skills/gitgoodordietrying/docker-sandbox

docker-sandbox

🐳 VM级隔离的安全代码执行环境

编辑精选

Docker官方沙箱功能的文档型技能,指导用户创建VM级隔离环境安全运行AI Agent,实现零信任代码执行与网络细粒度管控。

收藏
18.6k
安装
3.8k
版本
v1.0.0
CLS 安全性认证2026-05-04
点击查看完整报告 >

使用说明

核心用法

docker-sandbox 是一个纯文档型技能,指导用户利用 Docker Desktop 4.49+ 内置的 docker sandbox 插件创建轻量级 VM 隔离环境。核心工作流包括:通过 docker sandbox create 初始化沙箱(支持 Claude、Codex、Copilot、Gemini、Kiro 等主流 Agent),使用 docker sandbox exec 执行命令,或 docker sandbox run 直接启动 Agent 会话。关键特性是网络代理控制层——用户可通过 --policy deny 实施默认拒绝策略,再精确允许特定域名(如 registry.npmjs.orgapi.openai.com`),实现最小权限网络访问。

显著优点

安全架构领先:VM 级隔离而非容器级,配合 virtiofs 挂载实现性能与隔离的平衡。网络代理支持域名白名单、CIDR 阻断、直连绕过三重控制,满足零信任安全模型。多 Agent 生态兼容:原生支持五大主流 AI Agent,避免厂商锁定。开发体验优化:预装 Node.js LTS、Git、Python 等工具链,工作目录自动挂载保留路径结构,跨平台一致(Windows/macOS/Linux)。可复现环境:支持 docker sandbox save 将配置固化为团队共享模板。

潜在缺点与局限性

版本门槛严苛:强制要求 Docker Desktop 4.49+,旧版本用户无法使用。Node.js 代理兼容性问题:原生 fetch(undici)不识别 HTTP_PROXY 环境变量,需手动注入 require hook,增加使用摩擦。Windows 路径转换陷阱:Git Bash/MSYS2 环境存在路径自动转换问题,需设置 MSYS_NO_PATHCONV=1资源开销:每个沙箱独立 VM,大量并行实例将显著消耗内存与 CPU。功能依赖官方:作为 Docker Desktop 专属功能,无法迁移至纯 Linux Docker Engine 环境。

适合的目标群体

安全敏感型开发者:需要运行 npm 生态中来源可疑的包、执行 LLM 生成的未审计代码。AI Agent 重度用户:频繁调用 Claude/Codex 等工具处理多项目代码,需防止交叉污染。DevOps/SRE 工程师:构建可复现的 CI 测试环境,验证破坏性变更。安全研究员:分析恶意样本或漏洞利用代码,需网络可控的隔离沙箱。企业合规团队:满足代码审计、供应链安全等合规要求。

使用风险

性能风险:VM 启动延迟(数秒级)不适合高频短命令场景;virtiofs 大文件 IO 可能瓶颈。依赖风险:Docker Desktop 更新可能破坏沙箱状态(需 docker sandbox reset 修复)。配置风险:网络策略误配可能导致 Agent 无法访问必要 API,或过度放行丧失隔离意义。隐性成本:Docker Desktop 商业许可在企业场景可能产生费用。

安全解读

核心用法

docker-sandbox 是一个纯文档型 Skill,封装 Docker Desktop 4.49+ 的 docker sandbox 插件功能,用于创建 VM 级隔离环境运行 AI 代理。主要操作包括:

  • 创建沙盒docker sandbox create --name <name> <agent> <workspace>,支持 Claude、Codex、Copilot、Gemini、Kiro 等代理
  • 执行命令docker sandbox exec <sandbox> <command>,支持环境变量、工作目录、交互式终端等选项
  • 直接运行代理docker sandbox run <agent> <workspace> -- <agent-args>
  • 网络控制:通过 docker sandbox network proxy 实现细粒度访问控制,支持允许列表/拒绝列表策略
  • 生命周期管理:start/stop/rm/ls/save 等标准容器操作

显著优点

1. VM 级硬件隔离:基于轻量级 VM(非容器命名空间),提供真正的内核级隔离
2. 细粒度网络控制:内置代理支持域名/IP 级别的白名单/黑名单,满足最小权限原则
3. 多代理原生支持:一站式支持主流 AI 编码代理,无需额外配置
4. 零依赖自包含:纯 Markdown 文档,无第三方代码依赖,仅依赖系统级 Docker 工具
5. 工作目录自动挂载:通过 virtiofs 实现高性能文件共享,路径映射透明

潜在缺点与局限性

1. 平台限制:仅支持 Docker Desktop 4.49+,Linux 原生 Docker 引擎不支持
2. 资源开销:每个沙盒为独立 VM,内存/CPU 开销高于普通容器
3. Node.js fetch 代理问题globalThis.fetch 不自动识别 HTTP_PROXY 环境变量,需手动注入代理修复代码
4. Windows 路径转换问题:Git Bash/MSYS2 环境下存在路径自动转换问题,需设置 MSYS_NO_PATHCONV=1
5. 无持久化卷支持:重启后状态重置(除非使用 save 保存为模板)

适合人群

  • 需要运行不可信代码或第三方 npm 包的安全研究人员
  • 企业环境中需网络隔离约束的 AI 代理用户
  • 希望破坏性测试(如批量删除、系统调用测试)不影响宿主机的开发者
  • 需要可复现实验环境的数据科学家和工程师

常规风险

| 风险类型 | 说明 | 缓解措施 |
|---------|------|---------|
| 供应链风险 | 维护者为个人开发者账号,非知名组织 | 定期审查更新,关注社区反馈 |
| 许可证风险 | 当前未声明开源许可证 | 使用前确认合规要求 |
| 配置风险 | 网络代理策略配置错误可能导致意外放通 | 遵循 `--policy deny` 最小化原则 |
| 更新风险 | 依赖 Docker Desktop 特定版本功能 | 关注 Docker 官方安全公告,及时更新 |
devopssecuritydevelopment-engineeringautomationbackendtesting

docker-sandbox 内容

手动下载zip · 3.3 kB
SKILL.mdtext/markdown
请选择文件