code-on-incus:為每個AI編碼代理提供隔離的完整機器環境
code-on-incus (COI) 是一個基於Incus系統容器的開源工具,為AI編碼代理提供具有root訪問許可權、systemd、Docker等完整功能的隔離機器環境。它預設保護主機憑證,透過nftables實現即時威脅檢測與自動響應,支援Claude Code、opencode等主流AI編碼助手,讓開發者安全地執行AI代理。
code-on-incus(簡稱COI)是一個開源工具,旨在為AI編碼代理提供高度隔離且功能完整的執行環境。它利用Incus系統容器技術,為每個代理建立一個獨立的、類伺服器的機器例項。在這個環境中,代理擁有root許可權、完整的systemd初始化系統、Docker引擎,以及安裝任意軟體包的自由。它們可以像在真實伺服器上一樣執行服務、管理軟體包、設定定時任務,而不會對宿主機造成任何影響。檔案的許可權和所有權由Incus自動處理,無需手動修正。
安全是COI的核心設計原則。宿主機上的SSH金鑰、環境變數和Git令牌等敏感憑證預設不會暴露給AI代理,除非使用者透過配置檔案明確掛載。COI整合了基於nftables的即時威脅檢測系統,能夠監控反向Shell、命令與控制(C2)連線、資料滲出、DNS隧道和憑證掃描等異常行為。根據威脅等級,系統會自動暫停(HIGH級別)或強制終止(CRITICAL級別)容器,無需人工介入。此外,COI還提供了精細的網路隔離策略,包括受限模式、白名單模式和開放模式,並支援對.git/hooks等關鍵路徑進行只讀掛載,防止供應鏈攻擊。
與傳統的Docker沙箱相比,COI具有多項優勢。Incus系統容器提供了完整的作業系統隔離,而不是巢狀在虛擬機器中的應用程式容器,架構更簡單、效能更好。COI無需Docker Desktop,完全開源且無供應商鎖定,專為Linux環境最佳化。自動UID/GID對映避免了檔案許可權問題,而憑證隔離預設開啟,進一步提升了安全性。
COI支援多種主流AI編碼工具,包括Anthropic的Claude Code(預設)、opencode和pi,並計劃增加對Aider和Cursor的支援。工具選擇透過配置檔案或命令列引數實現,使用者還可以設定許可權模式(bypass或interactive),控制代理是否需要每次操作前獲得許可。COI還提供了多會話支援,每個會話擁有獨立的工作目錄和主目錄,檔案不會在不同會話間洩露。會話可恢復,容器可設為持久模式,保留安裝的工具和環境。
安裝COI非常簡單,只需一行curl命令即可完成。首次使用時,需要構建容器映象(約5-10分鐘)。然後,在專案目錄中執行coi shell,就能在隔離環境中啟動AI編碼助手。COI的出現,為那些希望安全利用AI代理進行開發的團隊提供了一個可靠、透明且功能強大的解決方案。