configur\u00e9 votre Mac avec teaBASE<\/a>
\npour s\u00e9curiser votre env de dev, c’est un compl\u00e9ment logique.<\/p>\nC\u00f4t\u00e9 limites, faut \u00eatre honn\u00eate, Seatbelt n’est pas document\u00e9 par Apple depuis macOS 10.5 et c’est du defense-in-depth, et pas une vraie fronti\u00e8re de VM. Quand \u00e0 l’exfiltration HTTPS elle n’est pas bloqu\u00e9e car l’agent peut toujours curl<\/code> n’importe quoi sur le port 443. C’est logique mais bon, c’est pas \u00e9tanche \u00e0 100% quoi…<\/p>\nEt surtout c’est macOS only pour l’instant (le port Linux est en chantier), et bien s\u00fbr le \/tmp<\/code> partag\u00e9 entre les comptes locaux reste un vecteur potentiel. J’aurais aim\u00e9 aussi que le r\u00e9seau soit coup\u00e9 par d\u00e9faut sauf whitelist, mais bon, faudra attendre. Apr\u00e8s entre \u00e7a et laisser Claude Code en roue libre avec les pleins pouvoirs sur votre machine… y’a pas photo.<\/p>\nBref, pour du vibe coding sur Mac, c’est le minimum vital.<\/p>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
J’sais pas si vous vous en rendez compte mais les agents IA qui codent sur votre machine ont acc\u00e8s \u00e0 vos cl\u00e9s SSH, vos credentials AWS, votre Keychain et compagnie. Ils ont acc\u00e8s \u00e0 TOUT ! C’est comme filer les cl\u00e9s de votre appart \u00e0 un gars que vous avez crois\u00e9 sur le parking de Leclerc y’a pas 5 min. Hazmat prend le probl\u00e8me \u00e0 l’envers : au lieu de demander poliment \u00e0 l’agent de se tenir tranquille, il l’enferme dans un compte macOS s\u00e9par\u00e9. Du coup, vos ~\/.ssh, ~\/.aws, votre Keychain deviennent structurellement inaccessibles. Pour en profiter, faut faire un brew install dredozubov\/tap\/hazmat puis cd \/tmp hazmat init –bootstrap-agent claude Et hop, 10 minutes plus tard votre agent tourne dans sa cage. (le premier snapshot est ultra loooong mais apr\u00e8s c’est de l’incr\u00e9mental donc \u00e7a ira plus vite) L’isolation repose sur 3 couches ind\u00e9pendantes, un peu comme les sas d’un sous-marin. Il y a d’abord un utilisateur agent d\u00e9di\u00e9 (vos fichiers perso deviennent alors hors de port\u00e9e, point). Ensuite, une politique seatbelt g\u00e9n\u00e9r\u00e9e dynamiquement \u00e0 chaque session qui consiste \u00e0 ce que le kernel de macOS v\u00e9rifie chaque acc\u00e8s fichier et refuse tout ce qui n’est pas explicitement autoris\u00e9 pour cette session pr\u00e9cise. Et par-dessus, des r\u00e8gles pf firewall qui emp\u00eachent l’agent d’envoyer du trafic SMTP, IRC, FTP, Tor ou VPN. Comme \u00e7a, un agent qui tentera d’exfiltrer vos donn\u00e9es par mail se retrouvera bloqu\u00e9 net au niveau du noyau. C\u00f4t\u00e9 supply chain, Hazmat force npm ignore-scripts=true par d\u00e9faut. Comme \u00e7a, par exemple le fameux hack axios qui livrait un RAT via un hook postinstall en 2 secondes chrono n’est plus possible ici ! Y’a aussi une blocklist DNS qui redirige les services de tunnel connus (ngrok, pastebin, webhook.site) vers localhost. Contre un domaine perso fra\u00eechement enregistr\u00e9, \u00e7a passera mais les vecteurs d’exfiltration classiques, \u00e7a devrait r\u00e9sister. Hazmat utilise TLA+, le m\u00eame formalisme que les ing\u00e9s d’Amazon utilisent pour v\u00e9rifier les protocoles de DynamoDB. Genre, l’installation des r\u00e8gles sudoers AVANT le firewall (\u00e9videmment, \u00e7a cr\u00e9e une fen\u00eatre de vuln\u00e9rabilit\u00e9), les restrictions qui bloquaient les lectures mais pas les \u00e9critures, ou encore une restauration cloud sans v\u00e9rifier qu’un snapshot existait…etc, c’est le genre de truc qu’aucun test unitaire n’aurait chop\u00e9. \u00c7a supporte Claude Code (y compris le fameux –dangerously-skip-permissions), OpenCode et Codex. Attention par contre, si votre projet utilise Docker, y’a deux cas de figure : soit le daemon Docker est priv\u00e9 au projet et Hazmat le route automatiquement vers un mode Docker Sandbox, soit c’est un daemon partag\u00e9 et l\u00e0 faudra passer –docker=none explicitement. La commande hazmat explain montre aussi exactement ce que le sandbox autorise avant de lancer quoi que ce soit… et \u00e7a, c’est pas du luxe quand on sait pas trop ce qu’on va l\u00e2cher dans la nature. Le hazmat diff qui affiche les changements faits par l’agent depuis le dernier snapshot Kopia, c’est plut\u00f4t bien pens\u00e9. Et si l’agent casse un truc ? hazmat restore et c’est reparti, comme un Ctrl+Z g\u00e9ant pour tout votre projet. Si vous avez d\u00e9j\u00e0 configur\u00e9 votre Mac avec teaBASE pour s\u00e9curiser votre env de dev, c’est un compl\u00e9ment logique. C\u00f4t\u00e9 limites, faut \u00eatre honn\u00eate, Seatbelt n’est pas document\u00e9 par Apple depuis macOS 10.5 et c’est du defense-in-depth, et pas une vraie fronti\u00e8re de VM. Quand \u00e0 l’exfiltration HTTPS elle n’est pas bloqu\u00e9e car l’agent peut toujours curl n’importe quoi sur le port 443. C’est logique mais bon, c’est pas \u00e9tanche \u00e0 100% quoi… Et surtout c’est macOS only pour l’instant (le port Linux est en chantier), et bien s\u00fbr le \/tmp partag\u00e9 entre les comptes locaux reste un vecteur potentiel. J’aurais aim\u00e9 aussi que le r\u00e9seau soit coup\u00e9 par d\u00e9faut sauf whitelist, mais bon, faudra attendre. Apr\u00e8s entre \u00e7a et laisser Claude Code en roue libre avec les pleins pouvoirs sur votre machine… y’a pas photo. Bref, pour du vibe coding sur Mac, c’est le minimum vital.<\/p>\n","protected":false},"author":1,"featured_media":2696,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-2695","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2695","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=2695"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2695\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/2696"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=2695"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"\"](\"https:\/\/korben.info\/cdn-cgi\/image\/width=1200,fit=scale-down,quality=90,f=avif\/hazmat-sandbox-macos-agents-ia\/hazmat-sandbox-macos-agents-ia-2.png\")
\n<\/p>\n