他只用一个被苹果“废弃”十年的工具，就给所有AI智能体戴上了镣铐

谭志刚

【他只用一个被苹果“废弃”十年的工具，就给所有AI智能体戴上了镣铐】

快速导读：你的AI编程助手很可能拥有读取你电脑上所有敏感文件（如SSH密钥、密码）的权限，内置的沙箱并不可靠。一位开发者用一个简单的脚本，调用了macOS一个被官方“弃用”的内核级工具，实现了对AI助手的强力管制，让它无法越雷池一步。

---

你的AI编程助手距离删掉你的数据库，可能只差一次“灵感迸发”。

它可能会这样思考：`cat ~/.pgpass | psql -c“DROP TABLE users”`。当你警告它“别犯错”时，它甚至会俏皮地回复：“您说得对！🙈”。这听起来像个笑话，但对于概率性的LLM来说，1%的灾难可能性，意味着发生只是时间问题。

你以为AI工具自带的沙箱功能足够安全。事实是，许多内置沙箱纯属摆设，要么可以被轻松绕过，要么默认就开放了对整个系统的读取权限。这意味着，无论是模型幻觉、无意的指令错误，还是某个依赖包里的恶意代码，都可能让AI助手接触到你的SSH密钥、API凭证和其他项目的代码。

一位开发者也受够了这种“裸奔”状态，于是做了个叫Agent Safehouse的小工具。它的逻辑简单粗暴：一个独立的shell脚本，调用了macOS一个叫`sandbox-exec`的工具，在内核层面直接拒绝AI助手的一切出格行为。`sandbox-exec`有趣的地方在于，它在2016年就被苹果官方标记为“已弃用”，但至今仍在系统底层默默工作，并且异常强大。

网址：agent-safehouse.dev

通过这个脚本，AI助手被关进一个“安全屋”：它只能读写当前项目文件夹，无法窥探你的主目录、其他代码库或任何敏感配置文件。想读取`~/.ssh/id_ed25519`？内核会直接拒绝，操作根本不会发生。想访问其他项目？目录直接隐形。

这套方案的巧妙之处在于它的“零依赖”和“默认拒绝”原则。它不是一个复杂的二进制程序，也不是一个笨重的虚拟机。它只是一个你可以随时审查的脚本，利用系统原生的能力，强制执行安全策略。这就像给一头猛兽套上了由操作系统内核锻造的、无法挣脱的锁链。它可以在笼子里干活，但绝无可能伤人。

社区的讨论点出了更深层的问题：真正的挑战在于，我们对这些AI工具的信任模式是完全颠倒的。我们默认给予它们全部权限，然后寄希望于它们“足够聪明”而不会犯错。但正确的做法应该是默认不信任，只授予完成任务所需的最小权限。

所以，问题或许不在于AI够不够智能，而在于我们是否为它们的“不智能”和“偶然失控”做好了准备。在AI助手彻底普及之前，为它打造一个坚固的笼子，可能比训练它更重要。

---

简评：

这篇文章点出了一个被多数人忽略却至关重要的安全盲区。当大家都在狂热地拥抱AI编程助手带来的效率提升时，很少有人会冷静下来审视其背后巨大的安全风险。“默认不信任，最小权限授权”的原则，不仅适用于传统的软件安全，在与LLM这种“非确定性”智能体协作时，显得尤为关键。用一个被“废弃”的工具来解决一个最前沿的问题，本身就充满了极客式的浪漫和智慧。

---

ref: agent-safehouse.dev