jai:Linux上AI代理的简易隔离工具
Hacker News Top Stories··作者 mazieres
收录于 2026-03-28
关键信息
jai 支持三种隔离模式(随意、严格和锁定),保持当前工作目录完全可写,同时将其他家目录设为只读,并且不需要 Dockerfile 或复杂配置。
资讯摘要
jai 是斯坦福安全计算机系统小组推出的一款开源工具,旨在防止运行在 Linux 上的 AI 代理导致灾难性文件删除。它通过创建最小沙箱实现保护:对当前工作目录完全开放访问,同时用写时复制覆盖层隔离家目录其余部分。用户报告了严重数据丢失问题,例如 Cursor、Claude Code 和 Antigravity 等工具误删整个磁盘。
jai 避免了容器或 chroot 这类复杂方案,提供一种无摩擦替代品,任何命令前加 'jai your-agent' 即可启用保护。虽然不是完美安全方案,但显著降低了不当 AI 操作带来的风险。
资讯正文
标题:jai —— 用于 AI 代理的简易隔离工具 源语言提示:en-US
正文:
外观
在 Linux 上使用 jai,轻松隔离 AI 代理。
这不是假设性的。
人们已经在报告:文件丢失、工作目录被清空、家目录被删除——只因为给了 AI 工具普通机器访问权限。
15 年的家庭照片
“不在回收站里;是通过终端执行的。”
Claude Code 删除了家目录
“正在开发的项目完全丢失。”
Cursor 清空了一个工作树
“所有东西都消失了。”
Antigravity 删除了一整块硬盘
“我的整个 D 盘被意外清空了。”
Cursor 删除了 100GB
“决定从电脑上删除 100GB。”
在给代理真实账户权限和停下来构建容器或虚拟机之间,存在一个空白。jai 填补了这个空白。一条命令,无需镜像,无需 Dockerfile —— 只需一个轻量级边界,保护你正在运行的工作流:快速编码帮助、一次性本地任务、运行你自己没写的安装脚本。
你的文件,你的规则
使用 AI 代理时无需交出整个账户。jai 给你的工作目录完全访问权限,并将家目录其余部分放在一个写时复制(copy-on-write)覆盖层之后——或者完全隐藏起来。
停止盲目信任
一行安装脚本、AI 生成的 shell 命令、不熟悉的 CLI 工具——不要再直接在真实的家目录中运行它们。把 jai 放在前面,最坏情况也会变得小得多。
隔离不应复杂
无需构建镜像,无需维护 Dockerfile,也无需调用一堆 40 个参数的 bwrap 命令。只需 jai your-agent。如果隔离比 YOLO 模式更难,没人会去尝试。
它是如何工作的
一条命令,无需任何设置。
前缀你的命令为 jai codex、jai claude,或直接使用 jai 来启动一个 shell。
当前工作目录保持可写:你的工作目录在 jail 内部仍保持完整的读写权限。
家目录是一个覆盖层:对家目录的更改以写时复制方式捕获,原始文件不受影响。
其余部分被锁定:/tmp 和 /var/tmp 是私有的。其他所有文件都是只读的。
三种模式
选择适合你工作流程的隔离级别。
了解更多关于模式的信息 →
自由软件,不是引流工具
jai 是自由软件,由斯坦福大学安全计算机系统研究组和数字货币未来倡议项目提供。目标是让人们更安全地使用 AI。
与其他方案对比
jai 不试图取代容器,而是填补不同的领域。
Docker
非常适合可复现的、基于镜像的环境。对于临时沙箱化主机工具来说设置较重。没有家目录上的覆盖层工作流。
bubblewrap
功能强大的命名空间沙箱。需要显式组装文件系统视图——通常变成冗长的包装脚本,而 jai 正好消除了这种摩擦。
chroot
不是一种安全机制。没有挂载隔离、没有 PID 命名空间、没有凭证分离。Linux 官方文档明确指出它不适合用于沙箱。
完整对比 →
jai 不承诺绝对的安全性。
jai 是一种轻松的沙箱环境——它能减少潜在危害的范围,但并不能消除 AI 代理可能对你或你的系统造成的所有伤害。在普通模式下,无法保障机密性。即使是在严格模式下,它也不等同于经过加固的容器运行时或虚拟机(VM)。当你需要强大的多租户隔离能力,或要防范有决心的对手时,请使用正规的容器或虚拟机。阅读完整的安全模型 →
斯坦福大学计算机科学系和 FDCI
Tag
来源与参考