00:00:00Si has estado siguiendo las noticias últimamente, probablemente habrás visto todas las advertencias sobre
00:00:04los peligros de ejecutar agentes de IA autónomos. Podrían ser filtraciones accidentales de datos o brechas
00:00:10de seguridad de alto perfil como la que vimos con OpenClaw. La realidad es que darle a un agente de IA
00:00:15acceso total a tu terminal host es bastante peligroso. Pero no vamos a dejar de usar estas herramientas solo
00:00:21por problemas de seguridad, ¿verdad? Lo que necesitamos es un mejor entorno aislado. Y existe una pequeña e
00:00:28increíble herramienta llamada Code on Incus, que te permite ejecutar código de CLAUDE en un contenedor
00:00:34de Incus completamente aislado, para que puedas ejecutar tus agentes de programación de forma segura sin
00:00:40preocuparte por filtrar tus llaves SSH o variables de entorno. En el video de hoy, vamos a analizar de cerca
00:00:46cómo funciona Code on Incus, y luego te mostraré cómo configurarlo tú mismo, para que puedas empezar a
00:00:51ejecutar con seguridad tu propia flota de agentes de IA autónomos. Va a ser muy divertido, así que ¡vamos a ello!
00:00:58Primero que nada, ¿qué es Incus? Bueno, en realidad ya hablé de Incus con más detalle en uno de mis
00:01:07videos anteriores, así que échale un vistazo si quieres profundizar en su funcionamiento. Básicamente,
00:01:12Incus es un gestor de contenedores de sistema y máquinas virtuales de código abierto que permite ejecutar
00:01:18sistemas Linux completos en entornos aislados. Y Code on Incus lleva esta idea al siguiente nivel
00:01:24al permitirte desplegar mini máquinas Linux totalmente aisladas con el código de CLAUDE preinstalado,
00:01:31para que puedas usarlas como agentes de CLAUDE en un entorno seguro. Es una idea genial. Básicamente,
00:01:36le da a CLAUDE su propio entorno Linux dedicado. Y a diferencia del modo privilegiado de Docker, los
00:01:43contenedores de Incus se comportan como máquinas Linux completas y tienen un estado persistente, por lo que
00:01:49puedes detener e iniciar sesiones sin perder el progreso o el historial de conversación. Una de las mejores
00:01:54partes de esta configuración es que resuelve el infierno de los permisos. Normalmente, cuando un contenedor
00:02:00crea un archivo, el dueño es root, y te toca andar ejecutando chown solo para editar tu propio código. Pero
00:02:08Incus usa mapeo de UID, por lo que engaña eficazmente al sistema para que todo lo que CLAUDE cree en el sandbox
00:02:14te pertenezca de forma nativa en tu máquina local. En mi video anterior, mostré cómo configurar
00:02:20contenedores de Incus en Linux. Pero esta vez, te mostraré cómo configurarlos en un Mac.
00:02:26Básicamente usaremos una herramienta llamada Colima, que es su propio contenedor. Y vamos a
00:02:31ejecutar Incus dentro de él, que es otro contenedor. Y ejecutaremos el código de CLAUDE dentro de eso,
00:02:36lo cual es un escenario al estilo de la película Inception. Así que, ante todo, asegúrate de
00:02:42haber descargado Colima. A la derecha, he preparado una carpeta sencilla llamada "my test app" donde
00:02:48guardaremos todo lo que el código de CLAUDE produzca a través de nuestros contenedores de Incus. Ahora,
00:02:55iniciemos una instancia simple de Colima. Pasaremos la bandera "mount" para permitir permisos de
00:03:00escritura en la carpeta que acabo de crear. Una vez hecho esto, entraremos por SSH a nuestro contenedor
00:03:06de Colima. Y desde aquí, solo tenemos que seguir las instrucciones indicadas en el repositorio de
00:03:11Code on Incus. Copia estas líneas para instalar y configurar Incus. Luego dice que deberíamos
00:03:17ejecutar el comando bash. Pero en mis pruebas anteriores, esto no funcionó como se esperaba. En su lugar,
00:03:23puedes hacer lo mismo copiando el contenido en un archivo install.sh y ejecutándolo. El script de
00:03:29instalación se ejecutará y detectará que Incus ya está instalado, lo cual es genial, pero aún tenemos que
00:03:35configurar nuestro firewall. Lo haremos en un momento. Ahora solo pulsa 1 para compilar desde el código
00:03:42fuente y deja que el script haga su trabajo. Una vez hecho esto, podemos ejecutar los comandos de
00:03:47configuración del firewall. Según las instrucciones, lo siguiente que deberías hacer es
00:03:52ejecutar "koi build". Pero en mis pruebas previas, encontré algunos problemas de conectividad de red.
00:03:58Como Incus se ejecuta dentro de la máquina virtual Colima, crea su propio puente de red virtual.
00:04:04Suele llamarse incusbr0 para dar acceso a internet a los contenedores. Pero aquí es donde se
00:04:10complica. Por defecto, los firewalls de Linux e incluso las reglas de red de Docker a veces
00:04:16entran en conflicto con este puente. Para arreglarlo, debemos asegurar que la máquina virtual Colima
00:04:22permita el flujo de tráfico libre entre el puente de Incus y el mundo exterior. Lo hacemos añadiendo el
00:04:28puente de Incus a nuestra zona de firewall de confianza y habilitando el reenvío de IP versión 4.
00:04:34Cuando veas que aparece "success" dos veces en la terminal, ya estamos listos para compilar Code on Incus.
