code-on-incus:为每个AI编码代理提供隔离的完整机器环境
code-on-incus (COI) 是一个基于Incus系统容器的开源工具,为AI编码代理提供具有root访问权限、systemd、Docker等完整功能的隔离机器环境。它默认保护主机凭证,通过nftables实现实时威胁检测与自动响应,支持Claude Code、opencode等主流AI编码助手,让开发者安全地运行AI代理。
code-on-incus(简称COI)是一个开源工具,旨在为AI编码代理提供高度隔离且功能完整的运行环境。它利用Incus系统容器技术,为每个代理创建一个独立的、类服务器的机器实例。在这个环境中,代理拥有root权限、完整的systemd初始化系统、Docker引擎,以及安装任意软件包的自由。它们可以像在真实服务器上一样运行服务、管理软件包、设置定时任务,而不会对宿主机造成任何影响。文件的权限和所有权由Incus自动处理,无需手动修正。
安全是COI的核心设计原则。宿主机上的SSH密钥、环境变量和Git令牌等敏感凭证默认不会暴露给AI代理,除非用户通过配置文件明确挂载。COI集成了基于nftables的实时威胁检测系统,能够监控反向Shell、命令与控制(C2)连接、数据渗出、DNS隧道和凭证扫描等异常行为。根据威胁等级,系统会自动暂停(HIGH级别)或强制终止(CRITICAL级别)容器,无需人工介入。此外,COI还提供了精细的网络隔离策略,包括受限模式、白名单模式和开放模式,并支持对.git/hooks等关键路径进行只读挂载,防止供应链攻击。
与传统的Docker沙箱相比,COI具有多项优势。Incus系统容器提供了完整的操作系统隔离,而不是嵌套在虚拟机中的应用程序容器,架构更简单、性能更好。COI无需Docker Desktop,完全开源且无供应商锁定,专为Linux环境优化。自动UID/GID映射避免了文件权限问题,而凭证隔离默认开启,进一步提升了安全性。
COI支持多种主流AI编码工具,包括Anthropic的Claude Code(默认)、opencode和pi,并计划增加对Aider和Cursor的支持。工具选择通过配置文件或命令行参数实现,用户还可以设置权限模式(bypass或interactive),控制代理是否需要每次操作前获得许可。COI还提供了多会话支持,每个会话拥有独立的工作目录和主目录,文件不会在不同会话间泄露。会话可恢复,容器可设为持久模式,保留安装的工具和环境。
安装COI非常简单,只需一行curl命令即可完成。首次使用时,需要构建容器镜像(约5-10分钟)。然后,在项目目录中运行coi shell,就能在隔离环境中启动AI编码助手。COI的出现,为那些希望安全利用AI代理进行开发的团队提供了一个可靠、透明且功能强大的解决方案。