Agent Safehouse es una solución de aislamiento nativa para macOS para agentes de IA de codificación locales que aplica restricciones de acceso a archivos a nivel de kernel. La herramienta aborda la naturaleza probabilística de los LLM al evitar que los agentes realicen cambios destructivos fuera de los directorios de proyecto designados.

Cómo funciona

Safehouse implementa un modelo de acceso de denegación por defecto donde los agentes no heredan permisos de forma predeterminada. El kernel bloquea las llamadas al sistema antes de que se toque cualquier archivo, evitando que operaciones como rm -rf ~ tengan éxito. Cuando un agente intenta acceder a áreas restringidas, el kernel devuelve "Operación no permitida".

Modelo de control de acceso

• Directorio del proyecto: acceso de lectura/escritura (raíz de git por defecto)
• Bibliotecas compartidas: acceso de solo lectura si se concede explícitamente
• Denegado por defecto: claves SSH (~/.ssh/), credenciales de AWS (~/.aws/), otros repositorios, archivos personales
• Cadenas de herramientas: acceso de lectura a las cadenas de herramientas instaladas

Comenzar

# 1. Descargar safehouse (único script autocontenido)
mkdir -p ~/.local/bin
curl -fsSL https://raw.githubusercontent.com/eugene1g/agent-safehouse/main/dist/safehouse.sh \
  -o ~/.local/bin/safehouse
chmod +x ~/.local/bin/safehouse

2. Ejecutar cualquier agente dentro de Safehouse
cd ~/projects/my-app
safehouse claude --dangerously-skip-permissions

Probar el aislamiento

# Intentar leer tu clave privada SSH — denegado por el kernel
safehouse cat ~/.ssh/id_ed25519
# cat: /Users/you/.ssh/id_ed25519: Operation not permitted

Intentar listar otro repositorio — invisible
safehouse ls ~/other-project
ls: /Users/you/other-project: Operation not permitted
Pero tu proyecto actual funciona bien
safehouse ls .
README.md src/ package.json ...

Integración con el shell

Añade estas funciones a tu configuración del shell (~/.zshrc o ~/.bashrc) para ejecutar agentes aislados por defecto:

safe () { safehouse --add-dirs-ro=~/mywork "$@"; }

Aislado — el predeterminado. Solo escribe el nombre del comando.
claude () { safe claude --dangerously-skip-permissions "$@"; }
codex () { safe codex --dangerously-bypass-approvals-and-sandbox "$@"; }
amp () { safe amp --dangerously-allow-all "$@"; }
gemini () { NO_BROWSER=true safe gemini --yolo "$@"; }
No aislado — omite la función con command
command claude — sesión interactiva normal

Generación de perfiles asistida por LLM

El proyecto incluye un prompt que instruye a los LLM (Claude, Codex, Gemini, etc.) a inspeccionar plantillas de perfiles de Safehouse, preguntar sobre tu directorio principal y configuración de cadena de herramientas, y generar un perfil de sandbox-exec con privilegios mínimos. El prompt guía al LLM para preguntar sobre archivos de configuración globales, sugerir una ruta de perfil duradera como ~/.config/sandbox-exec.profile, crear un envoltorio que otorgue acceso al directorio de trabajo actual y añadir atajos de shell para agentes preferidos.

Agentes compatibles

Probado con: Claude Code, Codex, OpenCode, Amp, Gemini CLI, Aider, Goose, Auggie, Pi, Cursor Agent, Cline, Kilo, Code Droid y agentes personalizados.