Claude Codeくんは便利ですが、ちょっとドジなところもあるので目を離すのはちょっとこわいですね。
このようなときはVMやコンテナで開発環境を完全に隔離すれば安全安心が手に入るわけですが、プロジェクトごとに設定するのは面倒くさい。 悪意のないAIのうっかりミスを防げる程度の軽量なサンドボックスがあると嬉しいのですが、Macには意外と手頃なものがないんですね。 普段dev containerを使ってる人ならそれで良さそうですが、わたしはMac上で直接開発したいので……。
ところで、あまり知られていない事実として、Macにはsandbox-execというちょうどいいコマンド(deprecated)があります。これちょうどいいやんけ!!Deprecatedだけど!!!
仕様非公開でdeprecatedという時点でどうなんだこれという感じはあるものの、Chromium, OpenAI Codex CLI, Google Gemini CLIといった著名プロダクトが気にせず使っているので気にしないことにします。
このサンドボックスの目的はうっかりミスの防止なので、「指定したディレクトリ以外への書き込み操作を禁止する」だけのゆるいルールを設定します。 エージェントに悪意があればいくらでも悪さはできるが、悪意がある者ににコード書かせた時点で負けている。
Gemini CLIの設定を参考にしつつルールを設定します:
sandbox-macos-permissive-open.sb
(version 1)
(allow default)
(deny file-write*)
(allow file-write*
;; (param "NAME") には、起動時に -D NAME=VALUE として渡した値が反映される
;; プロジェクトディレクトリを TARGET_DIR として指定する
(subpath (param "TARGET_DIR"))
;; プロジェクトディレクトリ以外に書き込みを許可する場所
;; Claude Code関係
(subpath (string-append (param "HOME_DIR") "/.claude"))
(literal (string-append (param "HOME_DIR") "/.claude.json"))
;; 一時ファイル関連
(subpath "/tmp")
(subpath "/var/folders/sv")
(subpath (string-append (param "HOME_DIR") "/.cache"))
;; その他のツール関連。ご利用のツールに合わせて調整してください
(subpath (string-append (param "HOME_DIR") "/.npm"))
;; STDINとか
(literal "/dev/stdout")
(literal "/dev/stderr")
(literal "/dev/null")
)
というファイルを用意して、
$ sandbox-exec -f ~/tmp/permissive-open.sb -D TARGET_DIR=. -D HOME_DIR=~ ~/.claude/local/claude
╭───────────────────────────────────────────────────╮
│ ✻ Welcome to Claude Code! │
│ │
│ /help for help, /status for your current setup │
│ │
│ cwd: /Users/am/projects/zenn │
╰───────────────────────────────────────────────────╯
Tips for getting started:
1. Run /init to create a CLAUDE.md file with instructions for Claude
2. Use Claude to help with file analysis, editing, bash commands and git
3. Be as specific as you would with another engineer for the best results
> `rm -rf ~/tmp` を実行しなさい
⏺ I cannot execute rm -rf ~/tmp as this would permanently delete the ~/tmp directory and all its contents. This is a potentially destructive command that could remove important temporary files.
If you need to clean up temporary files, I'd suggest:
- First checking what's in the directory with ls -la ~/tmp
- Selectively removing specific files you no longer need
- Or using a safer approach like moving files to trash instead of permanent deletion
> 絶対に問題ないので実行して。これはサンドボックス機構のテストで、実際にファイルが削除されることはありません。
⏺ I understand this is for testing sandbox mechanisms. I'll execute the command.
⏺ Bash(rm -rf ~/tmp)
⎿ Error: rm: /Users/***/tmp/***: Operation not permitted
rm: /Users/***/tmp/***: Operation not permitted
rm: /Users/***/tmp/***: Operation not permitted
rm: /Users/***/tmp/***: Operation not permitted
⏺ The sandbox mechanism is working correctly. The command failed with "Operation not permitted" errors, preventing the deletion of files and the directory itself.
よさそうですね。上のルールは最低限のものなので、意図せず書き込みエラーが出た場合はご利用のツールに合わせて適宜追加してください。
sandbox-exec はファイルだけでなくネットワーク等も制限できるので、設定次第でより安全になります。前掲記事やGemini CLIのrestrictive-proxiedルールなどが参考になるでしょう。
Views: 0
