code-on-incus:為每個AI編碼代理提供隔離的完整機器環境
code-on-incus (COI) 是一個基於Incus系統容器的開源工具,為AI編碼代理提供具有root訪問權限、systemd、Docker等完整功能的隔離機器環境。它默認保護主機憑證,通過nftables實現實時威脅檢測與自動響應,支持Claude Code、opencode等主流AI編碼助手,讓開發者安全地運行AI代理。
code-on-incus(簡稱COI)是一個開源工具,旨在為AI編碼代理提供高度隔離且功能完整的運行環境。它利用Incus系統容器技術,為每個代理創建一個獨立的、類服務器的機器實例。在這個環境中,代理擁有root權限、完整的systemd初始化系統、Docker引擎,以及安裝任意軟件包的自由。它們可以像在真實服務器上一樣運行服務、管理軟件包、設置定時任務,而不會對宿主機造成任何影響。文件的權限和所有權由Incus自動處理,無需手動修正。
安全是COI的核心設計原則。宿主機上的SSH密鑰、環境變量和Git令牌等敏感憑證默認不會暴露給AI代理,除非用户通過配置文件明確掛載。COI集成了基於nftables的實時威脅檢測系統,能夠監控反向Shell、命令與控制(C2)連接、數據滲出、DNS隧道和憑證掃描等異常行為。根據威脅等級,系統會自動暫停(HIGH級別)或強制終止(CRITICAL級別)容器,無需人工介入。此外,COI還提供了精細的網絡隔離策略,包括受限模式、白名單模式和開放模式,並支持對.git/hooks等關鍵路徑進行只讀掛載,防止供應鏈攻擊。
與傳統的Docker沙箱相比,COI具有多項優勢。Incus系統容器提供了完整的操作系統隔離,而不是嵌套在虛擬機中的應用程序容器,架構更簡單、性能更好。COI無需Docker Desktop,完全開源且無供應商鎖定,專為Linux環境優化。自動UID/GID映射避免了文件權限問題,而憑證隔離默認開啓,進一步提升了安全性。
COI支持多種主流AI編碼工具,包括Anthropic的Claude Code(默認)、opencode和pi,並計劃增加對Aider和Cursor的支持。工具選擇通過配置文件或命令行參數實現,用户還可以設置權限模式(bypass或interactive),控制代理是否需要每次操作前獲得許可。COI還提供了多會話支持,每個會話擁有獨立的工作目錄和主目錄,文件不會在不同會話間泄露。會話可恢復,容器可設為持久模式,保留安裝的工具和環境。
安裝COI非常簡單,只需一行curl命令即可完成。首次使用時,需要構建容器鏡像(約5-10分鐘)。然後,在項目目錄中運行coi shell,就能在隔離環境中啓動AI編碼助手。COI的出現,為那些希望安全利用AI代理進行開發的團隊提供了一個可靠、透明且功能強大的解決方案。