- Extrae el runtime de sandbox de Codex como una herramienta independiente: una herramienta ligera de aislamiento de procesos que puede aplicar control de archivos, red y credenciales a comandos arbitrarios
- Incluso si ejecutas tal cual código generado por IA, no hay que preocuparse por daños a archivos ni filtración de datos
- La política predeterminada está configurada como deny-by-default, por lo que se bloquea todo acceso de escritura, red y variables de entorno que no se permita explícitamente
- Puede llamar APIs externas sin exponer claves API en el código: con la función de inyección de credenciales (Credential Injection), los procesos dentro del sandbox solo ven placeholders, y la clave API real queda en el proxy de red
- Se instala como un binario único con
curl ... | sh o npm install -g zerobox; no hace falta construir imágenes de contenedor ni esperar a que arranque una VM
- Puedes rastrear y revertir de inmediato qué cambió por error con
npm install: basta con ejecutar zerobox --restore --allow-write=. -- npm install; al terminar se restaura automáticamente. También puedes registrar solo con --snapshot y luego revisar los cambios con zerobox snapshot diff <id> para hacer rollback con restore
- Se pueden separar permisos en cada llamada de herramienta del LLM: crear por separado un sandbox de solo lectura, uno de solo escritura y uno que permita solo ciertos dominios, para ejecutar cada tool call del agente con permisos distintos → aunque un prompt injection lance
rm -rf, si el sandbox no tiene permiso de escritura, se ignora
- Bloquea automáticamente llamadas no deseadas a redes externas durante build/test: si ejecutas pruebas con
zerobox --allow-write=/tmp -- npm test, el código falla en cuanto intenta llamar en secreto a una API externa, lo que ayuda a detectar temprano ataques a la cadena de suministro o efectos colaterales
- No hace falta escribir manualmente reglas para bloquear directorios sensibles: el perfil predeterminado aplica deny automáticamente a rutas como
~/.ssh y ~/.aws, asegurando protecciones básicas sin configuración adicional
- No hay que preocuparse por contaminación de variables de entorno: por defecto solo se pasan las esenciales como
PATH y HOME, así que valores como AWS_SECRET_ACCESS_KEY no se filtran a procesos hijos; solo se incluye en lista blanca lo necesario con algo como --allow-env=DATABASE_URL
- Soporta tanto Rust SDK como TypeScript SDK, y puede ejecutarse como un único binario desde la CLI sin Docker ni VM, con una sobrecarga de alrededor de 10 ms
- Una herramienta especialmente útil para la seguridad de flujos de trabajo con IA, como la ejecución de código generado por agentes de IA, el aislamiento de llamadas de herramientas de LLM y la protección de scripts de build
- Compatibilidad de plataformas e información técnica
- macOS: soporte completo basado en Seatbelt (
sandbox-exec)
- Linux: soporte completo basado en Bubblewrap + Seccomp + Namespaces
- Windows: soporte planeado basado en Restricted Tokens + ACLs + Firewall
- Con la opción
--strict-sandbox, en entornos sin bubblewrap (por ejemplo, dentro de Docker), se puede forzar a detener la ejecución en lugar de hacer fallback a un aislamiento más débil
- Licencia Apache-2.0 / Rust + TypeScript
Aún no hay comentarios.