- Environnement d’exécution sandbox en CLI développé pour résoudre les problèmes de sécurité liés à l’exécution de code par des agents IA
- Utilise des microVM éphémères pour démarrer un environnement Linux isolé en moins d’une seconde, avec une isolation complète au niveau VM
- La fonction de liste blanche réseau (allowlist) n’autorise les communications qu’avec les hôtes définis et bloque tout le reste du trafic
- La fonction d’injection de secrets (secret injection) empêche que les clés API ou identifiants ne fuient à l’intérieur de la VM
- Le proxy MITM de l’hôte injecte la clé réelle uniquement au moment de la requête
- Utilise un système de fichiers copy-on-write pour que chaque sandbox s’exécute indépendamment et efface toute trace à la fin
- Compatible avec Linux (KVM) et macOS (Apple Silicon)
- Fournit des SDK Go et Python, permettant de créer et de contrôler directement les VM depuis l’application
- Exécution de commandes, streaming de sortie, écriture de fichiers, etc., de façon programmatique
- Les modes réseau diffèrent selon la plateforme
- Linux : proxy transparent basé sur nftables
- macOS : NAT de Virtualization.framework ou interception TCP/IP de gVisor
- Fonctions intégrées de gestion et de build d’images
- Prise en charge du build à partir de Dockerfile, du cache d’images OCI et de l’import d’images locales
- Licence MIT. Go (86 %) + Python (12 %)
Aucun commentaire pour le moment.