Agent Safehouse — это нативное для macOS решение для изоляции локальных ИИ-агентов для программирования, которое обеспечивает ограничение доступа к файлам на уровне ядра. Инструмент учитывает вероятностную природу больших языковых моделей (LLM), предотвращая возможность внесения агентами деструктивных изменений за пределами назначенных директорий проекта.

Как это работает

Safehouse реализует модель доступа «запрещено по умолчанию», где агенты изначально не наследуют никаких разрешений. Ядро блокирует системные вызовы до того, как будут затронуты какие-либо файлы, предотвращая выполнение операций вроде rm -rf ~. Когда агент пытается получить доступ к ограниченным областям, ядро возвращает ошибку «Операция не разрешена».

Модель контроля доступа

• Директория проекта: доступ на чтение/запись (по умолчанию — корень git-репозитория)
• Общие библиотеки: доступ только на чтение, если явно предоставлен
• Запрещено по умолчанию: SSH-ключи (~/.ssh/), учётные данные AWS (~/.aws/), другие репозитории, личные файлы
• Цепочки инструментов: доступ на чтение к установленным цепочкам инструментов

Начало работы

# 1. Скачайте safehouse (единый автономный скрипт)
mkdir -p ~/.local/bin
curl -fsSL https://raw.githubusercontent.com/eugene1g/agent-safehouse/main/dist/safehouse.sh \
  -o ~/.local/bin/safehouse
chmod +x ~/.local/bin/safehouse

2. Запустите любой агент внутри Safehouse
cd ~/projects/my-app
safehouse claude --dangerously-skip-permissions

Тестирование песочницы

# Попробуйте прочитать ваш приватный SSH-ключ — запрещено ядром
safehouse cat ~/.ssh/id_ed25519
# cat: /Users/you/.ssh/id_ed25519: Operation not permitted

Попробуйте перечислить другой репозиторий — невидим
safehouse ls ~/other-project
ls: /Users/you/other-project: Operation not permitted
Но ваш текущий проект работает нормально
safehouse ls .
README.md src/ package.json ...

Интеграция с командной оболочкой

Добавьте эти функции в конфигурацию вашей командной оболочки (~/.zshrc или ~/.bashrc), чтобы запускать агенты в песочнице по умолчанию:

safe () { safehouse --add-dirs-ro=~/mywork "$@"; }

В песочнице — по умолчанию. Просто введите имя команды.
claude () { safe claude --dangerously-skip-permissions "$@"; }
codex () { safe codex --dangerously-bypass-approvals-and-sandbox "$@"; }
amp () { safe amp --dangerously-allow-all "$@"; }
gemini () { NO_BROWSER=true safe gemini --yolo "$@"; }
Без песочницы — обойдите функцию с помощью command
command claude — обычная интерактивная сессия

Генерация профиля с помощью LLM

Проект включает подсказку, которая инструктирует большие языковые модели (Claude, Codex, Gemini и др.) изучить шаблоны профилей Safehouse, спросить о вашей домашней директории и настройке цепочки инструментов, а затем сгенерировать профиль sandbox-exec с минимальными привилегиями. Подсказка направляет LLM, чтобы она спросила о глобальных dot-файлах, предложила постоянный путь для профиля, например ~/.config/sandbox-exec.profile, создала обёртку, предоставляющую доступ к текущей рабочей директории, и добавила ярлыки командной оболочки для предпочитаемых агентов.

Поддерживаемые агенты

Протестировано с: Claude Code, Codex, OpenCode, Amp, Gemini CLI, Aider, Goose, Auggie, Pi, Cursor Agent, Cline, Kilo, Code Droid и пользовательскими агентами.