Explorando o sandbox-exec do macOS para Execução Segura de Aplicativos

sandbox-exec é uma ferramenta de linha de comando integrada ao macOS, projetada para executar aplicativos em um ambiente sandbox. Esta ferramenta ajuda a criar um espaço seguro e restrito onde os aplicativos podem ser executados com acesso limitado aos recursos do sistema, minimizando assim os riscos de código malicioso ou comportamento não intencional.
Detalhes Principais
A sandbox de aplicativos com sandbox-exec visa proteger contra código malicioso, limitar danos de aplicativos comprometidos e melhorar o controle de privacidade e recursos. Para usar sandbox-exec, você precisa de um perfil de sandbox, que é um arquivo de configuração que define as regras para o ambiente seguro. A sintaxe básica do comando é:
sandbox-exec -f profile.sb command_to_runAqui, profile.sb especifica as regras e command_to_run é o aplicativo a ser executado dentro dessas restrições.
Os perfis de sandbox são escritos usando uma sintaxe semelhante a Scheme e incluem declarações de versão, políticas padrão e regras específicas. Existem duas abordagens fundamentais para configurar esses perfis:
- Negar por Padrão: Restringe todas as operações inicialmente e permite apenas as necessárias. Exemplo:
(version 1) (deny default) (allow file-read-data (regex "^/usr/lib")) (allow process-exec (literal "/usr/bin/python3"))- Permitir por Padrão: Permite tudo, exceto operações específicas. Exemplo:
(version 1) (allow default) (deny network*) (deny file-write* (regex "^/Users"))Para uso prático, você pode configurar uma sessão de terminal sandbox sem acesso à rede:
# terminal-sandbox.sb (version 1) (allow default) (deny network*) (deny file-read-data (regex "/Users/[^/]+/(Documents|Pictures|Desktop)")Execute usando:
sandbox-exec -f terminal-sandbox.sb zshAlém disso, o macOS fornece perfis pré-construídos em /System/Library/Sandbox/Profiles para cenários comuns de restrição, como o perfil no-network.
Para Quem É
Esta ferramenta é ideal para desenvolvedores e profissionais de segurança que precisam testar aplicativos em um ambiente controlado ou impor políticas de segurança rigorosas.
📖 Leia a fonte completa: HN LLM Tools
👀 See Also

Temporal-MCP: Consciência de Relógio de Parede para LLMs com Suporte a OAuth
Temporal-MCP é um servidor MCP mínimo que fornece consciência do relógio de parede para LLMs, abordando modos de falha relacionados ao tempo, como saudações incorretas e contexto desatualizado. Ele oferece duas ferramentas (temporal_tick e temporal_peek) que retornam tempo decorrido, detecção de virada de dia e sinalizador de nova conversa.

Freddy CLI: Conecte Dados de Saúde a Agentes de IA via MCP
A Freddy publica um CLI open-source para conectar dados de saúde de wearables (Oura, Polar, Withings, etc.) a agentes de IA via MCP. Comandos para fluxo OAuth, consulta de dados e renovação de token.

Referência de Revisão de Código por IA: Claude, Gemini, Codex, Qwen e MiniMax Comparados
Um benchmark testou cinco modelos de IA em 15 pull requests do Milvus com bugs conhecidos. O Claude detectou 53% dos bugs no modo bruto, enquanto o debate adversário entre os modelos aumentou a detecção para 80%.

MoltNow.app: Plataforma de Implantação OpenClaw com Um Clique Surge
Um novo serviço promete simplificar a implantação do OpenClaw para apenas um clique, com interface personalizada e automação de navegador.