← Voltar pro blog
steply / blog · ai-jail-como-usar-sandbox-para-agentes-de-ia.md
$ steply blog open ai-jail-como-usar-sandbox-para-agentes-de-ia
▸ loading article…
✓ ready

ai-jail: a jaula que deixa o agente de IA trabalhar sem colocar seu computador em risco (e como usar)

porSteply6 min de leitura

Imagine contratar um funcionário genial que trabalha 24 horas por dia, nunca reclama e resolve tarefas em minutos. Só tem um detalhe: no primeiro dia, ele recebe a chave de todas as salas da empresa. Do cofre, do arquivo do RH, da sala dos servidores. Ninguém faria isso com um humano, por melhor que fosse o currículo. E no entanto é exatamente isso que a maioria das pessoas faz quando instala um agente de IA no computador: dá acesso a tudo e torce para dar certo.

Este post apresenta o ai-jail, uma ferramenta gratuita e de código aberto criada pelo brasileiro Fabio Akita, um dos engenheiros de software mais respeitados do país. A proposta dela cabe em uma frase: colocar o agente de IA numa jaula onde ele consegue trabalhar, mas não consegue fazer estrago. Você vai entender por que isso virou item obrigatório para quem usa agentes, como a jaula funciona por dentro e como usar na prática, mesmo sem ser da área técnica. No final tem um checklist com os comandos prontos.

O agente precisa de acesso, e o acesso é o problema

Agentes de IA que trabalham de verdade (como o Claude Code, o Codex e similares) não ficam só conversando: eles leem arquivos, criam documentos, executam comandos, instalam componentes. É isso que os torna úteis. Um agente sem acesso ao computador é só um chat bonito.

O problema é que o mesmo acesso que permite criar um relatório permite ler as senhas salvas no navegador, copiar as chaves que dão entrada nos servidores da empresa e apagar pastas inteiras. O agente não precisa ser malicioso para causar dano. Basta uma instrução ambígua, um momento de confusão do modelo, e o comando errado roda na pasta errada. Isso não é hipótese: já contamos aqui o caso do modelo de IA que deletou arquivos sozinho, sem que ninguém pedisse.

E existe um segundo risco, mais silencioso. Agentes instalam componentes de terceiros o tempo todo, é parte do trabalho deles. Se um desses componentes vier adulterado (o que acontece com frequência crescente no mundo do software), o código malicioso roda dentro do seu computador com as mesmas permissões do agente. É como um fornecedor que entrega uma peça sabotada dentro da sua fábrica: o problema não entrou pela porta da frente, entrou junto com a mercadoria.

Ou seja: você precisa dar acesso para o agente trabalhar, mas cada acesso a mais é superfície de risco. A pergunta certa não é "confio no agente?", é "o que acontece se ele errar?".

O que é o ai-jail

O ai-jail é um programa pequeno (menos de 1 MB) que funciona como um porteiro rigoroso. Em vez de você abrir o agente de IA direto, você abre o agente através do ai-jail. A partir daí, o agente passa a enxergar um computador diferente do seu: um computador onde só existe a pasta do projeto em que ele deveria trabalhar.

A melhor analogia é uma sala de reunião envidraçada. O consultor externo entra, recebe apenas os documentos daquele projeto e trabalha à vontade dentro da sala. Ele não circula pelo prédio, não abre gavetas de outros departamentos e nem sabe onde fica o cofre. Quando a reunião acaba, a sala é limpa por completo. Tudo o que ele produziu de útil fica no dossiê do projeto; qualquer papel que ele tenha espalhado fora dali vai para a trituradora.

O ponto mais importante: não é uma regra que o agente promete seguir, é uma parede que ele não consegue atravessar. A restrição acontece no nível do sistema operacional, abaixo da IA. Não depende do modelo ser obediente, e é isso que diferencia essa abordagem de simplesmente escrever "não mexa em outras pastas" nas instruções do agente. Como já mostramos em guardrails não bastam, instrução é pedido; parede é garantia.

