Как не дать Claude Code прочитать ваш ~/.ssh #agentic #sandbox #security #AI Claude Code, Codex, Gemini CLI - все работают с полными правами пользователя. Indirect Prompt Injection в репозитории - и агент читает ваш ~/.ssh, ~/.config или тихо правит код не там, где просили. А ещё есть классный вектор через CLAUDE.md или AGENTS.md. nono решает эту проблему. Что это nono - open-source sandbox от создателя Sigstore (Luke Hinds, Always Further). AI-агент - это untrusted process. Deny-by-default, как firewall, только для файловой системы и сети. Как работает ➡️ Kernel isolation - Landlock (Linux) / Seatbelt (macOS). Не wrapper, не ptrace-хак - irrevocable allow-list на уровне ядра. Агент физически не выйдет за пределы разрешённых путей ➡️ Undo & Rollback - content-addressed snapshots перед каждой сессией. Агент наломал дров - откатываешь атомарно ➡️ Audit trail - Merkle-tree логи. Криптографически верифицируемая история действий агента ➡️ Supply chain provenance - Sigstore-подписи для instruction files. Знаешь, кто написал промпт ➡️ Runtime supervisor - динамическое расширение прав с approval workflow Практически brew install nono или Github Releases - и оборачиваешь запуск агента. SDK для Python, TypeScript, Rust, C FFI. В отличие от Docker/firejail - nono заточен под AI-агентов: понимает сессии, умеет откатывать, логирует. Если пускаете Claude Code или Codex на рабочий проект без sandbox - вы доверяете LLM больше, чем стажёру. Стажёру вы хотя бы code review делаете. # Grant read+write access to current directory, run claude nono run --allow . -- claude 🔗 Источники: - nono.sh - github.com/always-further/nono 🌚 @poxek_ai