Explorando sandbox-exec de macOS para la ejecución segura de aplicaciones.
sandbox-exec es una utilidad de línea de comandos integrada en macOS, diseñada para ejecutar aplicaciones dentro de un entorno aislado. Esta herramienta ayuda a crear un espacio seguro y restringido donde las aplicaciones pueden ejecutarse con acceso limitado a los recursos del sistema, minimizando así los riesgos provenientes de código malicioso o comportamientos no deseados.
Detalles Clave
La virtualización de aplicaciones con sandbox-exec tiene como objetivo proteger contra código malicioso, limitar los daños de aplicaciones comprometidas y mejorar la privacidad y el control de los recursos. Para usar sandbox-exec, necesitas un perfil de sandbox, que es un archivo de configuración que establece las reglas para el entorno seguro. La sintaxis básica del comando es:
sandbox-exec -f profile.sb command_to_runAquí, profile.sb especifica las reglas, y command_to_run es la aplicación que se ejecutará dentro de estas limitaciones.
Los perfiles de sandbox se escriben utilizando una sintaxis similar a Scheme e incluyen declaraciones de versión, políticas predeterminadas y reglas específicas. Hay dos enfoques fundamentales para configurar estos perfiles:
- Denegar por Defecto: Restringe todas las operaciones inicialmente y permite solo las necesarias. Ejemplo:
(version 1) (deny default) (allow file-read-data (regex "^/usr/lib")) (allow process-exec (literal "/usr/bin/python3"))- Permitir por Defecto: Permite todas las operaciones excepto las específicas. Ejemplo:
(version 1) (allow default) (deny network*) (deny file-write* (regex "^/Users"))Para un uso práctico, podrías configurar una sesión de terminal sandbox sin acceso a la red:
# terminal-sandbox.sb (version 1) (allow default) (deny network*) (deny file-read-data (regex "/Users/[^/]+/(Documents|Pictures|Desktop)")Ejecuta utilizando:
sandbox-exec -f terminal-sandbox.sb zshAdemás, macOS proporciona perfiles predefinidos en /System/Library/Sandbox/Profiles para escenarios de restricción comunes, como el perfil no-network.
Quién Lo Usa
Esta herramienta es ideal para desarrolladores y profesionales de la seguridad que necesitan probar aplicaciones en un entorno controlado o imponer políticas de seguridad estrictas.
📖 Lee la fuente completa: HN LLM Tools
👀 Ver también
Corrigiendo CAPTCHAs del navegador OpenClaw con Camoufox y CLI Wrapper
El navegador Chromium integrado de OpenClaw activa la detección de bots mediante el Protocolo de Herramientas de Desarrollo de Chrome, artefactos de inyección de JavaScript e inconsistencias en la huella digital del hardware. La solución utiliza Camoufox (una bifurcación de Firefox) modificada a nivel de C++ y envuelta en una CLI que devuelve instantáneas del árbol de accesibilidad para reducir el uso de tokens.
Desplegar Artefactos de Diseño de Claude en Sitios Web en Vivo con Teenyapp
Teenyapp proporciona un servicio de alojamiento que Claude Design puede usar directamente desde el chat mediante un enlace con token de agente, permitiendo el despliegue autónomo de artefactos con soporte de backend.
Los LLM filtran razonamiento en la salida estructurada a pesar de instrucciones explícitas
Un desarrollador que construía una herramienta que realiza llamadas paralelas a la API de Claude y analiza la salida estructurada descubrió que los modelos de validación ocasionalmente generan texto de razonamiento antes del contenido corregido, a pesar de las instrucciones explícitas de devolver solo el texto corregido. La solución implicó ajustar el prompt y agregar una función defensiva de limpieza que se ejecuta antes del análisis.
Panel Lateral Persistente para Claude Code con Gestión Autónoma de Contenido
Un desarrollador creó un panel TUI que se ubica en un panel dividido de iTerm2 junto al terminal, con tres paneles fijos que Claude gestiona de forma autónoma para mostrar contenido relevante como código, diagramas y actualizaciones de estado.