Explorando o sandbox-exec do macOS para Execução Segura de Aplicativos

sandbox-exec é uma ferramenta de linha de comando integrada ao macOS, projetada para executar aplicativos em um ambiente sandbox. Esta ferramenta ajuda a criar um espaço seguro e restrito onde os aplicativos podem ser executados com acesso limitado aos recursos do sistema, minimizando assim os riscos de código malicioso ou comportamento não intencional.
Detalhes Principais
A sandbox de aplicativos com sandbox-exec visa proteger contra código malicioso, limitar danos de aplicativos comprometidos e melhorar o controle de privacidade e recursos. Para usar sandbox-exec, você precisa de um perfil de sandbox, que é um arquivo de configuração que define as regras para o ambiente seguro. A sintaxe básica do comando é:
sandbox-exec -f profile.sb command_to_runAqui, profile.sb especifica as regras e command_to_run é o aplicativo a ser executado dentro dessas restrições.
Os perfis de sandbox são escritos usando uma sintaxe semelhante a Scheme e incluem declarações de versão, políticas padrão e regras específicas. Existem duas abordagens fundamentais para configurar esses perfis:
- Negar por Padrão: Restringe todas as operações inicialmente e permite apenas as necessárias. Exemplo:
(version 1) (deny default) (allow file-read-data (regex "^/usr/lib")) (allow process-exec (literal "/usr/bin/python3"))- Permitir por Padrão: Permite tudo, exceto operações específicas. Exemplo:
(version 1) (allow default) (deny network*) (deny file-write* (regex "^/Users"))Para uso prático, você pode configurar uma sessão de terminal sandbox sem acesso à rede:
# terminal-sandbox.sb (version 1) (allow default) (deny network*) (deny file-read-data (regex "/Users/[^/]+/(Documents|Pictures|Desktop)")Execute usando:
sandbox-exec -f terminal-sandbox.sb zshAlém disso, o macOS fornece perfis pré-construídos em /System/Library/Sandbox/Profiles para cenários comuns de restrição, como o perfil no-network.
Para Quem É
Esta ferramenta é ideal para desenvolvedores e profissionais de segurança que precisam testar aplicativos em um ambiente controlado ou impor políticas de segurança rigorosas.
📖 Leia a fonte completa: HN LLM Tools
👀 See Also

Hypura: Agendador de inferência de LLM com consciência de camada de armazenamento para Apple Silicon
Hypura é um agendador de inferência baseado em Rust que posiciona tensores do modelo nas camadas GPU, RAM e NVMe para executar modelos que excedem a memória física em Macs Apple Silicon. Ele permite executar um Mixtral 8x7B de 31GB em um Mac Mini de 32GB a 2,2 tok/s e um Llama 70B de 40GB a 0,3 tok/s, onde o llama.cpp padrão trava.

molequla: Organismo de IA de Aprendizado Contínuo Construído do Zero com ClaudeCode
molequla é um organismo de IA de aprendizado contínuo implementado do zero em Go, C, JavaScript e Rust, com um orquestrador Python conectando-os. Cada elemento é uma implementação completa de transformer com autograd vetorial, treinado em texto bruto, que cresce e desenvolve uma personalidade ao longo do tempo.

Hubcap Bridge: Comunicação Bidirecional Persistente entre CLI e JavaScript do Navegador via CDP
Hubcap Bridge é um novo recurso na ferramenta Hubcap CLI que cria um canal de mensagens bidirecional persistente entre processos locais e JavaScript em execução em páginas do navegador via Chrome DevTools Protocol. Ele permite que as habilidades do Claude Code interajam com aplicativos web através de suas APIs JavaScript internas sem exigir acesso a APIs públicas.

Os 171 Vetores Internos de Emoção do Claude Influenciam a Saída: Kit de Ferramentas Baseado na Pesquisa da Anthropic
O artigo de pesquisa da Anthropic revela que o Claude tem 171 padrões de ativação interna que funcionam como vetores de emoção, dirigindo causalmente seu comportamento antes de escrever. Um desenvolvedor criou um kit de ferramentas com 7 princípios práticos de prompt e prompts de sistema baseados nessas descobertas.