#sandboxing

Claude CodeやCoworkが実作業の権限を持つほど、リスク管理は説得文ではなく実行環境の制御に寄る。Anthropicは、Claude Codeの権限プロンプトが約93%承認されていたと明かした。

HNはCodexをfeature一覧ではなくpermission問題として読んだ。desktop agent、non-developer workflow、sensitive file、そしてAIにcomputer操作をどこまで任せるのかが議論の中心だった。

Hacker NewsではAnthropicのClaude Mythos Preview system cardをきっかけに、抽象的なAI riskよりも exploit capability と sandbox・least-privilege 設計の現実をめぐる議論が前面に出た。

2026年3月のHacker Newsで、Stanford SCSの `jai` は604 pointsと313 commentsを集めた。作業中のディレクトリはそのまま書き込み可能に保ちつつ、homeの残りをoverlayまたは非表示にしてAI agentの被害範囲を絞るLinux向けcontainmentツールだ。

Cloudflareは2026年3月24日、Dynamic WorkersがAI生成コードを安全な軽量isolate内で実行でき、従来のcontainerより100倍高速だと発表した。Cloudflareブログによれば、この機能は有料Workersユーザー向けにopen betaへ入り、<code>globalOutbound: null</code>で直接の外向きインターネットアクセスを止められる。

2026年3月17日のShow HNで、zerobootの投稿はクロール時点303 pointsと69 commentsを集めた。このプロジェクトはcopy-on-writeスナップショットforkにより、実際のKVM microVM隔離でp50 0.79 ms起動と約265 KBメモリを掲げている。

2026年3月18日のNVIDIA NemoClawに関するHacker News投稿は231 points、185 commentsに達した。このalpha projectはNVIDIA OpenShellとAgent Toolkitの上にOpenClawを載せ、policy controlとcloud-routed inferenceを備えたsandboxed environmentでalways-on assistantを動かす構成を打ち出している。

Hacker Newsで注目を集めた Agent Safehouse は、macOS の sandbox-exec を使って local coding agent の権限を明示的に許可した範囲へ限定するオープンソースの保護レイヤーだ。

Hacker Newsで注目を集めたAgent Safehouseは、Claude CodeやCodexなどのagentをmacOSの<code>sandbox-exec</code>ベースのdeny-first sandbox内で動かすtoolだ。project単位の権限を既定にし、敏感なpathはkernel層で遮断しつつ、単一のBash scriptとApache 2.0 licenseで配布される。

r/MachineLearningで反応を集めたIronClawは、sandboxed tool execution、encrypted credential handling、database-backed policy controlsを中心に据えたRustベースのAI agent runtimeだ。この投稿が刺さったのは、agent securityをpromptの問題ではなくsystemsの問題として扱っているからだ。

2026年2月28日のHN議論ではNanoClawの設計を起点に、untrusted-agent前提、container分離、最小権限運用の現実性が検討された。

DockerによるNanoClaw実行ガイドがHacker Newsで102ポイントを獲得し、エージェントをホストから分離して運用する実践的な手順として注目されました。特に、ファイルシステム分離とプロキシ経由のAPIキー管理が焦点です。