Exploration du sandbox-exec de macOS pour une exécution sécurisée des applications

sandbox-exec est un utilitaire en ligne de commande intégré à macOS, conçu pour exécuter des applications dans un environnement isolé (bac à sable). Cet outil aide à créer un espace sécurisé et restreint où les applications peuvent s'exécuter avec un accès limité aux ressources système, réduisant ainsi les risques liés à du code malveillant ou à des comportements involontaires.
Détails clés
L'isolation des applications avec sandbox-exec vise à se protéger contre le code malveillant, à limiter les dommages causés par des applications compromises, et à améliorer le contrôle des ressources et la confidentialité. Pour utiliser sandbox-exec, vous avez besoin d'un profil de bac à sable, qui est un fichier de configuration décrivant les règles de l'environnement sécurisé. La syntaxe de commande de base est :
sandbox-exec -f profile.sb command_to_runIci, profile.sb spécifie les règles, et command_to_run est l'application à exécuter dans ces contraintes.
Les profils de bac à sable sont écrits en utilisant une syntaxe de type Scheme et incluent des déclarations de version, des politiques par défaut et des règles spécifiques. Il existe deux approches fondamentales pour configurer ces profils :
- Refuser par défaut : Restreint toutes les opérations initialement et n'autorise que celles nécessaires. Exemple :
(version 1) (deny default) (allow file-read-data (regex "^/usr/lib")) (allow process-exec (literal "/usr/bin/python3"))- Autoriser par défaut : Permet tout sauf des opérations spécifiques. Exemple :
(version 1) (allow default) (deny network*) (deny file-write* (regex "^/Users"))Pour un usage pratique, vous pourriez configurer une session de terminal en bac à sable sans accès réseau :
# terminal-sandbox.sb (version 1) (allow default) (deny network*) (deny file-read-data (regex "/Users/[^/]+/(Documents|Pictures|Desktop)")Exécutez-la en utilisant :
sandbox-exec -f terminal-sandbox.sb zshDe plus, macOS fournit des profils prédéfinis dans /System/Library/Sandbox/Profiles pour des scénarios de restriction courants, comme le profil no-network.
À qui s'adresse cet outil
Cet outil est idéal pour les développeurs et les professionnels de la sécurité qui ont besoin de tester des applications dans un environnement contrôlé ou d'imposer des politiques de sécurité strictes.
📖 Lire la source complète : HN LLM Tools
👀 See Also

Dépôt de Compétences Awesome OpenClaw Offre Plus de 5 400 Compétences Filtrées
Un dépôt GitHub appelé awesome-openclaw-skills propose plus de 1 715 compétences prêtes pour la production que les agents IA peuvent installer avec une seule commande CLI, filtrées à partir du registre officiel OpenClaw Skills Registry.

Présentation de NetViews 2.3 : Un outil de diagnostic réseau robuste pour macOS
NetViews 2.3 combine la découverte d'hôtes, les informations Wi-Fi et la surveillance en temps réel avec une interface graphique rationalisée pour de meilleurs diagnostics réseau sur macOS.

Mon Agent s'est Construit un Système d'Intéroception — Maintenant, Il a des Désirs
Aucun

Modèle Qwen3.5-9B-Claude-4.6-Opus-Uncensored-v2 publié avec configuration LM Studio
Un modèle fusionné non censuré combinant l'architecture Qwen3.5-9B avec les données d'entraînement Claude 4.6 Opus est désormais disponible, avec des paramètres spécifiques LM Studio 0.4.7 fournis pour des performances optimales, incluant une température de 0,7 et un échantillonnage Top K de 20.