サンドボックス

​

デフォルトのアクセスポリシー（サンドボックス有効時）

​

含まれる機能

• ファイルツール（Read、Edit、Create、LS、Grep、Glob、ApplyPatch） — すべての操作の前に checkFileAccess() を実行し、読み取りには denyRead、書き込みには allowWrite / denyWrite を適用
• Execute ツール — シェルコマンドを OS サンドボックス（Seatbelt / bubblewrap）でラップし、ネットワークはドメインレベル制御のために SRT のフィルタリングプロキシ経由でルーティング
• FetchUrl — allowedDomains に対して checkNetworkAccess() を実行
• 注記 — メインのDroidプロセス、MCP、サブエージェントはまだ分離されていません。

• サンドボックス違反があると、Auto（High）自律レベルでもエージェントループが中断され、TUIプロンプトが表示されます
• 3つの選択肢: 1回だけ許可、常に許可（設定に永続化）、拒否
• denyWrite 違反では、「常に許可」の代わりに「拒否リストから削除」オプションが表示されます（設定の denyWrite から該当エントリを削除）
• denyRead 違反でも、「常に許可」の代わりに「拒否リストから削除」オプションが表示されます
• Execute のネットワーク違反では、SRT のプロキシコールバックを通じたリアルタイムのドメインプロンプトが表示され、60秒で自動拒否されます

• サンドボックス違反はプロンプトなしで自動拒否されます — ハングせず、ユーザー操作も不要です
• エージェントは拒否メッセージを受け取り、それを出力に報告します

• ファイル書き込み違反（CWD外）: ユーザー設定の sandbox.filesystem.allowWrite に親ディレクトリを追加
• denyWrite 違反: sandbox.filesystem.denyWrite から該当エントリを削除
• denyRead 違反: sandbox.filesystem.denyRead から該当エントリを削除
• ドメイン違反: ドメイン（3つ以上のパートを持つドメインではワイルドカード付き。例: registry.npmjs.org -> *.npmjs.org）を sandbox.network.allowedDomains に追加
• 変更は現在のセッションにすぐ反映されます

• 組織レベルの denyWrite / denyRead 設定は、ユーザーの「常に許可」では上書きできません
• 拒否が組織設定に由来する場合、違反プロンプトには「（組織ポリシー）」と表示されます

• サンドボックス有効時は、フッターに SANDBOX ステータスインジケーターを表示
• 違反の詳細（パス、ドメイン、理由）を含む「Sandbox Violation」プロンプトを表示

​

設定構成

{
  "sandbox": {
    "enabled": true,
    "filesystem": {
      // CWD（常に書き込み可）に加えて書き込み可能にするパス
      "allowWrite": ["/tmp/build-output", "~/.config"],
      // 親が allowWrite にあっても特定のサブパスへの書き込みを拒否
      "denyWrite": ["/tmp/build-output/cache/locks", "~/.config/secrets"],
      // 特定のパスへの読み取りをブロック（それ以外は読み取り可）
      "denyRead": ["~/.aws/credentials", "~/.ssh/id_rsa"],
    },
    "network": {
      // 到達可能なドメインはこれらのみ（*.factory.ai は常に含まれる）
      "allowedDomains": ["github.com", "*.npmjs.org"],
    },
  },
}

​

関連

• 自律レベル — ツールリスクに対する承認ポリシー。
• 設定 — sandbox.* の定義場所。
• 階層設定と組織管理 — 組織ポリシーがユーザー設定とどのようにマージされるか。
• セキュリティ — Droid CLI のより広いセキュリティモデル。