agent-safehouse

1.6k 59 简单 1 次阅读今天Apache-2.0语言模型Agent开发框架

AI 解读由 AI 自动生成，仅供参考

agent-safehouse 是一款专为 macOS 设计的开源工具，旨在为本地运行的 AI 编程助手构建安全的“沙盒”环境。随着 AI 代理在开发流程中的普及，它们往往需要读取或修改文件，这带来了潜在的数据泄露或误操作风险。agent-safehouse 通过严格的权限控制，确保 AI 只能访问其完成任务所必需的文件和系统资源，从而在保障安全的同时不影响开发效率。

该工具特别适合经常使用 Claude、Codex 等 AI 编程助手的开发者。它采用“默认拒绝”的安全模型，即除非明确允许，否则禁止所有访问。其核心技术亮点在于利用 macOS 原生的 sandbox-exec 机制，结合可组合的策略配置文件，既能精准限制权限（例如仅允许读取特定配置目录而非整个家目录），又能自动处理系统路径的符号链接解析，避免配置繁琐。

此外，agent-safehouse 提供了灵活的自定义选项，允许用户通过简单的脚本封装，为不同项目或团队设定个性化的安全策略。它并非追求绝对完美的防御边界，而是致力于在“最小权限原则”与实际开发便利性之间找到最佳平衡点，让开发者能更放心地将 AI 融入日常编码工作流。

使用场景

资深后端开发者李明在 macOS 本地运行 Claude Code 等 AI 编程助手，让其自动重构一个包含敏感配置文件和私有密钥的遗留项目。

没有 agent-safehouse 时

权限过度开放：AI 代理默认拥有用户主目录的完全读写权，一旦产生幻觉或遭受提示词注入，可能误删 ~/.ssh 密钥或覆盖重要的个人文档。
隐私数据泄露风险：代理可以随意遍历并读取 ~/Documents 或 ~/Downloads 中的非项目相关文件，导致私人信息意外被发送给大模型。
缺乏最小权限控制：开发者难以精细限制 AI 仅访问当前项目目录，每次运行都像是在“裸奔”，不得不时刻盯着终端防止意外操作。
系统配置被篡改：恶意或错误的代码生成可能修改全局系统配置文件（如 /etc/hosts 或 shell 启动脚本），破坏开发环境稳定性。

使用 agent-safehouse 后

实施最小权限原则：通过 safehouse 启动代理，默认拒绝所有访问，仅显式开放当前项目目录的读写权限，从根本上阻断对 ~/.ssh 等敏感路径的触碰。
精准隔离隐私数据：即使 AI 试图读取主目录下其他文件夹，也会因策略限制而失败，确保私人文档和缓存数据绝对安全，仅限必要的元数据探测。
工作流无缝集成：利用预置的策略模板（profiles），无需编写复杂的沙盒规则即可快速启动受保护的 AI 会话，既安全又不牺牲开发效率。
防御系统级破坏：内置的系统路径解析机制自动处理符号链接，防止代理意外修改关键系统文件，将风险严格限制在项目沙盒内。

agent-safehouse 通过“默认拒绝”的沙盒机制，让本地 AI 代理在享受高效编码能力的同时，彻底告别了对敏感数据和系统环境的潜在威胁。

运行环境要求

操作系统

macOS

GPU

未说明

内存

未说明

依赖

notes该工具专为 macOS 设计，利用系统自带的 sandbox-exec 机制运行。不支持 Linux 或 Windows。安装可通过 Homebrew 或独立脚本完成。其核心功能是为 LLM 编码代理提供沙箱环境，采用默认拒绝（deny-first）策略，仅允许访问必要的文件和集成。

python未说明

sandbox-exec (macOS 系统工具)

快速开始

代理安全屋

在 macOS 上为您的 LLM 编码代理创建沙箱环境，使其仅能访问实际所需的文件和集成。

Agent Safehouse 使用 sandbox-exec 结合可组合的策略配置文件，并采用“默认拒绝”模型。它包含针对主流编码代理及应用托管代理工作流的配置文件，同时确保常规开发使用依然便捷高效。

