Używanie Claude Code w trybie YOLO - trochę bezpieczniej

•

Na co dzień używam Claude Code w tzw. "trybie YOLO" 😱 Nie jest to zbyt bezpieczne, aleeee... da się pokombinować tak, aby jednak nie zrobić sobie krzywdy. Więcej info 🧵 ↓

Używam Claude Code głównie do analiz biznesowych, nie do programowania. Analizuję dane sprzedażowe, łączę je z moimi zapytaniami, generuję raporty. Aplikacja musi wykonać kilkadziesiąt/set operacji na plikach. Generowane są jakieś skrypty w Pythonie, AWK + polecenia grep/find/jq itp.

Dodałem wszystkie narzędzia do zatwierdzonych poleceń. Przy prostych operacjach działa bez problemu, ale gdy mam złożone polecenie łączące przez pipe np. 5-6 narzędzi, to Claude za każdym razem pyta o zgodę. Oznacza to, że nie mogę 'zlecić' analizy i wrócić za 20 minut.

Rozwiązanie? Tryb YOLO oczywiście. To rozwiązuje problem, ale przy okazji, jak masz trochę mniej szczęścia, to może rozwalić Ci pół systemu, zaorać dane, czy nawet przypadkiem zapisać Cię do jakiejś partii politycznej. Trzeba uważać.

Jedno z rozwiązań to "VPS tylko pod Claude" - nie jest to głupi pomysł. Można też zdokeryzować Claude. Tylko za każdym razem, gdy pojawi się nowa wersja, trzeba na nowo budować obraz. No, chyba że masz taki fajny kontener, który się sam aktualizuje podczas startu.

Ja używam softu zwanego "Bubblewrap". To coś zbliżonego do konteneryzacji, ale bez budowania obrazów. Tworzony jest 'kontener' (namespace + tmpfs) z Twoimi danymi, a appka nie może z niego wyjść. Do tego da się ustawić, które dane są dostępne w trybie read-only.

Dlaczego nie po prostu kontener Docker? Chcę mieć dwie wersje Claude Code: - jedna pyta o wszystko przy niebezpiecznych operacjach - druga nie pyta o nic przy analizie danych Obie muszą współdzielić te same ustawienia, pluginy, agenty i skille. Bez synchronizacji.

W praktyce działa to u mnie tak, że mam dwa aliasy w systemie. Jeden uruchamia Claude Code w trybie YOLO z automatycznym ograniczeniem do aktualnego katalogu (czyli BubbleWrap), a drugi uruchamia "klasycznego Klaudiusza".

Skorzystałem metodą copiego-pasta ze skryptu przygotowanego przez autora poniższego bloga - działa idealnie. Zrobiłem tylko drobne poprawki, aby dorzucić kilka potrzebnych mi katalogów. blog.senko.net/sandboxing-ai-agents-in-linux

Ważna uwaga: "bwrap" nie zapewnia bezpieczeństwa. Wsadza tylko aplikację do odciętego środowiska. Bezpieczeństwo zależy od tego, jakie dane zamontujesz w środku i w jakim trybie (RO/RW). Czyli nadal można zrobić sobie krzywdę ;) Parametry z bloga są całkiem OK.

Zainteresował Cię ten wpis? Obserwuj mnie → @uwteam po więcej podobnych treści. Przy okazji jak już tu jesteś, to zalajkuj lub podaj dalej pierwszy wpis: