Sécurité & Souveraineté

Sandboxer son agent IA pour limiter les dégâts en cas d'erreur

Lance tes agents dans un environnement isolé pour qu'une erreur ne compromette pas ton système

Claude CodeOpenClawAvancéSemi-autonome

Le besoin

  • Un agent autonome peut supprimer des fichiers, appeler des APIs ou modifier des configs par erreur
  • L'isolation par container ou nspawn réduit drastiquement la surface d'impact
  • Cette approche est surtout utile pour les agents qui manipulent le système de fichiers ou le réseau

L'approche

  • L'agent tourne dans un container Docker avec un utilisateur non-root et un filesystem en lecture seule sauf les dossiers explicitement montés
  • Les accès réseau sont limités via un réseau Docker interne, sans accès direct à internet sauf URL whitelist
  • Un volume dédié isole les données de travail du reste du système
  • Un second agent superviseur vérifie les actions avant de les valider en dehors du sandbox

Étape par étape

  1. 1

    Création du container sandbox minimal

    Tu définis une image Docker légère avec uniquement les dépendances nécessaires à l'agent, un utilisateur sans privilèges et un filesystem monté en lecture seule.

  2. 2

    Restriction réseau et permissions

    Tu configures les règles iptables et les capabilities Linux pour que le container ne puisse accéder qu'aux endpoints autorisés, sans escalade de privilèges possible.

  3. 3

    Supervision des actions sensibles

    Un agent externe intercepte les commandes destructives (rm, chmod, curl vers des IPs inconnues) et exige une confirmation humaine avant exécution.

Le prompt à donner

Configure un container sandbox pour mon agent claude-code qui ne peut écrire que dans /workspace, accéder uniquement à github.com et npm, et qui demande confirmation avant toute suppression.

Le résultat

L'agent travaille normalement dans son périmètre, mais toute action hors sandbox est bloquée et journalisée pour revue.

Le verdict NXUS

Un must pour les agents qui touchent au code de production. La mise en place demande un peu d'effort initial, mais le gain en tranquillité d'esprit est considérable.

Cas d'usage similaires

Sécurité & Souveraineté

Un agent 100% local sur mini PC, zéro dépendance cloud

Fais tourner toute ta stack agent sur un mini PC à la maison, sans abonnement ni connexion requise

Sécurité & Souveraineté

Auto-héberger Nextcloud pour garder tes fichiers chez toi

Remplace Google Drive ou Dropbox par un serveur que tu contrôles entièrement

Sécurité & Souveraineté

Accès distant sécurisé à ton infra sans ouvrir de ports

Connecte-toi à tes serveurs et agents depuis n'importe où sans exposer SSH ou RDP sur internet

Apprends à piloter tes propres agents IA

Nos formations t'apprennent à transformer ces cas d'usage en automatisations concrètes pour ton métier.

Voir les formations