安装

Homebrew：

brew install eugene1g/safehouse/agent-safehouse

独立脚本：

mkdir -p ~/.local/bin
curl -fsSL https://github.com/eugene1g/agent-safehouse/releases/latest/download/safehouse.sh \
  -o ~/.local/bin/safehouse
chmod +x ~/.local/bin/safehouse

理念

Agent Safehouse 的设计基于实用的最小权限原则：

从“全部拒绝”开始。
仅允许代理完成有用工作所需的权限。
保持开发者工作流程的高效性。
默认情况下轻松降低风险。

它是一个加固层，而非能够抵御蓄意攻击者的完美安全边界。

默认 HOME 目录访问权限

HOME_DIR 用于在组装的策略中生成精确的、相对于主目录的规则。但仅凭这一点，并不会授予对您主目录的递归读取权限。

Safehouse 的默认行为更为严格：

对 /、$HOME 路径以及 $HOME 本身仅允许元数据级别的遍历，以便运行时可以探测明确允许的主目录范围路径。
允许读取 ~/.config 和 ~/.cache 目录的根目录内容，以便工具能够发现 XDG 位置。
从始终启用的配置文件中，明确允许访问少数几个与主目录相关的文件或目录，例如 Git/SSH 元数据以及共享的代理指令文件夹。

实际上，即使执行 stat "$HOME" 成功，ls "$HOME" 和 cat ~/secret.txt 仍会失败，除非有更具体的规则明确授予该路径的访问权限。

如果您希望移除甚至这些默认的主目录例外情况，可以使用 --append-profile 参数；附加的配置文件会最后加载，因此其拒绝规则可以进一步缩小先前的默认设置。

内置系统路径解析

Safehouse 内置的 profiles/* 模块可能包含 macOS 兼容路径，如 /etc、/private/etc/resolv.conf 或 /private/etc/localtime。

在策略渲染时，Safehouse 会解析来自 allow file-read* 规则的内置绝对路径，并在作者指定的路径为符号链接时，发出指向真实目标路径的匹配授权。这样可以在不放宽源配置文件对 /private/etc 的递归访问权限的情况下，使特定于主机的系统文件正常工作。

目前的范围有意限制在内置的绝对路径的 literal 和 subpath 读取授权上。用户提供的路径授权仍将单独规范化，而写入或仅限元数据的内置规则目前并不会通过此机制自动扩展。

文档

官网：agent-safehouse.dev
文档：agent-safehouse.dev/docs
策略生成器：agent-safehouse.dev/policy-builder

机器特定的默认设置

如果您将共享仓库、缓存或团队文件夹存放在特定于机器的位置，请勿将其配置放入项目配置中，而是将其置于 shell 包装器和本地附加的配置文件中。

这样您可以一次性定义自己的合理默认值，并在 claude、codex、amp 或应用程序启动器中重复使用：

POSIX shell（zsh / bash）：

# ~/.zshrc 或 ~/.bashrc
export SAFEHOUSE_APPEND_PROFILE="$HOME/.config/agent-safehouse/local-overrides.sb"

safe() {
  safehouse \
    --add-dirs-ro="$HOME/server" \
    --append-profile="$SAFEHOUSE_APPEND_PROFILE" \
    "$@"
}

safe-claude() { safe claude --dangerously-skip-permissions "$@" }

fish：

# ~/.config/fish/config.fish
set -gx SAFEHOUSE_APPEND_PROFILE "$HOME/.config/agent-safehouse/local-overrides.sb"

function safe
    safehouse \
      --add-dirs-ro="$HOME/server" \
      --append-profile="$SAFEHOUSE_APPEND_PROFILE" \
      $argv
end

function safe-claude
    safe claude --dangerously-skip-permissions $argv
end

示例机器本地策略文件：

;; ~/.config/agent-safehouse/local-overrides.sb
;; 主机特定的例外情况，不应存在于共享仓库的配置中。
(allow file-read*
  (home-literal "/.gitignore_global")
  (home-subpath "/Library/Application Support/CleanShot/media")
  (subpath "/Volumes/Shared/Engineering")
)

