Yolobox – AI-Coding-Agenten mit vollen Rechten ausführen und dabei das Home-Verzeichnis schützen

• Ein Tool, das AI-Coding-Agenten mit vollständigen Systemrechten ausführt und dabei das Risiko von Schäden am Home-Verzeichnis blockiert
• Wichtige AI-CLIs wie Claude Code, Codex, Gemini CLI, OpenCode sind vorkonfiguriert und können im „YOLO-Modus“ ausgeführt werden
• Es bindet nur das Projektverzeichnis in einen Docker- oder Podman-Container ein, während das Home-Verzeichnis standardmäßig ausgeschlossen bleibt
• Innerhalb des Containers stehen sudo-Rechte und persistente Volumes zur Verfügung, damit Tools und Einstellungen sitzungsübergreifend erhalten bleiben
• Bietet eine isolierte Sandbox-Umgebung, in der Entwickler AI-Automatisierungsfunktionen sicher ausprobieren können

Überblick

• Yolobox ist ein Tool, das AI-Coding-Agenten innerhalb eines Containers ausführt und dabei das System schützt, während gleichzeitig volle Ausführungsrechte gewährt werden
  • Selbst wenn die AI bei der Befehlsausführung versehentlich einen destruktiven Befehl wie rm -rf ~ ausführt, bleibt das Home-Verzeichnis unberührt
  • Das Projektverzeichnis wird als /workspace eingebunden, das Home-Verzeichnis wird standardmäßig nicht eingebunden
  • Durch persistente Volumes bleiben Tools und Einstellungen über Sitzungen hinweg erhalten

Wichtige Komponenten und Funktionen

• Innerhalb des Containers besitzt der AI-Agent sudo-Rechte und kann Befehle frei ausführen
• Das Standard-Image enthält Folgendes
  • AI-CLI: Claude Code, Gemini CLI, OpenAI Codex, OpenCode (alle auf automatischen Ausführungsmodus eingestellt)
  • Entwicklungsumgebung: Node.js 22, Python 3, make, cmake, gcc, Git, GitHub CLI
  • Utilities: ripgrep, fd, fzf, jq, vim
• Bei Bedarf können Nutzer zusätzliche Pakete selbst per sudo installieren

Ausführung und Befehle

• Mit dem Befehl yolobox gelangt man in eine Sandbox-Shell
• Mit yolobox run kann ein einzelner Befehl ausgeführt werden
• Es werden Verwaltungsbefehle wie yolobox upgrade, yolobox config, yolobox reset --force, yolobox version bereitgestellt
• Wichtige Flags
  • --runtime: Auswahl zwischen docker und podman
  • --no-network: Netzwerk deaktivieren
  • --readonly-project: Projekt schreibgeschützt einbinden
  • --claude-config: Claude-Konfiguration vom Host in den Container kopieren

Sicherheitsmodell

• Container-Isolierung dient als Sicherheitsgrenze
  • Container trennen Dateisystem, Prozesse und Netzwerk über Linux-Namespaces
  • Die AI besitzt innerhalb des Containers Root-Rechte, hat aber keinen Zugriff auf das externe System
• Geschützt werden
  • Home-Verzeichnis, SSH-Schlüssel, Zugangsdaten, Dotfiles, andere Projekte, Host-Systemdateien
• Nicht geschützt werden
  • Projektverzeichnis (standardmäßig mit Lese-/Schreibzugriff)
  • Netzwerkzugriff (kann optional blockiert werden)
  • Kernel-Schwachstellen oder Container-Escape-Angriffe

Schritte zur Härtung der Sicherheit

• Standardmodus: normale Container-Isolierung
• Stufe 2: Verkleinerung der Angriffsfläche mit den Optionen --no-network --readonly-project
• Stufe 3: Verwendung von Rootless Podman, um Root-Rechte auf dem Host zu vermeiden
  • Root im Container wird auf einen normalen Benutzer des Hosts abgebildet, wodurch der Schaden bei einem Escape minimiert wird
• Stufe 4: Ausführung innerhalb einer VM, um die gemeinsame Kernel-Nutzung zu eliminieren
  • Unter macOS kommen UTM, Parallels, Lima zum Einsatz, unter Linux Podman machine oder eine dedizierte VM

Netzwerkisolierung

• Rootless Podman verwendet standardmäßig das slirp4netns-Netzwerk und ist dadurch vom Host-Netzwerk getrennt
• Mit der Einstellung allow_host_loopback=false lässt sich der Zugriff auf das lokale Netzwerk blockieren

Lizenz und Sonstiges

• Veröffentlicht unter der MIT-Lizenz
• Sprachverteilung des Repositories: Go 75.9 %, Dockerfile 13.6 %, Shell 8.7 %, Makefile 1.8 %
• Der Name „Yolobox“ leitet sich vom Geist von „YOLO (You Only Live Once)“ ab und steht für eine sicher isolierte Umgebung, in der AI frei ausgeführt werden kann