- Ferramenta leve de isolamento de processos que extrai o runtime de sandbox do Codex como uma ferramenta independente, aplicando controle de arquivos, rede e credenciais a comandos arbitrários
- Mesmo ao executar código gerado por IA sem modificações, não há preocupação com danos a arquivos ou vazamento de dados
- A política padrão é deny-by-default, bloqueando por padrão qualquer acesso de escrita, rede e variáveis de ambiente que não tenha sido explicitamente permitido
- É possível chamar APIs externas sem expor chaves de API no código: com o recurso de injeção de credenciais (Credential Injection), os processos dentro do sandbox veem apenas placeholders, enquanto a chave de API real fica no proxy de rede
- Instalação concluída com um único binário via
curl ... | sh ou npm install -g zerobox, sem necessidade de buildar imagens de contêiner ou esperar o boot de uma VM
- Dá para rastrear e reverter imediatamente o que mudou por engano com
npm install: basta executar zerobox --restore --allow-write=. -- npm install; ao terminar, a restauração é automática. Com --snapshot, é possível apenas registrar e depois verificar as mudanças com zerobox snapshot diff <id> para então fazer rollback com restore
- É possível separar permissões a cada chamada de ferramenta do LLM: criando um sandbox somente leitura, outro somente escrita e outro que permite apenas domínios específicos, cada tool call do agente pode ser executado com permissões diferentes → mesmo que um prompt injection dispare
rm -rf, ele será ignorado se estiver em um sandbox sem permissão de escrita
- Bloqueio automático de chamadas externas de rede não intencionais em build/testes: ao executar testes com
zerobox --allow-write=/tmp -- npm test, se o código tentar chamar silenciosamente uma API externa, a execução falha naquele momento, ajudando a detectar cedo ataques à cadeia de suprimentos ou efeitos colaterais
- Não é preciso escrever manualmente regras para bloquear diretórios sensíveis: o perfil padrão já aplica deny automaticamente a caminhos como
~/.ssh e ~/.aws, garantindo uma camada básica de segurança sem configuração adicional
- Sem preocupação com contaminação por variáveis de ambiente: por padrão, apenas o essencial como
PATH e HOME é repassado, então valores como AWS_SECRET_ACCESS_KEY não vazam para processos filhos; só o necessário pode ser liberado via whitelist com algo como --allow-env=DATABASE_URL
- Suporte tanto a Rust SDK quanto a TypeScript SDK, com execução via CLI em binário único sem Docker ou VM e com overhead de cerca de 10 ms
- Ferramenta especialmente útil para segurança em workflows de IA, como execução de código gerado por agentes de IA, isolamento de chamadas de ferramentas de LLM e proteção de scripts de build
- Suporte de plataforma e informações técnicas
- macOS: suporte completo baseado em Seatbelt (
sandbox-exec)
- Linux: suporte completo baseado em Bubblewrap + Seccomp + Namespaces
- Windows: suporte planejado com base em Restricted Tokens + ACLs + Firewall
- Com a opção
--strict-sandbox, em ambientes sem bubblewrap (ex.: dentro de Docker), é possível forçar a interrupção da execução em vez de fazer fallback para um isolamento mais fraco
- Licença Apache-2.0 / Rust + TypeScript
Ainda não há comentários.