问HN:你们是如何对编码代理进行沙箱化的?
我看到有人依赖内置的沙箱,使用 git 工作树(有时是在开发容器内),或者在一个最小化主机挂载的 Linux 虚拟机中运行整个代理。在 Linux 上,我也看到提到过 firejail/bubblewrap。
对于那些实际上每天使用这些工具的人:
你的默认设置是什么?
你有没有遇到过“痛苦的教训”时刻?
在实践中,安全性、便利性和并行性之间的权衡中,哪个最重要?
我对理论最佳实践不太感兴趣,更关心在实际使用中哪些方法是有效的。
查看原文
I've seen people rely on built-in sandboxes, use git worktrees (sometimes inside devcontainers), or run the whole agent inside a Linux VM with minimal host mounts. On Linux, I’ve also seen firejail/bubblewrap mentioned.<p>For folks actually using these tools day-to-day:<p>What’s your default setup?<p>Have you had any "learned the hard way" moments?<p>What tradeoff (safety vs convenience vs parallelism) has mattered most in practice?<p>I'm less interested in theoretical best practices than what's actually holding up under real use.