Exploration du sandbox-exec de macOS pour une exécution sécurisée des applications
sandbox-exec est un utilitaire en ligne de commande intégré à macOS, conçu pour exécuter des applications dans un environnement isolé (bac à sable). Cet outil aide à créer un espace sécurisé et restreint où les applications peuvent s'exécuter avec un accès limité aux ressources système, réduisant ainsi les risques liés à du code malveillant ou à des comportements involontaires.
Détails clés
L'isolation des applications avec sandbox-exec vise à se protéger contre le code malveillant, à limiter les dommages causés par des applications compromises, et à améliorer le contrôle des ressources et la confidentialité. Pour utiliser sandbox-exec, vous avez besoin d'un profil de bac à sable, qui est un fichier de configuration décrivant les règles de l'environnement sécurisé. La syntaxe de commande de base est :
sandbox-exec -f profile.sb command_to_runIci, profile.sb spécifie les règles, et command_to_run est l'application à exécuter dans ces contraintes.
Les profils de bac à sable sont écrits en utilisant une syntaxe de type Scheme et incluent des déclarations de version, des politiques par défaut et des règles spécifiques. Il existe deux approches fondamentales pour configurer ces profils :
- Refuser par défaut : Restreint toutes les opérations initialement et n'autorise que celles nécessaires. Exemple :
(version 1) (deny default) (allow file-read-data (regex "^/usr/lib")) (allow process-exec (literal "/usr/bin/python3"))- Autoriser par défaut : Permet tout sauf des opérations spécifiques. Exemple :
(version 1) (allow default) (deny network*) (deny file-write* (regex "^/Users"))Pour un usage pratique, vous pourriez configurer une session de terminal en bac à sable sans accès réseau :
# terminal-sandbox.sb (version 1) (allow default) (deny network*) (deny file-read-data (regex "/Users/[^/]+/(Documents|Pictures|Desktop)")Exécutez-la en utilisant :
sandbox-exec -f terminal-sandbox.sb zshDe plus, macOS fournit des profils prédéfinis dans /System/Library/Sandbox/Profiles pour des scénarios de restriction courants, comme le profil no-network.
À qui s'adresse cet outil
Cet outil est idéal pour les développeurs et les professionnels de la sécurité qui ont besoin de tester des applications dans un environnement contrôlé ou d'imposer des politiques de sécurité strictes.
📖 Lire la source complète : HN LLM Tools
👀 See Also
Claude-Control : Télécommande mobile pour les sessions de code Claude
Claude-control est un outil open-source qui vous permet de gérer les sessions Claude Code depuis votre téléphone via HTTPS et WebSocket. Il exécute Claude Code dans un véritable PTY à l'intérieur de tmux, détecte les invites de permission et envoie des notifications push avec des boutons Autoriser/Refuser.
CrabMeat v0.1.0 : Une passerelle d'agents axée sur la sécurité qui ne fait pas confiance au LLM en matière de frontière de sécurité
CrabMeat v0.1.0 est une passerelle WebSocket pour les charges de travail LLM agentiques qui applique la sécurité au niveau architectural : indirection des ID de capacité, classes d'effet, IRONCLAD_CONTEXT instructions épinglées, chaîne d'audit inviolable, filtre de fuite de sortie en streaming, et aucun mode YOLO.
Déployez OpenClaw sur VPS avec une CLI en une commande
Un utilisateur de Reddit affirme avoir développé une interface en ligne de commande (CLI) qui déploie OpenClaw sur un serveur privé virtuel (VPS) à 4,99 $/mois avec une seule commande, offrant une alternative économique à l'utilisation de Mac Minis.
Portage open-source en Go de l'interface CLI Claude Code publié sous le nom claw-code-go
Le développeur dolm09 a publié claw-code-go, un portage complet en Go du CLI Claude Code avec un binaire autonome de moins de 10 000 lignes de code. Le projet inclut une interface utilisateur en terminal avec bubbletea, une prise en charge multi-fournisseurs, un client MCP et un moteur d'exécution d'outils.