全体を使わなくても、Policy Builderだけでdotfilesに入れられるsandbox-execポリシーが作れるよ。 https://agent-safehouse.dev/policy-builder.html

興味深いけど、うーん…。去年の夏（2025年7〜8月）あたり、こういうサンドボックスを切実に必要としてた。Claude Codeとか初期のAIモデルで何度も悲惨な目に遭ったから。一番ひどかったのは、Claude Codeが1つのファイルを復元するために強引なgit revertをかまして、複数のファイルにまたがる1000行くらいの開発成果が消し飛んだときかな。でも今（2026年3月）時点では、経験上エージェントはかなり信頼できるようになったと思う。claude.mdに適切なガードレールを置いて、組み込みの安全策も使えば、ここ3ヶ月くらいは大きな事故は起きてない。とはいえ、何重にも保護しておくのは常に推奨されるし、ソフトウェア資産は大事なもの。こういうのを使うのは今でもおすすめだね。少しずつ状況は変わってきてるけど。

Sandvault [0]（作者がこの辺のどこかにいるはず）も別のアプローチだね。sandbox-execと、システムサンドボックスの大御所であるUnixのユーザーシステムを組み合わせてる。基本的には、エージェントに特権のない専用ユーザーアカウントを与えて（sudoやSSH、共有ディレクトリ経由でやり取りする）、さらにシステムリソースへのアクセスを細かく制御するためにsandbox-execを重ねる感じ。 0. https://github.com/webcoyote/sandvault

これが見られて嬉しい。正直、この技術がポテンシャルをフルに発揮するには、サンドボックス化が今解決すべき「最大の」課題だと思う。初期のユーザーは何も考えずにネイティブでエージェントを動かすだろうけど、長期的には規制の厳しい企業環境や本番環境では通用しない。課題は、これまで誰も作ったことがないような高度なサンドボックスが必要だってこと。ネットワークやファイルシステム、実行権限だけじゃなく、ブラウザ操作や、コストがかかるリソースを扱うための課金制約まで含めた、実用的なアプローチとして構築する必要があるね。

sandbox-exec用のGUI付きネイティブmacOSアプリを作ったよ。ドメインごとのフィルタリングができるネットワークサンドボックスと、シークレット検出機能も付いてる： https://multitui.com/

自分用にLinuxとMac OSの両方で動く似たようなものを作ったよ。 https://github.com/ashishb/amazing-sandbox

サンドボックスは「エージェントが被害をもたらすのを防ぐ」問題は解決してくれる。でも、権限の範囲内で完璧に動作してるのに「ゴミ」を生成しちゃう失敗モードは防げない。それはずっと「200 OK」が返ってるような状態だ。「悪い行動を防ぐ」のと「許可されてるけど間違った行動を検知する」のは、全く別の問題なんだよね。

ちなみに sandbox-exec についての豆知識：Appleは2016年のmacOS Sierraで公式に非推奨にしてるんだ！ manページには10年も非推奨って書かれてるけど、いまだにこうやって素晴らしい用途が見つかってる。代わりの「App Sandbox」は、ユーザーが自分でルールを定義するような今回のケースには全然使えない。Appleがこの活用状況を見て、本当にsandbox-execを廃止する計画を止めてくれるといいんだけど。内部サービスの多くもこれに依存してるはずだしね。

こういうサンドボックスで難しいのは、お互いを比較して評価することだね。これはsandbox-execの有能なラッパーに見えるし、ここ数ヶ月で似たようなのがたくさん出てる。本当に必要なのは、どれが信頼できるか判断するための助けだ。ドキュメントと、しっかりした自動テストが必要だと思う。ほとんどのサンドボックスはドキュメントが圧倒的に不足してる。信頼するためには、詳細なドキュメントと、謳い文句通りに動く「証拠」の両方が必要かな。