Ask HN: 你们是如何对编程代理进行沙盒处理的?

6作者: m-hodges6 个月前
我见过有人依赖内置沙盒、使用 git worktree(有时在 devcontainer 内部),或者在 Linux 虚拟机中运行整个代理,并尽量减少宿主机挂载。在 Linux 上,我也见过有人提到 firejail/bubblewrap。 对于那些真正每天使用这些工具的人: 你们的默认设置是什么? 你们有过什么“惨痛教训”吗? 在实践中,哪种权衡(安全 vs 方便 vs 并行)最重要? 我不太关心理论上的最佳实践,更关心实际使用中真正有效的方法。
查看原文
I&#x27;ve seen people rely on built-in sandboxes, use git worktrees (sometimes inside devcontainers), or run the whole agent inside a Linux VM with minimal host mounts. On Linux, I’ve also seen firejail&#x2F;bubblewrap mentioned.<p>For folks actually using these tools day-to-day:<p>What’s your default setup?<p>Have you had any &quot;learned the hard way&quot; moments?<p>What tradeoff (safety vs convenience vs parallelism) has mattered most in practice?<p>I&#x27;m less interested in theoretical best practices than what&#x27;s actually holding up under real use.