- Công cụ cô lập tiến trình gọn nhẹ, tách runtime sandbox của Codex thành một công cụ độc lập, có thể áp dụng kiểm soát tệp·mạng·thông tin xác thực cho các lệnh tùy ý
- Có thể chạy trực tiếp mã do AI tạo ra mà không lo hỏng tệp hay rò rỉ dữ liệu
- Chính sách mặc định được đặt là deny-by-default, nên mọi truy cập ghi, mạng và biến môi trường không được cho phép rõ ràng đều bị chặn
- Có thể gọi API bên ngoài mà không làm lộ API key trong mã: với tính năng Credential Injection, tiến trình bên trong sandbox chỉ nhìn thấy placeholder, còn API key thực nằm ở proxy mạng
- Cài đặt xong bằng một binary duy nhất qua
curl ... | sh hoặc npm install -g zerobox, không cần build image container hay chờ khởi động VM
- Có thể theo dõi và hoàn tác ngay những gì
npm install vô tình thay đổi: chỉ cần chạy zerobox --restore --allow-write=. -- npm install, sau khi kết thúc sẽ tự động phục hồi; hoặc ghi lại bằng --snapshot, rồi sau đó dùng zerobox snapshot diff <id> để kiểm tra thay đổi và restore để rollback
- Có thể tách quyền cho từng lần gọi công cụ của LLM: tạo riêng sandbox chỉ đọc, sandbox chỉ ghi, sandbox chỉ cho phép một số domain cụ thể, rồi chạy mỗi tool call của agent với quyền khác nhau → ngay cả khi prompt injection cố chạy
rm -rf, nó cũng sẽ bị bỏ qua nếu sandbox không có quyền ghi
- Tự động chặn các lệnh gọi mạng ngoài ý muốn trong build/test: chạy test bằng
zerobox --allow-write=/tmp -- npm test, nếu mã lén gọi API bên ngoài thì sẽ fail ngay, giúp phát hiện sớm tấn công chuỗi cung ứng hoặc side effect
- Không cần tự viết quy tắc chặn cho thư mục nhạy cảm: profile mặc định tự động deny các đường dẫn như
~/.ssh, ~/.aws, nên vẫn có lớp bảo vệ an toàn cơ bản mà không cần cấu hình thêm
- Không lo ô nhiễm biến môi trường: mặc định chỉ truyền các biến thiết yếu như
PATH, HOME, nên các biến như AWS_SECRET_ACCESS_KEY sẽ không rò sang tiến trình con; chỉ những biến cần thiết mới được whitelist kiểu --allow-env=DATABASE_URL
- Hỗ trợ cả Rust SDK và TypeScript SDK, đồng thời có thể chạy bằng CLI binary duy nhất với overhead khoảng 10ms mà không cần Docker hay VM
- Công cụ đặc biệt hữu ích cho bảo mật workflow AI, như chạy mã do AI agent tạo ra, cô lập các lệnh gọi công cụ của LLM, bảo vệ script build, v.v.
- Hỗ trợ nền tảng và thông tin kỹ thuật
- macOS: hỗ trợ đầy đủ dựa trên Seatbelt (
sandbox-exec)
- Linux: hỗ trợ đầy đủ dựa trên Bubblewrap + Seccomp + Namespaces
- Windows: dự kiến hỗ trợ dựa trên Restricted Tokens + ACLs + Firewall
- Với tùy chọn
--strict-sandbox, có thể buộc dừng thực thi thay vì fallback sang cơ chế cô lập yếu hơn trong môi trường không có bubblewrap (ví dụ: bên trong Docker)
- Giấy phép Apache-2.0 / Rust + TypeScript
Chưa có bình luận nào.