Los agentes de IA codificadores como Claude Code, Codex, Amp o Gemini heredan por defecto todos los permisos del usuario que los ejecuta. Eso significa acceso a claves SSH, credenciales de AWS, otros repositorios y archivos personales. Dado que los LLMs son sistemas probabilísticos, hasta un 1% de posibilidad de ejecutar una instrucción destructiva se convierte, en la práctica, en una certeza cuando hay suficientes interacciones.
Agent Safehouse, lanzado esta semana en Hacker News, resuelve esto con un enfoque radicalmente simple: un único script de bash que utiliza el mecanismo nativo de sandbox de macOS (`sandbox-exec`) para restringir lo que cualquier agente puede tocar. El modelo es «deny-first»: por defecto nada es accesible, y el usuario declara explícitamente qué directorios puede leer o escribir el agente. El directorio de trabajo actual (la raíz del repositorio git) se concede automáticamente; el resto —`~/.ssh`, `~/.aws`, otros repos, archivos personales— queda bloqueado a nivel del kernel.
La instalación es de una sola línea: descargas el script, le das permisos de ejecución y listo. No hay build step, no hay dependencias externas. El uso es igual de simple: en lugar de `claude --dangerously-skip-permissions`, ejecutas `safehouse claude --dangerously-skip-permissions`. Todo lo que el agente no tenga permiso de ver es invisible para él: no puede listar directorios bloqueados ni leer archivos sensibles, porque el kernel lo bloquea antes de que el proceso llegue siquiera al dato.
El proyecto también incluye una guía para pedirle a un LLM que genere un perfil personalizado de mínimos privilegios para tu setup específico. Para desarrolladores latinoamericanos que usan agentes locales en producción o con datos sensibles, Agent Safehouse ofrece la tranquilidad de correr en modo `--yolo` sin que eso implique un riesgo real para el sistema. Disponible en GitHub bajo uso libre.