Parei de validar os comandos do Claude Code depois de descobrir sua sandbox integrada

Lembro-me de ter lido sobre incidentes em que agentes como o Antigravity limpam os discos rígidos de todos os usuários durante a execução de determinadas tarefas. Esses incidentes são poucos e raros, mas acontecem, e as pessoas que perdem seus dados não os recuperam. Acho que esse é um dos riscos que todos corremos com sistemas autônomos.

Eu sei que existem medidas de segurança em vigor. O agente de IA pede que você confirme os comandos, e isso evita tais incidentes. Mas sejamos honestos, às vezes todos ficamos preguiçosos e aprovamos comandos sem sequer verificar o que o agente está nos pedindo para fazer. Mesmo que você os leia com atenção, nunca sabe o que pode dar errado.

Fiquei cada vez mais paranóico com esses incidentes, então comecei a fazer sandbox com Claude Code. Agora deixo fazer o que quiser porque sei que não pode quebrar nada fora desse ambiente. Na verdade, essa abordagem aumentou minha produtividade porque não preciso mais aprovar todos os comandos e há muito pouco risco de algo dar errado.

Claude Code tem uma sandbox integrada

E leva um minuto para configurar

O Claude Code já possui uma sandbox integrada, então não precisei configurar uma máquina virtual ou contêiner separado para isolá-lo. Você pode habilitar isso executando /sandbox dentro do Claude Code e selecionando o modo de permissão automática. Quando ativado, Claude pode executar a maioria dos comandos Bash sem pedir permissão, enquanto o sistema operacional restringe o acesso a esses comandos.

Por padrão, os comandos do sandbox só podem gravar no diretório atual do projeto e no diretório da sessão temporária, portanto, um comando malicioso não deve excluir arquivos em outro lugar do seu computador. O acesso à rede também é limitado e Claude Code pede confirmação quando a equipe tenta se conectar a um novo domínio.

O sandbox usa macOS Seatbelt no Mac e Bubblewrap no Linux e WSL2, portanto, as restrições estão no nível do sistema operacional e não dependem inteiramente da interpretação correta do comando por Claude. Você também pode restringir a configuração desativando o substituto do sandbox. Se permitirUnsandboxedCommands for falso, Claude não poderá tentar novamente um comando bloqueado fora da sandbox, enquanto failIfUnavailable interromperá o Código de Claude se a sandbox não puder ser iniciada. Isso fornece um meio-termo útil onde o agente pode trabalhar de forma autônoma dentro do projeto, sem acesso irrestrito ao restante do computador.

Com o sandbox ativado, posso deixar Claude executar testes, instalar dependências de projetos, mover arquivos para o repositório, reconstruir coisas e repetir comandos sem verificar constantemente se isso precisa da minha aprovação. Ainda tenho cuidado com o diretório em que o executo e não concedo acesso desnecessário a outras partes do meu sistema. Porém, dentro desses limites, posso parar de cuidar dele.

Sandbox torna Claude Code mais produtivo

Não preciso sentar e confirmar comandos

Sandbox revolucionou a forma como o Claude Code é usado. Houve momentos em que dei uma tarefa a Claude Code e esqueci de confirmar o comando. Ele ficaria ali esperando que eu o aprovasse, quando poderia ter feito uma quantidade significativa de trabalho naquele período. O Sandbox me ajudou a me livrar desse problema, principalmente do fluxo constante de aprovações. Não estou dizendo que as aprovações não são importantes, mas se você estiver usando o Claude Code em um ambiente sandbox, qual a pior coisa que pode acontecer? É improvável que o que dê errado seja algo pelo qual você deva se preocupar.

Isso tornou o Claude Code muito mais útil para tarefas que envolvem repetidas tentativas e erros. Se for consertar uma compilação quebrada, modificar um projeto ou lidar com uma grande lista de problemas, quero que continue até que o problema seja resolvido ou algo que realmente precise da minha opinião seja alcançado. Não quero confirmar cada instalação, execução de teste ou operação de arquivo do npm.

Também há menos sobrecarga mental. Antes disso, eu tinha que escolher entre observar cada comando e confirmar cegamente tudo o que aparecia. Nenhuma das opções era muito boa. A sandbox me dá um meio-termo mais prático. Claude tem liberdade suficiente para trabalhar de forma autônoma no projeto, enquanto o resto do meu computador fica fora da área que pode ser modificado.

A sandbox embutida não é 100% isolada

Uma escolha melhor é um contêiner Docker ou uma máquina virtual

É importante notar que a sandbox do Claude Code isola principalmente os comandos Bash e seus processos filhos. Suas ferramentas integradas de leitura, edição e escrita continuam a usar o sistema de permissão de Claude Koda, enquanto os recursos de uso do PC são executados em sua área de trabalho. A configuração padrão também permite que comandos sandbox leiam grande parte do computador, incluindo arquivos de credenciais, desde que você os bloqueie explicitamente usando credenciais ou configurações do sistema de arquivos. Portanto, você ainda precisa configurar adequadamente o sandbox antes de considerá-lo um limite rígido de segurança.

É difícil criar um sandbox 100% isolado do seu sistema, mas você pode chegar perto usando um contêiner Docker ou uma máquina virtual. Você também pode usar o Claude Code na web para uma experiência semelhante. Tudo que você precisa é de uma assinatura do Claude Code e do GitHub. Claude Code na web executa cada sessão em uma máquina virtual isolada e gerenciada antropicamente. Um proxy de rede impõe uma lista de permissões padrão e um proxy separado armazena seu token GitHub fora da sandbox enquanto emite credenciais de escopo para acesso ao repositório dentro dele.

Aproveite ao máximo o Código Claude

Claude Code está agora mais capaz do que nunca graças ao novo modelo Fable 5 que foi recentemente disponibilizado novamente para usuários em todo o mundo. Com este novo modelo e os recursos do Claude Code, agora você pode construir quase qualquer software de uma só vez e obter um resultado relativamente próximo do pronto para produção.

Link da fonte