code-on-incus:各AIエージェントに隔離された完全なマシン環境を提供
code-on-incus (COI) は、Incusシステムコンテナを利用したオープンソースツールで、AIコーディングエージェントにrootアクセス、systemd、Dockerなどを備えた隔離マシン環境を提供します。ホストの認証情報をデフォルトで保護し、nftablesによるリアルタイム脅威検出と自動応答を実装。Claude Codeやopencodeなど主要なAIコーディングアシスタントをサポートし、安全なAIエージェント実行を可能にします。
code-on-incus(COI)は、AIコーディングエージェントに対して高度に隔離された完全なマシン環境を提供するオープンソースツールです。Incusシステムコンテナ技術を基盤とし、各エージェントにroot権限、systemd、Dockerエンジン、任意のソフトウェアをインストールする能力を与えます。エージェントは実際のサーバー上で作業するかのように、サービスの実行、パッケージ管理、cronジョブの設定などが可能で、ホストシステムに影響を与えることはありません。ファイルの所有権はIncusによって自動的に適切に処理されます。
セキュリティはCOIの中心的な設計思想です。ホスト上のSSH鍵、環境変数、Git認証情報などの機密情報は、ユーザーが設定ファイルで明示的にマウントしない限り、AIエージェントには決して公開されません。COIはnftablesベースのリアルタイム脅威検出システムを統合しており、リバースシェル、コマンド&コントロール(C2)接続、データ流出、DNSトンネリング、クレデンシャルスキャンなどの異常行動を監視します。脅威のレベルに応じて、自動的にコンテナを一時停止(HIGH)または強制終了(CRITICAL)し、手動介入は不要です。また、制限モード、ホワイトリストモード、オープンモードの3つのネットワーク分離ポリシーを提供し、.git/hooksなどの重要なパスを読み取り専用でマウントしてサプライチェーン攻撃を防ぎます。
従来のDockerサンドボックスと比較して、COIには多くの利点があります。Incusシステムコンテナは、仮想マシン内にアプリケーションコンテナをネストするのではなく、完全なOS分離を提供するため、アーキテクチャがシンプルでパフォーマンスが優れています。Docker Desktopは不要で、完全にオープンソースであり、ベンダーロックインはありません。自動UID/GIDマッピングによりファイル権限の問題が解消され、認証情報の分離がデフォルトで有効になっているため、セキュリティがさらに向上します。
COIは、AnthropicのClaude Code(デフォルト)、opencode、piなどの主要なAIコーディングツールをサポートしており、今後AiderやCursorも追加予定です。ツールの選択は設定ファイルまたはコマンドライン引数で行い、許可モード(bypassまたはinteractive)を設定して、各操作前にエージェントの許可を求めるかどうかを制御できます。COIはマルチセッションもサポートしており、各セッションは独立した作業ディレクトリとホームディレクトリを持ち、ファイルがセッション間で漏洩することはありません。セッションは再開可能で、コンテナを永続モードに設定してインストール済みツールや環境を保持することもできます。
COIのインストールは簡単で、1行のcurlコマンドで完了します。初回使用時にはコンテナイメージのビルド(約5〜10分)が必要です。その後、プロジェクトディレクトリでcoi shellを実行するだけで、隔離環境でAIコーディングアシスタントを起動できます。COIは、AIエージェントの能力を最大限に活用しながらセキュリティを確保したい開発者にとって、信頼性が高く透明性のある強力なソリューションです。