Agent Safehouse é uma solução nativa de sandboxing para macOS para agentes de codificação de IA locais que aplica restrições de acesso a arquivos em nível de kernel. A ferramenta aborda a natureza probabilística dos LLMs impedindo que os agentes façam alterações destrutivas fora dos diretórios de projeto designados.

Como funciona

Safehouse implementa um modelo de acesso de negação primeiro onde os agentes não herdam permissões por padrão. O kernel bloqueia chamadas de sistema antes que qualquer arquivo seja tocado, impedindo que operações como rm -rf ~ tenham sucesso. Quando um agente tenta acessar áreas restritas, o kernel retorna "Operação não permitida".

Modelo de controle de acesso

• Diretório do projeto: acesso de leitura/escrita (raiz git por padrão)
• Bibliotecas compartilhadas: acesso somente leitura se explicitamente concedido
• Negado por padrão: chaves SSH (~/.ssh/), credenciais AWS (~/.aws/), outros repositórios, arquivos pessoais
• Toolchains: acesso de leitura às toolchains instaladas

Começando

# 1. Baixe safehouse (script único autocontido)
mkdir -p ~/.local/bin
curl -fsSL https://raw.githubusercontent.com/eugene1g/agent-safehouse/main/dist/safehouse.sh \
  -o ~/.local/bin/safehouse
chmod +x ~/.local/bin/safehouse

2. Execute qualquer agente dentro do Safehouse
cd ~/projects/my-app
safehouse claude --dangerously-skip-permissions

Testando o sandbox

# Tente ler sua chave privada SSH — negado pelo kernel
safehouse cat ~/.ssh/id_ed25519
# cat: /Users/you/.ssh/id_ed25519: Operation not permitted

Tente listar outro repositório — invisível
safehouse ls ~/other-project
ls: /Users/you/other-project: Operation not permitted
Mas seu projeto atual funciona normalmente
safehouse ls .
README.md src/ package.json ...

Integração com shell

Adicione estas funções à configuração do seu shell (~/.zshrc ou ~/.bashrc) para executar agentes em sandbox por padrão:

safe () { safehouse --add-dirs-ro=~/mywork "$@"; }

Sandboxed — o padrão. Basta digitar o nome do comando.
claude () { safe claude --dangerously-skip-permissions "$@"; }
codex () { safe codex --dangerously-bypass-approvals-and-sandbox "$@"; }
amp () { safe amp --dangerously-allow-all "$@"; }
gemini () { NO_BROWSER=true safe gemini --yolo "$@"; }
Unsandboxed — contorne a função com command
command claude — sessão interativa simples

Geração de perfil assistida por LLM

O projeto inclui um prompt que instrui LLMs (Claude, Codex, Gemini, etc.) a inspecionar modelos de perfil do Safehouse, perguntar sobre seu diretório inicial e configuração de toolchain, e gerar um perfil sandbox-exec de menor privilégio. O prompt orienta o LLM a perguntar sobre dotfiles globais, sugerir um caminho de perfil durável como ~/.config/sandbox-exec.profile, criar um wrapper que concede acesso ao diretório de trabalho atual e adicionar atalhos de shell para agentes preferidos.

Agentes suportados

Testado contra: Claude Code, Codex, OpenCode, Amp, Gemini CLI, Aider, Goose, Auggie, Pi, Cursor Agent, Cline, Kilo, Code Droid e agentes personalizados.