Agent Safehouseは、ローカルAIコーディングエージェント向けのmacOSネイティブのサンドボックスソリューションで、カーネルレベルでファイルアクセス制限を強制します。このツールは、LLMの確率的性質に対処し、エージェントが指定されたプロジェクトディレクトリ外で破壊的な変更を行うのを防ぎます。

仕組み

Safehouseは、エージェントがデフォルトで権限を継承しない「拒否優先」アクセスモデルを実装しています。カーネルはファイルが触られる前にシステムコールをブロックし、rm -rf ~のような操作が成功するのを防ぎます。エージェントが制限された領域にアクセスしようとすると、カーネルは「操作が許可されていません」を返します。

アクセス制御モデル

• プロジェクトディレクトリ: 読み書きアクセス（デフォルトはgitルート）
• 共有ライブラリ: 明示的に許可された場合のみ読み取り専用アクセス
• デフォルトで拒否: SSHキー（~/.ssh/）、AWS認証情報（~/.aws/）、他のリポジトリ、個人ファイル
• ツールチェーン: インストール済みツールチェーンへの読み取りアクセス

はじめに

# 1. safehouseをダウンロード（単一の自己完結型スクリプト）
mkdir -p ~/.local/bin
curl -fsSL https://raw.githubusercontent.com/eugene1g/agent-safehouse/main/dist/safehouse.sh \
  -o ~/.local/bin/safehouse
chmod +x ~/.local/bin/safehouse

2. Safehouse内で任意のエージェントを実行
cd ~/projects/my-app
safehouse claude --dangerously-skip-permissions

サンドボックスのテスト

# SSH秘密鍵の読み取りを試みる — カーネルによって拒否
safehouse cat ~/.ssh/id_ed25519
# cat: /Users/you/.ssh/id_ed25519: Operation not permitted

別のリポジトリの一覧表示を試みる — 不可視
safehouse ls ~/other-project
ls: /Users/you/other-project: Operation not permitted
ただし現在のプロジェクトは正常に動作
safehouse ls .
README.md src/ package.json ...

シェル統合

シェル設定（~/.zshrcまたは~/.bashrc）にこれらの関数を追加して、デフォルトでサンドボックス化されたエージェントを実行します：

safe () { safehouse --add-dirs-ro=~/mywork "$@"; }

サンドボックス化 — デフォルト。コマンド名を入力するだけ。
claude () { safe claude --dangerously-skip-permissions "$@"; }
codex () { safe codex --dangerously-bypass-approvals-and-sandbox "$@"; }
amp () { safe amp --dangerously-allow-all "$@"; }
gemini () { NO_BROWSER=true safe gemini --yolo "$@"; }
非サンドボックス化 — commandで関数をバイパス
command claude — 通常のインタラクティブセッション

LLM支援プロファイル生成

このプロジェクトには、LLM（Claude、Codex、Geminiなど）にSafehouseプロファイルテンプレートを検査し、ホームディレクトリとツールチェーンの設定について質問し、最小権限のsandbox-execプロファイルを生成するよう指示するプロンプトが含まれています。プロンプトは、LLMにグローバルドットファイルについて質問し、~/.config/sandbox-exec.profileのような永続的なプロファイルパスを提案し、現在の作業ディレクトリへのアクセスを許可するラッパーを作成し、優先エージェント用のシェルショートカットを追加するよう導きます。

対応エージェント

テスト済み: Claude Code、Codex、OpenCode、Amp、Gemini CLI、Aider、Goose、Auggie、Pi、Cursor Agent、Cline、Kilo、Code Droid、カスタムエージェント。