Ferramentas de Codificação com IA em Sandbox: Por Que Proteger seu Sistema de Arquivos

Ferramentas de codificação com IA como Claude Code, Copilot e Cursor operam com permissões completas do sistema de arquivos no nível de usuário, o que significa que um caminho alucinado ou comando mal interpretado pode expor chaves SSH, credenciais e arquivos sensíveis fora do diretório do projeto. O bx envolve qualquer ferramenta de codificação com IA usando o sandbox-exec em nível de kernel do macOS para restringir a visibilidade do sistema de arquivos somente ao diretório do projeto alvo. Um arquivo .bxignore permite a exclusão por projeto de arquivos .env, certificados e segredos, mesmo dentro do caminho permitido. A aplicação ocorre no kernel do sistema operacional antes que qualquer processo atue, cobrindo não apenas operações diretas de arquivo, mas também chamadas de servidor MCP, comandos shell e hooks automatizados que, de outra forma, seriam executados com permissões completas do usuário.