- Outil léger d’isolation de processus qui extrait le runtime sandbox de Codex en tant qu’outil autonome, afin d’appliquer un contrôle des fichiers, du réseau et des identifiants à des commandes arbitraires
- Même en exécutant tel quel du code généré par une IA, il n’y a aucun risque de corruption de fichiers ou de fuite de données
- La politique par défaut est configurée en deny-by-default : tout accès en écriture, au réseau ou aux variables d’environnement qui n’est pas explicitement autorisé est bloqué
- Possibilité d’appeler des API externes sans exposer de clé API dans le code : avec la fonction Credential Injection, le processus dans le sandbox ne voit qu’un placeholder, tandis que la véritable clé API est gérée par le proxy réseau
- Installation terminée avec un binaire unique via
curl ... | sh ou npm install -g zerobox, sans avoir à construire une image de conteneur ni attendre le démarrage d’une VM
- Il est possible de suivre et d’annuler immédiatement ce qu’un
npm install a modifié par erreur : il suffit d’exécuter zerobox --restore --allow-write=. -- npm install pour une restauration automatique à la fin ; avec --snapshot, on peut aussi ne faire qu’enregistrer, puis vérifier plus tard les changements via zerobox snapshot diff <id> avant de revenir en arrière avec restore
- Les autorisations peuvent être séparées pour chaque appel d’outil d’un LLM : on peut créer un sandbox en lecture seule, un sandbox en écriture seule et un sandbox autorisant seulement certains domaines, puis exécuter chaque tool call de l’agent avec des droits différents → même si une prompt injection tente un
rm -rf, elle sera ignorée dans un sandbox sans droit d’écriture
- Blocage automatique des appels réseau externes non intentionnels pendant les builds/tests : en lançant
zerobox --allow-write=/tmp -- npm test, le test échoue dès que le code tente en secret d’appeler une API externe, ce qui permet de détecter tôt les attaques de supply chain ou les effets de bord
- Pas besoin d’écrire manuellement des règles de blocage pour les répertoires sensibles : le profil par défaut refuse automatiquement des chemins comme
~/.ssh et ~/.aws, fournissant une protection de base sans configuration supplémentaire
- Aucun risque de pollution des variables d’environnement : par défaut, seules les variables essentielles comme
PATH et HOME sont transmises, de sorte que des valeurs comme AWS_SECRET_ACCESS_KEY ne fuient pas vers les processus enfants ; seules celles nécessaires sont ajoutées à la whitelist via --allow-env=DATABASE_URL par exemple
- Prise en charge à la fois du SDK Rust et du SDK TypeScript, avec exécution via un binaire CLI unique, sans Docker ni VM, pour un surcoût d’environ 10 ms
- Outil particulièrement utile pour la sécurité des workflows IA, notamment pour l’exécution de code généré par des agents IA, l’isolation des tool calls de LLM ou la protection des scripts de build
- Prise en charge des plateformes et informations techniques
- macOS : prise en charge complète sur la base de Seatbelt (
sandbox-exec)
- Linux : prise en charge complète sur la base de Bubblewrap + Seccomp + Namespaces
- Windows : prise en charge prévue sur la base de Restricted Tokens + ACLs + Firewall
- Avec l’option
--strict-sandbox, il est possible de forcer l’arrêt de l’exécution au lieu d’un repli vers une isolation plus faible dans les environnements sans bubblewrap (par ex. à l’intérieur de Docker)
- Licence Apache-2.0 / Rust + TypeScript
Aucun commentaire pour le moment.