Zerobox - ferramenta leve de sandboxing de processos multiplataforma baseada no runtime do OpenAI Codex
(github.com/afshinm)- Ferramenta leve de isolamento de processos que extrai o runtime de sandbox do Codex como uma ferramenta independente, aplicando controle de arquivos, rede e credenciais a comandos arbitrários
- Mesmo ao executar código gerado por IA sem modificações, não há preocupação com danos a arquivos ou vazamento de dados
- A política padrão é deny-by-default, bloqueando por padrão qualquer acesso de escrita, rede e variáveis de ambiente que não tenha sido explicitamente permitido
- É possível chamar APIs externas sem expor chaves de API no código: com o recurso de injeção de credenciais (Credential Injection), os processos dentro do sandbox veem apenas placeholders, enquanto a chave de API real fica no proxy de rede
- Instalação concluída com um único binário via
curl ... | shounpm install -g zerobox, sem necessidade de buildar imagens de contêiner ou esperar o boot de uma VM - Dá para rastrear e reverter imediatamente o que mudou por engano com
npm install: basta executarzerobox --restore --allow-write=. -- npm install; ao terminar, a restauração é automática. Com--snapshot, é possível apenas registrar e depois verificar as mudanças comzerobox snapshot diff <id>para então fazer rollback comrestore - É possível separar permissões a cada chamada de ferramenta do LLM: criando um sandbox somente leitura, outro somente escrita e outro que permite apenas domínios específicos, cada tool call do agente pode ser executado com permissões diferentes → mesmo que um prompt injection dispare
rm -rf, ele será ignorado se estiver em um sandbox sem permissão de escrita - Bloqueio automático de chamadas externas de rede não intencionais em build/testes: ao executar testes com
zerobox --allow-write=/tmp -- npm test, se o código tentar chamar silenciosamente uma API externa, a execução falha naquele momento, ajudando a detectar cedo ataques à cadeia de suprimentos ou efeitos colaterais - Não é preciso escrever manualmente regras para bloquear diretórios sensíveis: o perfil padrão já aplica deny automaticamente a caminhos como
~/.sshe~/.aws, garantindo uma camada básica de segurança sem configuração adicional - Sem preocupação com contaminação por variáveis de ambiente: por padrão, apenas o essencial como
PATHeHOMEé repassado, então valores comoAWS_SECRET_ACCESS_KEYnão vazam para processos filhos; só o necessário pode ser liberado via whitelist com algo como--allow-env=DATABASE_URL - Suporte tanto a Rust SDK quanto a TypeScript SDK, com execução via CLI em binário único sem Docker ou VM e com overhead de cerca de 10 ms
- Ferramenta especialmente útil para segurança em workflows de IA, como execução de código gerado por agentes de IA, isolamento de chamadas de ferramentas de LLM e proteção de scripts de build
- Suporte de plataforma e informações técnicas
- macOS: suporte completo baseado em Seatbelt (
sandbox-exec) - Linux: suporte completo baseado em Bubblewrap + Seccomp + Namespaces
- Windows: suporte planejado com base em Restricted Tokens + ACLs + Firewall
- Com a opção
--strict-sandbox, em ambientes sem bubblewrap (ex.: dentro de Docker), é possível forçar a interrupção da execução em vez de fazer fallback para um isolamento mais fraco
- macOS: suporte completo baseado em Seatbelt (
- Licença Apache-2.0 / Rust + TypeScript
Ainda não há comentários.