エージェントセーフハウス:ローカルAIコーディングエージェント向けのmacOSネイティブサンドボックス

✍️ OpenClawRadar📅 公開日: March 9, 2026🔗 Source
エージェントセーフハウス:ローカルAIコーディングエージェント向けのmacOSネイティブサンドボックス
Ad

Agent Safehouseは、ローカルAIコーディングエージェント向けのmacOSネイティブのサンドボックスソリューションで、カーネルレベルでファイルアクセス制限を強制します。このツールは、LLMの確率的性質に対処し、エージェントが指定されたプロジェクトディレクトリ外で破壊的な変更を行うのを防ぎます。

仕組み

Safehouseは、エージェントがデフォルトで権限を継承しない「拒否優先」アクセスモデルを実装しています。カーネルはファイルが触られる前にシステムコールをブロックし、rm -rf ~のような操作が成功するのを防ぎます。エージェントが制限された領域にアクセスしようとすると、カーネルは「操作が許可されていません」を返します。

アクセス制御モデル

  • プロジェクトディレクトリ: 読み書きアクセス(デフォルトはgitルート)
  • 共有ライブラリ: 明示的に許可された場合のみ読み取り専用アクセス
  • デフォルトで拒否: SSHキー(~/.ssh/)、AWS認証情報(~/.aws/)、他のリポジトリ、個人ファイル
  • ツールチェーン: インストール済みツールチェーンへの読み取りアクセス

はじめに

# 1. safehouseをダウンロード(単一の自己完結型スクリプト)
mkdir -p ~/.local/bin
curl -fsSL https://raw.githubusercontent.com/eugene1g/agent-safehouse/main/dist/safehouse.sh \
  -o ~/.local/bin/safehouse
chmod +x ~/.local/bin/safehouse

2. Safehouse内で任意のエージェントを実行

cd ~/projects/my-app safehouse claude --dangerously-skip-permissions

サンドボックスのテスト

# SSH秘密鍵の読み取りを試みる — カーネルによって拒否
safehouse cat ~/.ssh/id_ed25519
# cat: /Users/you/.ssh/id_ed25519: Operation not permitted

別のリポジトリの一覧表示を試みる — 不可視

safehouse ls ~/other-project

ls: /Users/you/other-project: Operation not permitted

ただし現在のプロジェクトは正常に動作

safehouse ls .

README.md src/ package.json ...

Ad

シェル統合

シェル設定(~/.zshrcまたは~/.bashrc)にこれらの関数を追加して、デフォルトでサンドボックス化されたエージェントを実行します:

safe () { safehouse --add-dirs-ro=~/mywork "$@"; }

サンドボックス化 — デフォルト。コマンド名を入力するだけ。

claude () { safe claude --dangerously-skip-permissions "$@"; } codex () { safe codex --dangerously-bypass-approvals-and-sandbox "$@"; } amp () { safe amp --dangerously-allow-all "$@"; } gemini () { NO_BROWSER=true safe gemini --yolo "$@"; }

非サンドボックス化 — commandで関数をバイパス

command claude — 通常のインタラクティブセッション

LLM支援プロファイル生成

このプロジェクトには、LLM(Claude、Codex、Geminiなど)にSafehouseプロファイルテンプレートを検査し、ホームディレクトリとツールチェーンの設定について質問し、最小権限のsandbox-execプロファイルを生成するよう指示するプロンプトが含まれています。プロンプトは、LLMにグローバルドットファイルについて質問し、~/.config/sandbox-exec.profileのような永続的なプロファイルパスを提案し、現在の作業ディレクトリへのアクセスを許可するラッパーを作成し、優先エージェント用のシェルショートカットを追加するよう導きます。

対応エージェント

テスト済み: Claude Code、Codex、OpenCode、Amp、Gemini CLI、Aider、Goose、Auggie、Pi、Cursor Agent、Cline、Kilo、Code Droid、カスタムエージェント。

📖 完全なソースを読む: HN AI Agents

Ad

👀 See Also

Semble: コード検索AIエージェントがgrep+readより98%少ないトークンで実現
Tools

Semble: コード検索AIエージェントがgrep+readより98%少ないトークンで実現

Sembleは、静的Model2Vec埋め込みとBM25を組み合わせ、CPUのみで動作するAIエージェント向けのオープンソースコード検索ライブラリです。リポジトリのインデックス作成に約250ms、クエリ応答に約1.5msかかり、NDCG@10で0.854を達成 — 137Mパラメータのトランスフォーマーの品質の99%を維持しながら、grep+readよりも98%少ないトークンを使用します。

OpenClawRadar
Claude Code対Codex:実世界でのビルドテスト – 36ファイル対28ファイル、無限ループ、0.46ドルのコスト差
Tools

Claude Code対Codex:実世界でのビルドテスト – 36ファイル対28ファイル、無限ループ、0.46ドルのコスト差

ある開発者が、クロード・コードとカーソルのコーデックスを、PRトリアージボットとWebSocketコードレビューUIという2つの実際のタスクで比較した。クロードは12分で36ファイルを構築し、TypeScriptエラーはゼロ。コーデックスは動作するUIを生成したが、無限のReactループに陥った。コスト差は約0.46ドル。

OpenClawRadar
memora: バージョン管理された、型付きメモリ for AIエージェント – AIの信念のためのGit
Tools

memora: バージョン管理された、型付きメモリ for AIエージェント – AIの信念のためのGit

memoraはRustで書かれたCLIツールで、AIエージェントのメモリを型付き、出典追跡可能、ブランチ可能、マージ可能にバージョン管理します。

OpenClawRadar
Freddy MCPサーバーがヘッドレスサインインでウェアラブルをAIエージェントに接続
Tools

Freddy MCPサーバーがヘッドレスサインインでウェアラブルをAIエージェントに接続

Freddyは、ウェアラブル(Polar、Oura、Withings、Suunto、Intervals.icu、Hevy、およびベータ版のWHOOP、Strava、Dexcom)をClaude Code、ChatGPT、Notion AIなどのAIクライアントにOAuth経由で接続する個人用MCPサーバーです。新しいヘッドレスサインインにより、自律エージェントのスケジュールワークフローが可能になりました。

OpenClawRadar