Agent Safehouse – Un garde-fou pour vos agents IA sur macOS
Comme vous le savez, les LLMs sont assez probabilistes de par leur nature. C’est leur force mais également leur principal problème de sécurité car si votre agent IA a une probabilité de 1% de faire une grosse connerie des enfers par session, sur 100 sessions vous montez à environ 63% de chances qu’il en arrive au moins une.
Heureusement,
Agent Safehouse
vous permet d’encapsuler votre agent préféré dans un profil sandbox macOS au niveau du kernel afin de réduire drastiquement la surface d’attaque sur votre système de fichiers.
Le principe de base, c’est le deny-default. Tout est refusé par défaut puis des autorisations sont ensuite ouvertes au compte-gouttes : lecture/écriture dans le répertoire du projet, accès lecture seule aux toolchains installés, et les exceptions système nécessaires au fonctionnement (runtimes, homebrew, réseau).
Par défaut, les clés privées SSH et les fichiers de credentials AWS ne sont pas lisibles donc si l’agent essaie d’accéder à ~/.ssh, il se prend une erreur "operation not permitted". C’est une couche de durcissement mais pas une barrière de sécurité absolue puisque le réseau, lui, reste ouvert par défaut, et des variables d’environnement peuvent encore exposer vos credentials. Mais pour tout ce qui est erreurs accidentelles et autres hallucinations destructrices en mode Claude a fumé la moquette, ça permet de leur couper la chique.
Cela repose sur
le mécanisme sandbox-exec
, l’outil natif macOS qu’Apple a fini par marquer "deprecated" sans vraiment le retirer. Agent Safehouse s’en sert tout simplement comme fondation et y ajoute de la configuration par profil et les intégrations agents par dessus.
Sandbox-exec est en effet le seul mécanisme natif macOS qui s’applique en wrapper arbitraire depuis la ligne de commande, sans avoir besoin de se taper un setup préalable comme on pourrait le faire avec Docker ou une VM.
Et c’est surtout plus léger et plus pratique pour un usage au quotidien donc si vous faites tourner Claude Code ou Codex plusieurs heures par jour, ça peut servir, au moins pour votre tranquillité d’esprit.
L’installation se fait via Homebrew comme ceci :
brew install eugene1g/safehouse/agent-safehouse
Ou via un script curl si vous évitez Homebrew. Ensuite, vous remplacez votre appel habituel par safehouse [agent] [options]. Donc pour Claude Code ça donnerait ceci :
safehouse claude --dangerously-skip-permissions
Les functions shell (bash, zsh, fish) peuvent encapsuler ça automatiquement pour que votre agent soit sandbox par défaut à chaque appel et il est toujours possible de contourner cela via un simple command claude si besoin.
La liste des agents supportés sont Claude Code, Codex, OpenCode, Amp, Copilot CLI, Gemini CLI, Aider, Goose, Cursor Agent, Cline, Kilo Code et d’autres.
Après c’est macOS uniquement pour l’instant, et surtout sandbox-exec étant techniquement plus maintenu par Apple, il pourrait très bien disparaître dans une future version de macOS. Donc faudra vivre avec ce risque ^^.
Si vous faites tourner des agents locaux et que
l’idée d’un agent qui décide de miner de la crypto
ou d’effacer votre répertoire home vous stresse de ouf, ça vaut le coup d’essayer. C’est
dispo sur GitHub
.
Source : korben.info