Ask HN: 你们是如何对编程代理进行沙盒处理的?
6 分•作者: m-hodges•6 个月前
我见过有人依赖内置沙盒、使用 git worktree(有时在 devcontainer 内部),或者在 Linux 虚拟机中运行整个代理,并尽量减少宿主机挂载。在 Linux 上,我也见过有人提到 firejail/bubblewrap。
对于那些真正每天使用这些工具的人:
你们的默认设置是什么?
你们有过什么“惨痛教训”吗?
在实践中,哪种权衡(安全 vs 方便 vs 并行)最重要?
我不太关心理论上的最佳实践,更关心实际使用中真正有效的方法。
查看原文
I've seen people rely on built-in sandboxes, use git worktrees (sometimes inside devcontainers), or run the whole agent inside a Linux VM with minimal host mounts. On Linux, I’ve also seen firejail/bubblewrap mentioned.<p>For folks actually using these tools day-to-day:<p>What’s your default setup?<p>Have you had any "learned the hard way" moments?<p>What tradeoff (safety vs convenience vs parallelism) has mattered most in practice?<p>I'm less interested in theoretical best practices than what's actually holding up under real use.