- AIエージェントの安全な実行環境を確保するために開発された研究用サンドボックスランタイム
- コンテナなしでOSネイティブのサンドボックスプリミティブを活用する軽量構造により、エージェントやローカルサーバー、CLIコマンドを安全に分離
- macOSでは
sandbox-execとSeatbeltプロファイル、Linuxではbubblewrapベースの名前空間分離を使用
- ネットワークトラフィックはプロキシサーバーを通じてフィルタリングされ、許可されたドメインのみにアクセス可能
- secure-by-defaultの思想に従い、最小権限で開始
- 必要なファイルまたはネットワーク経路のみを明示的に許可するallow-only / deny-onlyパターン
- 主な機能
- Network restrictions: HTTP/HTTPSおよびその他のプロトコルでアクセス可能なドメインを制御
- Filesystem restrictions: 読み書き可能なファイルおよびディレクトリを指定
- Unix socket restrictions: ローカルIPCソケットへのアクセスを制限
- Violation monitoring: macOSでリアルタイムの違反ログ監視機能を提供
- MCPサーバーのサンドボックス化をサポート
- Model Context Protocolサーバーを
srtでラップして実行し、ファイルおよびネットワーク権限を制限
- 設定ファイル(
~/.srt-settings.json)で細かなアクセスポリシーを定義可能
- Dual Isolation Modelでファイルシステムとネットワークを同時に分離
- ファイル分離: デフォルトで読み取りは許可、書き込みは明示的な許可が必要
- ネットワーク分離: デフォルトですべてのアクセスを遮断し、許可されたドメインのみ通信可能
- CLIとライブラリの両方の形態をサポート
srt でコマンドを実行すると自動でサンドボックスを適用- Node.js環境では
SandboxManager APIを通じてプログラムから制御可能
- 拡張可能なネットワークフィルタリング
- 既定のプロキシの代わりに**カスタムプロキシ(mitmproxyなど)**を接続可能
- トラフィック検査、監査ログ、細かなフィルタリングロジックを実装可能
- プラットフォーム対応
- macOS、Linuxを完全サポート
- Windowsは未対応
- Linux環境では
bubblewrap、socat、ripgrepなどの依存関係が必要
3件のコメント
本当に必要なものを一つずつ着実に作っていきますね
Windowsはいつも後回しですね。MSは目を覚ますべきです。今さら目を覚ましたところでどうにかなるとも思えませんが
MCPと一緒に出るべきだった気がしますが、オープンソース財団に渡してから出てくるとは、かなり遅かった感がありますね
でも、それもWindows非対応だなんて 泣泣