对于正常的共享文件夹访问，使用 --add-dirs-ro 或 --add-dirs；而 --append-profile 则用于机器本地的策略例外或最终的拒绝/允许覆盖。当仓库被共享，但每台开发机器的本地挂载点不同时，这种模式非常有用。

Git 工作树会在启动时自动检测：如果所选工作目录本身就是 Git 工作树的根目录，则该工作树将获得其所需的共享 Git 元数据访问权限，即使其共同目录位于所选工作目录之外。同时，该仓库的其他现有关联工作树也会默认变为可读，便于跨工作树检查。不过，这一快照不会更新给已经运行的进程。因此，如果您在稳定的父目录下创建工作树，例如 ~/worktrees，建议显式使用 --add-dirs-ro 添加该根目录。

所有详细文档（安装、使用、选项、架构、测试、调试和调查）均收录在 VitePress 文档站点中。

Agent Safehouse 快速上手指南

Agent Safehouse 是一款专为 macOS 设计的沙盒工具，用于限制 LLM 编程助手（如 Claude Code、Codex 等）的文件访问权限。它采用“默认拒绝”模型，确保 AI 代理只能访问其工作所需的特定文件和集成，从而在保障开发效率的同时降低安全风险。

环境准备

操作系统：macOS
前置依赖：
- 系统内置的 sandbox-exec 工具（macOS 自带，无需额外安装）
- 包管理器 Homebrew（推荐用于安装）或基础的 Shell 环境（bash/zsh/fish）

安装步骤

你可以选择通过 Homebrew 或直接下载脚本进行安装。

方式一：使用 Homebrew（推荐）

brew install eugene1g/safehouse/agent-safehouse

方式二：独立脚本安装

如果你不想使用 Homebrew，可以手动下载可执行脚本：

mkdir -p ~/.local/bin
curl -fsSL https://github.com/eugene1g/agent-safehouse/releases/latest/download/safehouse.sh \
  -o ~/.local/bin/safehouse
chmod +x ~/.local/bin/safehouse

提示：请确保 ~/.local/bin 已添加到你的 $PATH 环境变量中，以便直接在终端运行 safehouse 命令。

基本使用

Agent Safehouse 的核心用法是在启动 AI 代理命令前加上 safehouse 前缀。它会自动加载针对主流编程助手的预设策略配置文件。

最简单的使用示例

假设你正在使用 claude 命令（例如 Claude Code CLI），只需在其前方加上 safehouse：

safehouse claude --dangerously-skip-permissions

工作原理：

该命令会启动一个沙盒环境。
默认情况下，AI 代理无法读取你的主目录（$HOME）中的文件，除非策略明确允许。
它仅允许访问必要的元数据（如 Git/SSH 配置）和特定的缓存目录，防止意外泄露敏感文件（如 ~/.ssh/id_rsa 或未授权的代码库）。

自定义只读访问目录

如果你需要让 AI 代理访问特定的项目目录（例如 /Users/name/projects/my-app），可以使用 --add-dirs-ro 参数：

safehouse \
  --add-dirs-ro="$HOME/projects/my-app" \
  claude --dangerously-skip-permissions

