Agent Safehouse ist eine macOS-native Sandboxing-Lösung für lokale KI-Coding-Agenten, die Dateizugriffsbeschränkungen auf Kernel-Ebene durchsetzt. Das Tool adressiert die probabilistische Natur von LLMs, indem es Agenten daran hindert, zerstörerische Änderungen außerhalb festgelegter Projektverzeichnisse vorzunehmen.

So funktioniert es

Safehouse implementiert ein Verweigerungs-zuerst-Zugriffsmodell, bei dem Agenten standardmäßig keine Berechtigungen erben. Der Kernel blockiert Systemaufrufe, bevor Dateien berührt werden, und verhindert so, dass Operationen wie rm -rf ~ erfolgreich sind. Wenn ein Agent versucht, auf eingeschränkte Bereiche zuzugreifen, gibt der Kernel "Operation not permitted" zurück.

Zugriffskontrollmodell

• Projektverzeichnis: Lese-/Schreibzugriff (standardmäßig Git-Root)
• Gemeinsame Bibliotheken: Nur-Lesezugriff, falls explizit gewährt
• Standardmäßig verweigert: SSH-Schlüssel (~/.ssh/), AWS-Anmeldedaten (~/.aws/), andere Repositories, persönliche Dateien
• Toolchains: Lesezugriff auf installierte Toolchains

Erste Schritte

# 1. Safehouse herunterladen (einzelnes eigenständiges Skript)
mkdir -p ~/.local/bin
curl -fsSL https://raw.githubusercontent.com/eugene1g/agent-safehouse/main/dist/safehouse.sh \
  -o ~/.local/bin/safehouse
chmod +x ~/.local/bin/safehouse

2. Einen beliebigen Agenten innerhalb von Safehouse ausführen
cd ~/projects/my-app
safehouse claude --dangerously-skip-permissions

Die Sandbox testen

# Versuchen Sie, Ihren privaten SSH-Schlüssel zu lesen — vom Kernel verweigert
safehouse cat ~/.ssh/id_ed25519
# cat: /Users/you/.ssh/id_ed25519: Operation not permitted

Versuchen Sie, ein anderes Repo aufzulisten — unsichtbar
safehouse ls ~/other-project
ls: /Users/you/other-project: Operation not permitted
Aber Ihr aktuelles Projekt funktioniert einwandfrei
safehouse ls .
README.md src/ package.json ...

Shell-Integration

Fügen Sie diese Funktionen Ihrer Shell-Konfiguration (~/.zshrc oder ~/.bashrc) hinzu, um Agenten standardmäßig in einer Sandbox auszuführen:

safe () { safehouse --add-dirs-ro=~/mywork "$@"; }

Sandboxed — der Standard. Geben Sie einfach den Befehlsnamen ein.
claude () { safe claude --dangerously-skip-permissions "$@"; }
codex () { safe codex --dangerously-bypass-approvals-and-sandbox "$@"; }
amp () { safe amp --dangerously-allow-all "$@"; }
gemini () { NO_BROWSER=true safe gemini --yolo "$@"; }
Unsandboxed — umgehen Sie die Funktion mit command
command claude — einfache interaktive Sitzung

LLM-unterstützte Profilerstellung

Das Projekt enthält einen Prompt, der LLMs (Claude, Codex, Gemini usw.) anweist, Safehouse-Profilvorlagen zu inspizieren, nach Ihrem Home-Verzeichnis und Ihrer Toolchain-Einrichtung zu fragen und ein Least-Privilege-sandbox-exec-Profil zu generieren. Der Prompt leitet das LLM an, nach globalen Dotfiles zu fragen, einen dauerhaften Profilpfad wie ~/.config/sandbox-exec.profile vorzuschlagen, einen Wrapper zu erstellen, der Zugriff auf das aktuelle Arbeitsverzeichnis gewährt, und Shell-Kurzbefehle für bevorzugte Agenten hinzuzufügen.

Unterstützte Agenten

Getestet mit: Claude Code, Codex, OpenCode, Amp, Gemini CLI, Aider, Goose, Auggie, Pi, Cursor Agent, Cline, Kilo, Code Droid und benutzerdefinierten Agenten.