展示 HN：從構建到運行全程沙盒化的 AI 應用生命週期

CapaKit 是一款面向 macOS 的 AI 應用開發工具，目前處於公開 Alpha 階段，免費使用。它的核心理念是“沙盒化整個應用生命週期”，即從構建到運行的每一個步驟都在隔離環境中進行，從而解決當前 AI 應用開發中普遍存在的安全問題。

當前大多數工具僅對運行時代碼進行沙盒隔離，而構建階段——包括依賴安裝、腳本執行等——卻暴露在主機環境中。這可能導致密鑰硬編碼、文件權限過大、構建腳本惡意執行等風險。CapaKit 則通過 ephemeral seatbelt sandbox 技術，為每次構建和運行創建一次性沙盒，默認禁止網絡訪問，僅允許明確授權的流量，並且密鑰按需解析，絕不硬編碼。

使用 CapaKit 非常簡單。安裝後，只需一條命令即可從 GitHub 運行一個 AI 應用 Kit：capakit run https://github.com/capakit/hello-world-demo-kit。該命令會自動拉取代碼、在沙盒中構建、啓動應用，並暴露 MCP 端點供本地代理使用。此外，CapaKit 還支持將應用安裝為 Codex 技能，或通過 capakit test 在隔離環境中運行測試。

CapaKit 定義了“AI 應用 Kit”這一標準化單元。一個 Kit 包含代理指南（AGENTS.md）、能力清單（capability.yml）、測試定義（capability-test.yml）和工作負載代碼。這種結構使得團隊可以統一管理和共享 AI 應用。例如，Kids Storybook Creator、Local Image Tagger 等演示 Kit 均可一鍵運行。

對於開發者、AI 原生轉型團隊以及注重安全的工程師，CapaKit 提供了一種本地優先、代理原生、默認隔離的解決方案。它的設計哲學是：你構建，你擁有；可以隨時隨地運行，甚至離線；從底層就被設計為可由編碼代理驅動、編寫和理解。