HyperAIHyperAI

Command Palette

Search for a command to run...

clawk : VM Linux jetables pour agents de codage IA

Un nouvel outil open source nommé clawk a été publié pour répondre aux besoins de sécurité des agents de codage assistés par intelligence artificielle. Développé par clawkwork, ce logiciel permet d'exécuter des assistants comme Claude Code ou Codex dans une machine virtuelle Linux éphémère et strictement isolée. L'objectif est de donner aux agents IA un environnement complet pour écrire, tester et déployer du code, sans mettre en danger la machine hôte ni compromettre les données personnelles de l'utilisateur. Le fonctionnement repose sur une approche radicalement différente des conteneurs traditionnels. Plutôt que d'exécuter l'agent dans un processus restreint sur le système de l'utilisateur, clawk provisionne une machine virtuelle complète à chaque session. L'environnement démarre en quelques secondes grâce à des images conteneur standard et à des clones en copie à la lecture, ce qui minimise l'empreinte disque et la consommation mémoire. Un seul fichier de configuration optionnel, nommé clawk.mod, permet d'adapter l'image racine, de partager des dossiers et de définir les autorisations réseau. Par défaut, le trafic sortant est bloqué et soumis à une liste blanche DNS-aware, empêchant toute connexion non autorisée tout en autorisant l'accès aux registres de paquets et aux dépôts de code essentiels. Cette architecture garantit une autonomie totale des agents sans recourir à des invitations de confirmation fastidieuses. Les outils s'exécutent avec des droits élevés à l'intérieur de la machine virtuelle, mais leurs actions sont strictement cantonnées à cet espace isolé. Les fichiers de l'utilisateur, les clés de chiffrement et le trousseau système restent invisibles, à l'exception des répertoires explicitement montés. Si un agent corrompt son environnement, il suffit de le détruire et d'en lancer un nouveau sans perdre le code source ni l'historique des conversations, lesquels sont stockés sur l'hôte et peuvent être récupérés via une fonction de reprise. Une fonctionnalité de mise en veille profonde permet également de sauvegarder l'état exact de la machine et des processus en cours. clawk cible principalement les développeurs macOS disposant de puces Apple Silicon, avec un support expérimental pour Linux. L'outil ne nécessite aucune installation de Docker ou de machine virtuelle supplémentaire, exploitant directement les couches virtuelles du système d'exploitation. Libéré sous licence Apache 2.0, le projet est actuellement en phase de pré-version 1.0 et évolue rapidement. En offrant un périmètre matériel et réseau infranchissable, clawk pose un nouveau standard pour l'intégration sûre des agents IA autonomes dans les flux de travail de développement logiciel, répondant ainsi aux préoccupations croissantes concernant la gestion des permissions et la protection des environnements de production.

Liens associés