【求む】コーディングエージェントを安全に動かすサンドボックス環境のおすすめは?
Ask HN: Secure wrapper for coding agents?
Ask HN: Secure wrapper for coding agents?
最近、コーディングエージェントをセキュアなサンドボックス内で実行するためのハーネス(ラッパー)プロジェクトを見かけたのですが、どうしても見つけられません。ご存じの方はいませんか?systemd-nspawnやkata、bspawnを使って自分で構築することももちろん可能ですが、以前見たプロジェクトはしっかりとメンテナンスされていて使いやすそうでした。最近はGitHub上に生成AIで作られたプロジェクトが溢れすぎていて、目当てのツールに辿り着くのが非常に困難になっています。おすすめのプロジェクトやリンクをご存じの方がいれば、ぜひ教えてください!
探してるのはたぶんEraだよ。あれはローカルでのマイクロVM隔離にlibkrunを使っていて、「LLMがハルシネーションで破壊的なbashコマンドを実行しちゃう」っていう問題を、巨大なVMのオーバーヘッドなしで解決するために作られたものなんだ。同じようにうまく対処できるツールだとYoloboxもあるよ。こっちはrootlessのPodmanを使ってる。どちらも活発にメンテされてるし、今あふれてる星の数ほどある汎用的なラッパーリポジトリの中では、ノイズを排除して光る存在だね。
Dockerがその目的のためにサンドボックス機能を導入してるよ。
macOSを使ってるならAgent Safehouseを勧めるよ。ちゃんとメンテされてるし、既存のsandbox-execをベースにしてるから特定のツールに縛られずに、CLIツールとは別に自分で独自のルールを作れるのがいいところ。
https://github.com/eugene1g/agent-safehouse/
https://agent-safehouse.dev/
Macユーザーならここをチェックしてみて。https://bromure.io/en/agentic-coding
(ブラウザについても見ておくといいよ: https://bromure.io/en/secure-web)
全部Claude (とRenaud Deraison :-)) が作ったものだけど、デモを見る限りかなりうまく動いてるよ。
詳細はここ(フランス語だけど英語字幕あり、他にもあるよ): https://www.sstic.org/2026/presentation/cloture_2026/
https://github.com/Tako-Research/TakoVM を見てみるといいよ!
少し前にShow HNでagent-pdが投稿されてたけど、探してるのはそれじゃないかな? https://github.com/varmabudharaju/agent-pd/
コーディングエージェントに関しては、サンドボックスが何かより、地味だけど監査ログの方が大事かな。何を読み込んで、何を書き込んで、何がブロックされたのか、それが重要。
少し単純すぎるかもしれないけど、Linuxマシンで権限をかなり制限したユーザーを作ってるんだ。で、sudoでそのユーザーになって、firejailを使ってpiを開発プロジェクトのディレクトリで起動して、あとは自由にやらせてる。
うちのプロジェクトは外部依存がすごく少ないし、プロジェクトのゴールや計画、現状を説明するmarkdownファイルやプロンプトにその辺を書いてあるからね。
僕の理論だと、これでシステムがボロボロになることはないはず。深掘りするほど忍耐強くなかったから、今のところはこの運用だよ。
その目的のためにローカルで動くクロスプラットフォームな仮想マシンを作ったよ: https://github.com/smol-machines/smolvm
CelestoはQEMU、Firecracker、Libkrunをベースにしたサンドボックス向けの統合インターフェースを用意してるよ。