- Ein leichtgewichtiges Tool zur Prozessisolierung, das die Sandbox-Laufzeit von Codex als eigenständiges Tool herauslöst und auf beliebige Befehle Datei-, Netzwerk- und Anmeldeinformationskontrolle anwenden kann
- Auch KI-generierten Code direkt ausführen, ohne sich Sorgen um Dateibeschädigung oder Datenabfluss machen zu müssen
- Die Standardrichtlinie ist auf deny-by-default gesetzt, sodass nicht explizit erlaubte Schreibvorgänge, Netzwerkzugriffe und Zugriffe auf Umgebungsvariablen vollständig blockiert werden
- Externe API-Aufrufe möglich, ohne API-Schlüssel im Code offenzulegen: Mit der Funktion Credential Injection sieht der Prozess in der Sandbox nur Platzhalter, während der eigentliche API-Schlüssel über den Netzwerk-Proxy verarbeitet wird
- Installation als einzelne Binärdatei per
curl ... | sh oder npm install -g zerobox, ohne Container-Images bauen oder auf den Start einer VM warten zu müssen
- Sofort nachvollziehen und rückgängig machen, was ein versehentliches
npm install verändert hat: zerobox --restore --allow-write=. -- npm install ausführen, dann wird nach Abschluss automatisch wiederhergestellt; mit --snapshot kann man Änderungen zunächst nur aufzeichnen und später mit zerobox snapshot diff <id> prüfen und anschließend per restore zurückrollen
- Berechtigungen pro LLM-Tool-Call trennbar: Für jeden Agentenaufruf lassen sich eine schreibgeschützte Sandbox, eine reine Schreib-Sandbox oder eine nur für bestimmte Domains freigegebene Sandbox getrennt nutzen → selbst wenn per Prompt Injection
rm -rf ausgelöst wird, wird es in einer Sandbox ohne Schreibrechte ignoriert
- Unbeabsichtigte externe Netzwerkaufrufe in Build/Test automatisch blockieren: Führt man Tests mit
zerobox --allow-write=/tmp -- npm test aus, schlägt der Moment fehl, in dem der Code heimlich eine externe API aufruft; so lassen sich Supply-Chain-Angriffe oder Seiteneffekte früh erkennen
- Keine manuelle Pflege von Sperrregeln für sensible Verzeichnisse nötig: Das Standardprofil setzt Pfade wie
~/.ssh und ~/.aws automatisch auf deny und bietet damit Schutzmechanismen auch ohne zusätzliche Konfiguration
- Keine Sorge vor verschmutzten Umgebungsvariablen: Standardmäßig werden nur notwendige Variablen wie
PATH und HOME weitergegeben, sodass Dinge wie AWS_SECRET_ACCESS_KEY nicht an Kindprozesse durchsickern; benötigte Variablen lassen sich gezielt per Whitelist wie --allow-env=DATABASE_URL freigeben
- Unterstützt sowohl Rust SDK als auch TypeScript SDK und kann als einzelne CLI-Binärdatei ohne Docker oder VM mit rund 10 ms Overhead ausgeführt werden
- Besonders nützlich für die Sicherheit von KI-Workflows, etwa beim Ausführen von durch KI erzeugtem Code, bei der Isolation von LLM-Tool-Calls oder beim Schutz von Build-Skripten
- Plattformunterstützung und technische Informationen
- macOS: vollständig unterstützt auf Basis von Seatbelt (
sandbox-exec)
- Linux: vollständig unterstützt auf Basis von Bubblewrap + Seccomp + Namespaces
- Windows: Unterstützung auf Basis von Restricted Tokens + ACLs + Firewall in Planung
- Mit der Option
--strict-sandbox kann erzwungen werden, dass in Umgebungen ohne bubblewrap (z. B. innerhalb von Docker) die Ausführung abgebrochen wird, statt auf eine schwächere Isolation zurückzufallen
- Apache-2.0-Lizenz / Rust + TypeScript
Noch keine Kommentare.