Explorando o sandbox-exec do macOS para Execução Segura de Aplicativos

✍️ OpenClawRadar📅 Publicado: February 21, 2026🔗 Source
Explorando o sandbox-exec do macOS para Execução Segura de Aplicativos
Ad

sandbox-exec é uma ferramenta de linha de comando integrada ao macOS, projetada para executar aplicativos em um ambiente sandbox. Esta ferramenta ajuda a criar um espaço seguro e restrito onde os aplicativos podem ser executados com acesso limitado aos recursos do sistema, minimizando assim os riscos de código malicioso ou comportamento não intencional.

Detalhes Principais

A sandbox de aplicativos com sandbox-exec visa proteger contra código malicioso, limitar danos de aplicativos comprometidos e melhorar o controle de privacidade e recursos. Para usar sandbox-exec, você precisa de um perfil de sandbox, que é um arquivo de configuração que define as regras para o ambiente seguro. A sintaxe básica do comando é:

sandbox-exec -f profile.sb command_to_run

Aqui, profile.sb especifica as regras e command_to_run é o aplicativo a ser executado dentro dessas restrições.

Os perfis de sandbox são escritos usando uma sintaxe semelhante a Scheme e incluem declarações de versão, políticas padrão e regras específicas. Existem duas abordagens fundamentais para configurar esses perfis:

  • Negar por Padrão: Restringe todas as operações inicialmente e permite apenas as necessárias. Exemplo:
(version 1) (deny default) (allow file-read-data (regex "^/usr/lib")) (allow process-exec (literal "/usr/bin/python3"))
  • Permitir por Padrão: Permite tudo, exceto operações específicas. Exemplo:
(version 1) (allow default) (deny network*) (deny file-write* (regex "^/Users"))

Para uso prático, você pode configurar uma sessão de terminal sandbox sem acesso à rede:

# terminal-sandbox.sb (version 1) (allow default) (deny network*) (deny file-read-data (regex "/Users/[^/]+/(Documents|Pictures|Desktop)")

Execute usando:

sandbox-exec -f terminal-sandbox.sb zsh

Além disso, o macOS fornece perfis pré-construídos em /System/Library/Sandbox/Profiles para cenários comuns de restrição, como o perfil no-network.

Ad

Para Quem É

Esta ferramenta é ideal para desenvolvedores e profissionais de segurança que precisam testar aplicativos em um ambiente controlado ou impor políticas de segurança rigorosas.

📖 Leia a fonte completa: HN LLM Tools

Ad

👀 See Also