O que a jaula esconde e o que ela permite

Por padrão, o ai-jail organiza o computador em três zonas:

Nunca entram na sala. As chaves de acesso a servidores, as credenciais de serviços de nuvem, os dados do navegador. Para o agente, esses arquivos simplesmente não existem. Ele não vê, não lê e não tem como copiar, porque do lado de dentro da jaula aquilo não está lá.

Visível, mas intocável. Os programas do sistema ficam disponíveis apenas para leitura. O agente pode usar as ferramentas do computador, mas não pode alterá-las nem quebrá-las.

Livre. A pasta do projeto atual é o único lugar onde o agente escreve de verdade. É a mesa de trabalho dele. Tudo que ele produzir de útil fica ali.

E tem o detalhe da mesa limpa: áreas temporárias são criadas novas a cada sessão e destruídas quando o ai-jail fecha. Se o agente espalhou arquivos fora do projeto, isso evapora ao sair.

Um cuidado que o próprio autor destaca: arquivos de senha que moram dentro da pasta do projeto (o famoso arquivo .env, onde muitos sistemas guardam credenciais) continuam visíveis, porque estão na mesa de trabalho. Para esses, existe um comando específico que os mascara, e ele está no checklist do final.

Como usar na prática

A instalação é uma linha no terminal (funciona em Mac e Linux; no Windows funciona através do WSL, o ambiente Linux que a própria Microsoft embute no sistema). Quem já usa o gerenciador Homebrew instala com um único comando.

E o uso diário muda quase nada na rotina: em vez de abrir o agente digitando claude, você digita ai-jail claude. Só isso. O agente abre normalmente, trabalha normalmente, e nem percebe que está numa jaula. O mesmo vale para outros agentes: ai-jail codex, ai-jail opencode e assim por diante.

Três recursos merecem destaque para quem está começando:

  • Ensaio sem risco: o comando com --dry-run mostra exatamente o que a jaula vai esconder e permitir, sem executar nada. Bom para conferir antes de confiar.
  • Máscara de senhas: --mask .env esconde os arquivos de credenciais que moram dentro do projeto. O agente enxerga um arquivo vazio no lugar.
  • Modo cadeado: --lockdown é o modo mais restritivo, onde o agente não escreve em lugar nenhum e fica sem rede. É o modo certo para analisar código que veio de fora e que você não confia.

E o melhor para o dia a dia de equipe: as escolhas ficam gravadas num arquivo de configuração dentro do projeto. Na prática, isso transforma a proteção em política escrita, que se aplica sozinha toda vez que alguém abre o agente naquele projeto. Não depende de memória nem de boa vontade de cada pessoa do time.

O que o ai-jail não resolve

O próprio autor é direto: não é 100% seguro, e nenhuma jaula é. Para rodar código realmente suspeito, o certo continua sendo uma máquina virtual descartável, um computador de mentira que você joga fora depois. A jaula protege do erro e do descuido, que são a esmagadora maioria dos incidentes, não de um ataque sofisticado dirigido à sua empresa.

E ela protege o computador, não a operação inteira. Quem decide o que o agente pode fazer no sistema da empresa, quais dados ele acessa, quem aprova ações sensíveis e o que fica registrado é outra camada de governança, que já detalhamos em controle de acessos de agentes de IA e nas 4 portas que a IA não atravessa. A jaula é o cinto de segurança: não substitui direção prudente, mas ninguém deveria dirigir sem.

A regra que vale adotar hoje

Se a sua empresa já usa agentes de IA, ou tem gente do time usando por conta própria (e tem, mesmo que você não saiba), a política cabe em uma linha: nenhum agente roda fora da jaula. O custo é digitar sete caracteres a mais no comando. O benefício é que o pior dia do agente deixa de ser o pior dia da empresa.

É o mesmo princípio que aplicamos quando implantamos agentes privados em clientes: o isolamento não é um acessório que se adiciona depois do incidente, é parte do desenho desde o primeiro dia. A diferença entre IA que dá resultado e IA que vira manchete interna raramente está no modelo. Está no que ele tem permissão de tocar.