Erforschung von macOS's sandbox-exec für sichere Anwendungsausführung
sandbox-exec ist ein in macOS integriertes Befehlszeilenwerkzeug, das entwickelt wurde, um Anwendungen in einer sandboxed Umgebung auszuführen. Dieses Tool hilft dabei, einen sicheren, eingeschränkten Raum zu schaffen, in dem Anwendungen mit begrenztem Zugriff auf Systemressourcen ausgeführt werden können, wodurch die Risiken durch schädlichen Code oder unbeabsichtigtes Verhalten minimiert werden.
Wichtige Details
Die Anwendung von Sandbox-Schutz mit sandbox-exec zielt darauf ab, vor schädlichem Code zu schützen, Schäden durch kompromittierte Anwendungen zu begrenzen und die Privatsphäre sowie die Ressourcenkontrolle zu verbessern. Um sandbox-exec zu verwenden, benötigen Sie ein Sandbox-Profil, ein Konfigurationsdateiformat, das die Regeln für die sichere Umgebung festlegt. Die grundlegende Befehlszeilen-Syntax lautet:
sandbox-exec -f profile.sb command_to_runHierbei gibt profile.sb die Regeln an, und command_to_run ist die Anwendung, die unter diesen Einschränkungen ausgeführt werden soll.
Sandbox-Profile werden mit einer Scheme-ähnlichen Syntax geschrieben und beinhalten Versionsdeklarationen, standardmäßige Richtlinien und spezifische Regeln. Es gibt zwei grundlegende Ansätze zur Einrichtung dieser Profile:
- Standardmäßig Verweigern: Beschränkt zunächst alle Operationen und erlaubt nur notwendige. Beispiel:
(version 1) (deny default) (allow file-read-data (regex "^/usr/lib")) (allow process-exec (literal "/usr/bin/python3"))- Standardmäßig Erlauben: Erlaubt alles, außer spezifischen Operationen. Beispiel:
(version 1) (allow default) (deny network*) (deny file-write* (regex "^/Users"))Für praktische Anwendungen können Sie eine Sandbox-Terminal-Sitzung ohne Netzwerkzugang einrichten:
# terminal-sandbox.sb (version 1) (allow default) (deny network*) (deny file-read-data (regex "/Users/[^/]+/(Documents|Pictures|Desktop)")Führen Sie es mit folgendem Befehl aus:
sandbox-exec -f terminal-sandbox.sb zshDarüber hinaus bietet macOS vordefinierte Profile in /System/Library/Sandbox/Profiles für häufige Einschränkungsszenarien, wie das no-network Profil.
Anwendungsbereich
Dieses Tool ist ideal für Entwickler und Sicherheitsexperten, die Anwendungen in einer kontrollierten Umgebung testen oder strenge Sicherheitsrichtlinien durchsetzen müssen.
📖 Lesen Sie die gesamte Quelle: HN LLM Tools
👀 Siehe auch
Audacity-MCP: Claude AI-Integration für lokale Audio-Bearbeitung mit 131 Werkzeugen
Audacity-MCP verbindet Claude über eine Pipe-Schnittstelle mit Audacity und ermöglicht sprachgesteuerte Audio-Bearbeitung mit 131 Werkzeugen, 9 automatisierten Pipelines und lokaler Whisper-Transkription ohne Cloud-Abhängigkeiten.
DeepClaude ersetzt das Anthropic-Backend von Claude Code durch DeepSeek V4 Pro zu 17-fach niedrigeren Kosten
Ein Skript, das die Umgebungsvariablen von Claude Code umschreibt, sodass alle Agentenloop-Aufrufe über DeepSeek V4 Pro, OpenRouter oder Fireworks AI laufen – gleiche UX, 0,87 $/M Output-Tokens statt 15 $/M.
Open-Source Benchmark Runner zum Testen von OpenClaw-Agenten in realen Workflows
Ein neues Open-Source-Projekt ermöglicht es Ihnen, OpenClaw-Agenten anhand Ihrer eigenen privaten, praxisnahen Aufgaben zu bewerten, die in YAML definiert sind, mit Unterstützung zum Importieren tatsächlicher Agenten-Workspaces.
OpenPlawd: OpenClaw-Fähigkeit für automatisierte Plaud-Besprechungsnotizen
OpenPlawd ist eine OpenClaw-Fähigkeit, die Plaud-Aufnahmen automatisch in strukturierte HTML-Meetingnotizen verarbeitet. Sie ruft Plaud-Konten stündlich ab, transkribiert mit Whisper oder OpenAI, teilt große Dateien in Abschnitte auf und generiert Notizen mit Aktionspunkten über einen OpenClaw-Agenten.