进阶：配置本地别名（可选）

为了方便日常使用，建议在 Shell 配置文件（如 ~/.zshrc）中添加别名：

# ~/.zshrc
alias safe-claude='safehouse claude --dangerously-skip-permissions'

保存并生效配置后，即可直接运行：

safe-claude

这样既保持了命令的简洁性，又确保了每次运行都在安全的沙盒环境中。

版本历史

v0.9.02026/03/27

v0.8.02026/03/27

v0.7.02026/03/27

v0.6.02026/03/23

v0.5.22026/03/18

v0.5.12026/03/17

v0.5.02026/03/17

v0.4.02026/03/16

v0.3.12026/03/12

v0.3.02026/03/12

v0.2.02026/03/11

v0.1.02026/03/11

常见问题

为什么在沙盒中未启用 SSH 选项时，SSH 连接仍然可以成功？这是否意味着我的 SSH 密钥不安全？

如何在 Safehouse 中运行 agent-browser 或 Playwright？之前遇到崩溃或被拒绝的问题。

在 Mac Silicon 上运行 `make` 命令失败，提示找不到开发者工具（No developer tools were found），如何解决？

在 Safehouse 中运行 Java (Temurin/OpenJDK) 时失败，报错“Unable to locate a Java Runtime”或多个 sandbox denials，如何修复？

使用 Homebrew 安装的 `pi` (pi-coding-agent) 在 Safehouse 中运行报错，如何处理？

Safehouse 更新后，之前有效的自定义配置是否需要调整？如何确认新功能已生效？

相似工具推荐

openclaw

OpenClaw 是一款专为个人打造的本地化 AI 助手，旨在让你在自己的设备上拥有完全可控的智能伙伴。它打破了传统 AI 助手局限于特定网页或应用的束缚，能够直接接入你日常使用的各类通讯渠道，包括微信、WhatsApp、Telegram、Discord、iMessage 等数十种平台。无论你在哪个聊天软件中发送消息，OpenClaw 都能即时响应，甚至支持在 macOS、iOS 和 Android 设备上进行语音交互，并提供实时的画布渲染功能供你操控。这款工具主要解决了用户对数据隐私、响应速度以及“始终在线”体验的需求。通过将 AI 部署在本地，用户无需依赖云端服务即可享受快速、私密的智能辅助，真正实现了“你的数据，你做主”。其独特的技术亮点在于强大的网关架构，将控制平面与核心助手分离，确保跨平台通信的流畅性与扩展性。 OpenClaw 非常适合希望构建个性化工作流的技术爱好者、开发者，以及注重隐私保护且不愿被单一生态绑定的普通用户。只要具备基础的终端操作能力（支持 macOS、Linux 及 Windows WSL2），即可通过简单的命令行引导完成部署。如果你渴望拥有一个懂你

★ 349.3k|★★★☆☆|4天前

Agent开发框架图像

stable-diffusion-webui

stable-diffusion-webui 是一个基于 Gradio 构建的网页版操作界面，旨在让用户能够轻松地在本地运行和使用强大的 Stable Diffusion 图像生成模型。它解决了原始模型依赖命令行、操作门槛高且功能分散的痛点，将复杂的 AI 绘图流程整合进一个直观易用的图形化平台。无论是希望快速上手的普通创作者、需要精细控制画面细节的设计师，还是想要深入探索模型潜力的开发者与研究人员，都能从中获益。其核心亮点在于极高的功能丰富度：不仅支持文生图、图生图、局部重绘（Inpainting）和外绘（Outpainting）等基础模式，还独创了注意力机制调整、提示词矩阵、负向提示词以及“高清修复”等高级功能。此外，它内置了 GFPGAN 和 CodeFormer 等人脸修复工具，支持多种神经网络放大算法，并允许用户通过插件系统无限扩展能力。即使是显存有限的设备，stable-diffusion-webui 也提供了相应的优化选项，让高质量的 AI 艺术创作变得触手可及。

★ 162.1k|★★★☆☆|5天前

开发框架图像Agent

everything-claude-code

everything-claude-code 是一套专为 AI 编程助手（如 Claude Code、Codex、Cursor 等）打造的高性能优化系统。它不仅仅是一组配置文件，而是一个经过长期实战打磨的完整框架，旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能，everything-claude-code 能显著提升 AI 在复杂任务中的表现，帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略，使得模型响应更快、成本更低，同时有效防御潜在的攻击向量。这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库，还是需要 AI 协助进行安全审计与自动化测试，everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目，它融合了多语言支持与丰富的实战钩子（hooks），让 AI 真正成长为懂上

