Mathieu Virbel3d ago
Turns out GVFS can route file ops through D-Bus, bypassing Landlock entirely. Fixed it in greywall today. Still figuring out how many IPC tunnels are hiding in a standard Linux session. #sandboxing
Hacker NewsMar 9

FreeBSD Capsicum vs. Linux Seccomp Process Sandboxing

https://vivianvoss.net/blog/capsicum-vs-seccomp

#HackerNews #FreeBSD #Seccomp #Sandboxing #Capsicum #Linux #Security

Capsicum vs seccomp: Process Sandboxing — Vivian Voss

A compromised process inherits the full authority of the user who launched it. Two operating systems fixed this with opposite philosophies. One removed the doors. The other posted a bouncer.

Vivian Voss
N-gated Hacker NewsFeb 27
👀 So, here's 18 minutes of pure geeky bliss where we pretend #sandboxing is as thrilling as bungee jumping. 🏗️ Let's endlessly list things like namespaces, #cgroups, and #gVisor while forgetting that 99% of readers are now asleep. 😴 Keep your kernels close, folks, because apparently, they’re the rockstars of this yawn-fest. 🎸
https://www.shayon.dev/post/2026/52/lets-discuss-sandbox-isolation/ #geekybliss #techhumor #HackerNews #ngated
Let's discuss sandbox isolation

A dive into the spectrum of sandboxing and isolation, from Linux namespaces and gVisor to hardware-enforced microVMs and WebAssembly, and why picking the right boundary matters for multi-tenant workloads.

Shayon Mukherjee
HabrFeb 23

Заметки на полях: Изолируем Lua окружение в C++ приложении. Часть 3/3

В прошлый раз мы с вами остановились на том, что на всякую хитрую резьбу в виде ограничений на загрузку функционала библиотек и сторонних модулей, а также изоляции скриптов внутри разрешённых путей найдётся свой болт, в лице возможностей самого языка, которые позволяют осознанно или в силу кривизны рук свести на нет все наши усилия сохранить стабильность. В этой части разберём как из букв 'О', 'П', 'Ж' и 'А' while true do end ...составить слово "СЧАСТЬЕ".

https://habr.com/ru/articles/991960/

#c++ #lua #разработка_игр #песочницы #sandboxing #изоляция_ресурсов #скриптовые_языки

Заметки на полях: Изолируем Lua окружение в C++ приложении. Часть 3/3

Окончание неожиданно распухшего туториала, который начался здесь и имел неосторожность продолжится тут . Не трогай, это на новый год Прежде чем переходить к ограничению потребляемой памяти, сначала...

Хабр
Hacker NewsFeb 21

macOS's Little-Known Command-Line Sandboxing Tool

https://igorstechnoclub.com/sandbox-exec/

#HackerNews #macOS #command #line #sandboxing #tool #tech #tips #security #features #developer #tools

sandbox-exec: macOS's Little-Known Command-Line Sandboxing Tool

<aside class="cta-note"> <div class="cta-note__badge">EARLY ACCESS</div> <p> If you want a deeper, up-to-date treatment of <code>sandbox-exec</cod...

Igor's Techno Club
HabrFeb 20

Linux Landlock — песочница для приложений без root

Landlock — редкий для Linux случай, когда «песочницу» можно включить руками самого приложения: без root, без километров политик и с понятной логикой «по умолчанию запрещено всё». В этой статье разбираем, что это за LSM, какие три системных вызова нужны, как выбрать минимальный набор прав и почему открытые до ограничений файловые дескрипторы способны тихо обнулить всю задумку. Открыть разбор

https://habr.com/ru/companies/otus/articles/1001910/

#Landlock #песочница_приложений #Linux #sandboxing #безопасность_приложений #ограничение_прав #системные_вызовы

Linux Landlock — песочница для приложений без root

В этой статье поговорим о том, как использовать API Landlock для защиты Linux -приложений, ограничивая доступ к файловой системе и сети. Два часа ночи. Вас будит уведомление: хакер нашёл уязвимость в...

Хабр
sayzardFeb 20

Cursor (@cursor_ai)

지난 세 달 동안 macOS, Linux, Windows에 걸쳐 에이전트 샌드박싱을 배포했습니다. 샌드박스는 에이전트가 안전하게 자유롭게 실행되도록 하며, 샌드박스를 벗어나야 할 때에만 승인 요청을 하게 합니다. 트윗은 샌드박스 기능의 배포와 구현 방법(구축 방식)에 대한 기술적 설명을 소개합니다.

https://x.com/cursor_ai/status/2024544628687687879

#agent #sandboxing #security #devtools

Cursor (@cursor_ai) on X

Over the last three months, we've rolled out agent sandboxing on macOS, Linux, and Windows. Sandboxes allow agents to run freely and securely, only requesting approval when they need to step outside it. Here's how we built it: https://t.co/5Tv8enRB5d

X (formerly Twitter)
InautiloFeb 13

#Development #Approaches
Thousand ways to sandbox an agent · Pick one and let your AI agent loose https://ilo.im/16aig6

_____
#Sandboxing #Security #AI #Agents #CLI #OS #Browser #WebDev #Frontend #Backend

A thousand ways to sandbox an agent

There are a thousand ways to sandbox an agent. Okay, I lied. There are three: simulated, containers, and microVMs. Here's when to use each.

Marcel SIneM(S)USFeb 7
#LiteBox: #Microsoft stellt neues #LibraryOS vor | iX Magazin https://www.heise.de/news/Microsoft-veroeffentlicht-LiteBox-Rust-basiertes-Sandboxing-Library-OS-11165951.html #OpenSource #sandbox #sandboxing
LiteBox: Microsoft stellt neues Library OS vor

Mit LiteBox hat Microsoft ein in Rust geschriebenes Library OS veröffentlicht, das durch minimale Host-Interfaces die Angriffsfläche reduzieren soll.

heise online
sayzardFeb 6

OpenClaw을 Apple Silicon macOS VM(Lume)에 설치해 격리된 환경에서 실행하는 방법 안내입니다. 요구사항(Apple Silicon, macOS Sequoia+, VM당 약 60GB)과 Lume 설치→lume create로 VM 생성→Setup Assistant에서 SSH 활성화→SSH로 접속해 npm으로 openclaw 설치→channels 설정(WhatsApp, Telegram 등)→백그라운드 실행 과정을 단계별로 설명합니다. BlueBubbles로 iMessage 통합, 골든 이미지 스냅샷, 24/7 운영 팁과 주요 문제해결도 포함됩니다.

https://docs.openclaw.ai/install/macos-vm#what-you-need-lume

#openclaw #lume #macos #imessage #sandboxing

macOS VMs - OpenClaw

OpenClaw