00:04:40La documentación puede ser un poco confusa aquí porque para compilar la herramienta, necesitas ejecutar un
00:04:46script de configuración que está dentro del repo. La forma más fácil es clonar el repositorio de
00:04:52Code on Incus directamente, entrar en la carpeta y ejecutar "koi build" desde allí. Así es como logré que
00:04:59funcionara. El proceso de compilación tarda un minuto o dos. Pero una vez que termina,
00:05:04comienza la diversión. Por fin podemos lanzar nuestros agentes autónomos de CLAUDE dentro de sus propias
00:05:11burbujas de Incus. Vamos a verlo. Para mostrarte cómo funciona en la práctica, he configurado dos ventanas
00:05:16de terminal. Lanzaré la primera instancia en el slot uno, pasando la ruta del espacio de trabajo para que
00:05:23CLAUDE sepa dónde guardar los archivos. También añadiré la bandera "network open". Esto es crucial
00:05:28porque permite al agente acceder a internet, descargar dependencias y llamar a la API para funcionar.
00:05:35Haré lo mismo para el slot dos, creando básicamente un dúo dinámico.
00:05:40Un agente se centrará totalmente en el back-end y el otro se dedicará a la parte del front-end.
00:05:45Para esta demo, les pediré que construyan una app de Holocrón de Star Wars, una herramienta que
00:05:51obtiene datos de personajes de la API SWAPI. Y para hacerlo más interesante, le he pedido al agente del
00:05:57front-end que le dé a la interfaz un efecto de holograma azul parpadeante inspirado en el look de las
00:06:04terminales clásicas de Star Wars de 1977. Y luego los dejamos trabajar. Unos minutos después, vemos que
00:06:10ambos agentes han colaborado con éxito trabajando en el mismo espacio. Han creado tanto el back-end como
00:06:16la interfaz front-end. Abrámoslo en el navegador para ver qué tal. Vale, se ve bastante bien.
00:06:22Tiene ese brillo clásico de holograma. Y ahora si busco datos sobre Darth Vader, vemos que los
00:06:28recupera correctamente. Lo mismo para Yoda y para Luke Skywalker.
00:06:34Este es el poder de orquestar agentes de IA de forma segura sin exponer nunca tu máquina host principal
00:06:40a dependencias desconocidas o bases de código desordenadas. Ahora quiero mostrarte otro ejemplo
00:06:46donde este tipo de seguridad es muy útil. Digamos que has descargado un archivo y sospechas que
00:06:52podría contener malware. Para esta demostración, usaré un archivo de malware de muestra proporcionado
00:06:56por el Instituto EICAR, que se suele usar como archivo de prueba imitando un virus real.
00:07:02En esencia el archivo no hace nada dañino, pero contiene una firma de malware en su interior.
00:07:09Supongamos que tienes ese archivo, pero no quieres descomprimirlo en tu máquina local.
00:07:14Aquí es donde, de nuevo, puedes usar Code on Incus para que haga la extracción del archivo por ti.
00:07:19Y luego podemos usar el código de CLAUDE para realizar un análisis exhaustivo del contenido.
00:07:25En este segundo ejemplo, he iniciado una nueva instancia de Colima. Y esta vez paso la carpeta que
00:07:30contiene el archivo EICAR como espacio de trabajo para poder pasárselo a Incus.
00:07:37He repetido todo el proceso de instalar Koi y configurarlo. Y ahora hemos lanzado un nuevo agente.
00:07:41Lo que podemos hacer ahora es, en otra terminal, subir el archivo a la instancia de Incus.
00:07:48Puedes hacerlo usando el comando "incus file push", especificando el ID del contenedor de esa instancia
00:07:54de Koi. Una vez transferido, puedo pedirle a CLAUDE que examine el contenido y genere un informe
00:08:00de análisis detallado. Unos momentos después, vemos que CLAUDE ha terminado el análisis.
00:08:06Y como esperábamos, ha determinado que el archivo es completamente seguro y no es malicioso.
00:08:11Ha identificado que se trata de un archivo de prueba de malware EICAR. Y ha expuesto todos los
00:08:17detalles en el informe de análisis. Esto es genial. Si eres un investigador de seguridad o solo un
00:08:24desarrollador que recibe muchos archivos no confiables, puedes usar este proceso para inspeccionarlos
00:08:29con seguridad; obtienes todo el poder analítico de CLAUDE con el escudo impenetrable de un contenedor
00:08:34de sistema Incus. Así que ahí lo tienen, eso es Code on Incus. En pocas palabras,
00:08:40hay muchos otros comandos útiles que ofrece esta herramienta y que no he podido destacar en este video.
00:08:47Por ejemplo, puedes lanzar instancias con tus propias imágenes personalizadas, y puedes gestionar
00:08:52instantáneas y sesiones. Así que echa un vistazo al proyecto completo para profundizar más.
00:08:57Creo que hoy en día, con tantas amenazas de seguridad en cada rincón digital de la web, herramientas
00:09:03como esta realmente ayudan a gestionar la orquestación de agentes de IA de forma segura.
00:09:09Y usa Incus para hacerlo, de lo cual soy muy fan. Así que tiene mi sello de aprobación.
00:09:16Pero, ¿qué opinas tú de esta herramienta? ¿La has probado? ¿La usarás? Cuéntanos en los comentarios.
00:09:21Y si el video te ha resultado útil, por favor házmelo saber dándole a ese botón de "me gusta".
00:09:26No olvides suscribirte al canal para no perderte ninguno de nuestros futuros análisis técnicos.
00:09:31Soy Andris de Better Stack y nos vemos en los próximos videos.
00:09:36technical breakdowns. This has been Andris from Better Stack and I will see you in the next videos.