Snapshot Reader
用操作系统内核级沙箱安全运行 MCP 服务,拒绝裸奔,也拒绝 Docker 的过度隔离
痛点:当 AI 开始「动手」时,你敢给它多少权限?
最近几个月,OpenClaw 这些 AI 工具越来越「能干」了。它们不再只是给建议,而是能直接执行命令、读写文件、甚至帮你部署项目。
但问题随之而来:
- 裸奔模式:直接给 AI 开 shell 权限,相当于把家门钥匙交给一个「偶尔会幻觉」的陌生人。万一它执行了
rm -rf /或者把私钥发到公网,你连哭都来不及。 - Docker 模式:虽然安全,但 AI 被关在一个与世隔绝的盒子里。它读不到你的
~/.ssh/config,用不到你本地配好的开发环境,甚至连项目文件都要通过 volume 挂载,体验割裂。
我一直在寻找一个「中间态」:既能利用本地完整的用户环境,又能把 AI 的破坏力限制在指定范围内。
直到我开发了 DAIMON。
项目简介:操作系统级的「金丝雀」
DAIMON 是一个为 AI Agent 提供本地沙箱保护的开源工具,核心卖点很简单:
Native & Secure —— 在宿主机原生运行,但通过操作系统内核强制实施安全策略。
它把自己定位为一个 MCP(Model Context Protocol)服务器,AI 客户端通过 HTTP 连接到 DAIMON,而 DAIMON 再代理执行命令。关键区别在于:所有执行都在内核级沙箱中进行。
支持平台:
- macOS:利用内置的
sandbox-exec - Linux:结合
Landlock(文件系统沙箱)+seccomp(系统调用过滤)
这意味着什么?不是用户态的「君子协定」,而是内核态的「物理隔离」。
技术原理:为什么比 Docker 更优雅?
DAIMON 的策略设计非常「Unix 哲学」——只做一件事,但做好。
1. 策略即代码
通过一个 YAML 文件定义边界:
version: 2
filesystem_policy:
include_workdir: true
read_only:
- /usr
- /bin
- ~/.config/git # AI 可以读取你的 git 配置
read_write:
- /workspace/myproject # 但只能在这个目录写文件
network:
mode: disabled # 禁止联网,防止数据外泄
linux:
landlock:
compatibility: hard_requirement # 严格要求 Landlock 支持
2. 零开销
不像 Docker 需要维护镜像、处理 volume 映射、解决权限问题,DAIMON 直接复用你现有的文件系统和工具链。AI 访问的是「真实的 /usr/bin/git」,只是被限制了能操作的范围。
3. GUI 管理
提供了原生的 macOS 界面,可以可视化配置目录权限、网络策略,实时查看沙箱状态。
适用场景:谁需要这个?
- AI 自主智能体:用 OpenClaw 在本地处理敏感项目,但担心 AI 误删文件或读取私钥
- 自动化脚本:让 AI 帮你批量处理文件,但限定只能碰特定目录
安装与体验
目前项目提供了 macOS 的下载包,Linux 版本也在路上了(用了 Landlock 和 seccomp,都是 Linux 原生的安全机制)。
基本使用流程:
- 下载 DAIMON 应用
- 创建沙箱配置文件(指定哪些目录可读、可写、网络是否开放)
- 启动服务,复制 MCP JSON 配置到你的 AI 客户端
- AI 现在通过 DAIMON 的 HTTP 端点(默认
http://127.0.0.1:8080/mcp)执行操作
总结:安全与便利的平衡点
DAIMON 解决了一个真实存在的痛点:我们既想让 AI 深度参与本地开发工作流,又不敢给它完全的系统权限。
它不是要替代 Docker(Docker 适合完全隔离的场景),而是填补了「轻量级、原生体验、内核级安全」这个空白地带。
项目地址:https://daimon-hq.github.io/
1 个帖子 - 1 位参与者