Anthropic Sandbox Runtime (srt) - sandbox léger pour l’IA

xguru · 2026-01-12T09:46:02+09:00

Runtime de sandbox de recherche développé pour garantir un environnement d’exécution sûr pour les agents IA Architecture légère qui utilise des primitives de sandboxing natives de l’OS sans conteneur afin d’isoler en toute sécurité des agents, des serveurs locaux ou des commandes CLI Sur macOS, utilisation de sandbox-exec et des profils Seatbelt ; sur Linux, isolation par espaces de noms basée sur bubblewrap Le trafic réseau est filtré via un serveur proxy, ce qui permet de n’autoriser l’accès qu’aux domaines approuvés Démarre avec le minimum de privilèges selon une philosophie secure-by-default Modèle allow-only / deny-only permettant d’autoriser explicitement uniquement les fichiers ou chemins réseau nécessaires Fonctionnalités principales Network restrictions : contrôle des domaines accessibles en HTTP/HTTPS et via d’autres protocoles Filesystem restrictions : définition des fichiers et répertoires autorisés en lecture/écriture Unix socket restrictions : limitation de l’accès aux sockets IPC locales Violation monitoring : surveillance en temps réel des journaux de violation sur macOS Prise en charge du sandboxing des serveurs MCP Les serveurs Model Context Protocol peuvent être exécutés en les encapsulant avec srt afin de restreindre les permissions fichier et réseau Des politiques d’accès détaillées peuvent être définies dans le fichier de configuration (~/.srt-settings.json) Dual Isolation Model pour isoler simultanément le système de fichiers et le réseau Isolation du système de fichiers : lecture autorisée par défaut, écriture nécessitant une autorisation explicite Isolation réseau : tous les accès sont bloqués par défaut, seuls les domaines autorisés peuvent communiquer Disponible à la fois en CLI et en bibliothèque Lors de l’exécution d’une commande avec srt , le sandbox est appliqué automatiquement Dans un environnement Node.js, contrôle programmatique possible via l’API SandboxManager Filtrage réseau extensible Possibilité de se connecter à un proxy personnalisé (mitmproxy, etc.) à la place du proxy par défaut Permet de mettre en place l’inspection du trafic, la journalisation d’audit et une logique de filtrage fine Prise en charge des plateformes Prise en charge complète de macOS et Linux Windows n’est pas encore pris en charge Dans l’environnement Linux, des dépendances comme bubblewrap, socat et ripgrep sont nécessaires

(github.com/anthropic-experimental)

11 points par xguru 2026-01-12 | 3 commentaires | Partager sur WhatsApp

Runtime de sandbox de recherche développé pour garantir un environnement d’exécution sûr pour les agents IA
Architecture légère qui utilise des primitives de sandboxing natives de l’OS sans conteneur afin d’isoler en toute sécurité des agents, des serveurs locaux ou des commandes CLI
Sur macOS, utilisation de sandbox-exec et des profils Seatbelt ; sur Linux, isolation par espaces de noms basée sur bubblewrap
- Le trafic réseau est filtré via un serveur proxy, ce qui permet de n’autoriser l’accès qu’aux domaines approuvés
Démarre avec le minimum de privilèges selon une philosophie secure-by-default
- Modèle allow-only / deny-only permettant d’autoriser explicitement uniquement les fichiers ou chemins réseau nécessaires
Fonctionnalités principales
- Network restrictions : contrôle des domaines accessibles en HTTP/HTTPS et via d’autres protocoles
- Filesystem restrictions : définition des fichiers et répertoires autorisés en lecture/écriture
- Unix socket restrictions : limitation de l’accès aux sockets IPC locales
- Violation monitoring : surveillance en temps réel des journaux de violation sur macOS
Prise en charge du sandboxing des serveurs MCP
- Les serveurs Model Context Protocol peuvent être exécutés en les encapsulant avec srt afin de restreindre les permissions fichier et réseau
- Des politiques d’accès détaillées peuvent être définies dans le fichier de configuration (~/.srt-settings.json)
Dual Isolation Model pour isoler simultanément le système de fichiers et le réseau
- Isolation du système de fichiers : lecture autorisée par défaut, écriture nécessitant une autorisation explicite
- Isolation réseau : tous les accès sont bloqués par défaut, seuls les domaines autorisés peuvent communiquer
Disponible à la fois en CLI et en bibliothèque
- Lors de l’exécution d’une commande avec srt , le sandbox est appliqué automatiquement
- Dans un environnement Node.js, contrôle programmatique possible via l’API SandboxManager
Filtrage réseau extensible
- Possibilité de se connecter à un proxy personnalisé (mitmproxy, etc.) à la place du proxy par défaut
- Permet de mettre en place l’inspection du trafic, la journalisation d’audit et une logique de filtrage fine
Prise en charge des plateformes
- Prise en charge complète de macOS et Linux
- Windows n’est pas encore pris en charge
- Dans l’environnement Linux, des dépendances comme bubblewrap, socat et ripgrep sont nécessaires

3 commentaires

crawler 2026-01-12

On dirait que ça aurait dû sortir en même temps que MCP, mais le fait qu’ils l’aient publié seulement après l’avoir confié à une fondation open source donne quand même l’impression que ça arrive très tard.
Et en plus, même ça n’est pas compatible avec Windows, snif snif

m00nlygreat 2026-01-12

Windows est toujours relégué au second plan. Microsoft doit se réveiller. Cela dit, je doute qu’il en sorte grand-chose, même s’il se réveille maintenant.

fastkoder 2026-01-12

Ils construisent vraiment, étape par étape, uniquement ce qui est nécessaire.

Anthropic Sandbox Runtime (srt) - sandbox léger pour l’IA

À lire aussi

3 commentaires