★ 148.6k|★★☆☆☆|今天

开发框架Agent语言模型

ComfyUI

ComfyUI 是一款功能强大且高度模块化的视觉 AI 引擎，专为设计和执行复杂的 Stable Diffusion 图像生成流程而打造。它摒弃了传统的代码编写模式，采用直观的节点式流程图界面，让用户通过连接不同的功能模块即可构建个性化的生成管线。这一设计巧妙解决了高级 AI 绘图工作流配置复杂、灵活性不足的痛点。用户无需具备编程背景，也能自由组合模型、调整参数并实时预览效果，轻松实现从基础文生图到多步骤高清修复等各类复杂任务。ComfyUI 拥有极佳的兼容性，不仅支持 Windows、macOS 和 Linux 全平台，还广泛适配 NVIDIA、AMD、Intel 及苹果 Silicon 等多种硬件架构，并率先支持 SDXL、Flux、SD3 等前沿模型。无论是希望深入探索算法潜力的研究人员和开发者，还是追求极致创作自由度的设计师与资深 AI 绘画爱好者，ComfyUI 都能提供强大的支持。其独特的模块化架构允许社区不断扩展新功能，使其成为当前最灵活、生态最丰富的开源扩散模型工具之一，帮助用户将创意高效转化为现实。

★ 108.1k|★★☆☆☆|2天前

开发框架图像Agent

gemini-cli

gemini-cli 是一款由谷歌推出的开源 AI 命令行工具，它将强大的 Gemini 大模型能力直接集成到用户的终端环境中。对于习惯在命令行工作的开发者而言，它提供了一条从输入提示词到获取模型响应的最短路径，无需切换窗口即可享受智能辅助。这款工具主要解决了开发过程中频繁上下文切换的痛点，让用户能在熟悉的终端界面内直接完成代码理解、生成、调试以及自动化运维任务。无论是查询大型代码库、根据草图生成应用，还是执行复杂的 Git 操作，gemini-cli 都能通过自然语言指令高效处理。它特别适合广大软件工程师、DevOps 人员及技术研究人员使用。其核心亮点包括支持高达 100 万 token 的超长上下文窗口，具备出色的逻辑推理能力；内置 Google 搜索、文件操作及 Shell 命令执行等实用工具；更独特的是，它支持 MCP（模型上下文协议），允许用户灵活扩展自定义集成，连接如图像生成等外部能力。此外，个人谷歌账号即可享受免费的额度支持，且项目基于 Apache 2.0 协议完全开源，是提升终端工作效率的理想助手。

★ 100.8k|★★☆☆☆|今天

插件Agent图像

markitdown

MarkItDown 是一款由微软 AutoGen 团队打造的轻量级 Python 工具，专为将各类文件高效转换为 Markdown 格式而设计。它支持 PDF、Word、Excel、PPT、图片（含 OCR）、音频（含语音转录）、HTML 乃至 YouTube 链接等多种格式的解析，能够精准提取文档中的标题、列表、表格和链接等关键结构信息。在人工智能应用日益普及的今天，大语言模型（LLM）虽擅长处理文本，却难以直接读取复杂的二进制办公文档。MarkItDown 恰好解决了这一痛点，它将非结构化或半结构化的文件转化为模型“原生理解”且 Token 效率极高的 Markdown 格式，成为连接本地文件与 AI 分析 pipeline 的理想桥梁。此外，它还提供了 MCP（模型上下文协议）服务器，可无缝集成到 Claude Desktop 等 LLM 应用中。这款工具特别适合开发者、数据科学家及 AI 研究人员使用，尤其是那些需要构建文档检索增强生成（RAG）系统、进行批量文本分析或希望让 AI 助手直接“阅读”本地文件的用户。虽然生成的内容也具备一定可读性，但其核心优势在于为机器

★ 93.4k|★★☆☆☆|3天前

插件开发框架