00:00:00Se você tem acompanhado as notícias ultimamente, provavelmente viu todos os avisos sobre
00:00:04os perigos de rodar agentes de IA autônomos. Pode ser vazamento acidental de dados ou
00:00:10brechas de segurança graves, como vimos com o OpenClaw. A realidade é que dar a um agente de IA
00:00:15acesso total ao terminal da sua máquina é bem perigoso. Mas não vamos parar de usar essas ferramentas
00:00:21só por questões de segurança, certo? O que precisamos é de uma sandbox melhor. E existe essa
00:00:28ferramenta incrível chamada Code on Incus, que permite rodar o código do CLAUDE em um
00:00:34container Incus totalmente isolado, para que você possa rodar seus agentes de codificação com segurança,
00:00:40sem se preocupar com o vazamento de suas chaves SSH ou variáveis de ambiente. No vídeo de hoje,
00:00:46vamos ver de perto como o Code on Incus funciona, e depois mostrarei como configurá-lo
00:00:51para que você comece a rodar sua própria frota de agentes de IA autônomos com segurança. Vai ser bem legal, então vamos lá.
00:00:58Primeiro de tudo, o que é o Incus? Bom, na verdade, eu cobri o Incus em detalhes em um dos meus
00:01:07vídeos anteriores, então dê uma olhada se quiser se aprofundar em como ele funciona. Mas, essencialmente,
00:01:12o Incus é um gerenciador de containers de sistema e máquinas virtuais de código aberto que permite rodar
00:01:18sistemas Linux completos em ambientes isolados. E o Code on Incus leva essa ideia para o próximo nível
00:01:24ao permitir o deploy de mini máquinas Linux totalmente isoladas com o Claude Code pré-instalado,
00:01:31para que você possa usá-las como agentes de codificação em sandbox. É uma ideia sensacional. Basicamente,
00:01:36dá ao Claude seu próprio ambiente Linux dedicado. E, ao contrário do modo privilegiado do Docker, os containers
00:01:43do Incus se comportam como máquinas Linux reais e possuem estado persistente, permitindo parar e iniciar
00:01:49sessões sem perder o progresso ou o histórico de conversas. Uma das melhores partes
00:01:54dessa configuração é que ela resolve o “inferno das permissões”. Geralmente, quando um container cria um arquivo,
00:02:00ele pertence ao root, e você fica preso rodando chown só para editar seu próprio código. Mas o Incus usa
00:02:08mapeamento de UID, então ele engana o sistema para que tudo o que o Claude cria na sandbox
00:02:14seja nativamente seu na sua máquina local. No meu vídeo anterior, eu mostrei como configurar
00:02:20containers Incus no Linux. Mas desta vez, vou mostrar como configurá-los no Mac.
00:02:26Basicamente, usaremos uma ferramenta chamada Colima, que é seu próprio container. E rodaremos
00:02:31o Incus dentro dele, que é outro container. E rodaremos o Claude Code
00:02:36dentro disso, o que é um cenário real de Inception. Primeiro de tudo, certifique-se
00:02:42de ter baixado o Colima. Aqui à direita, criei uma pasta simples chamada “my-test-app”
00:02:48onde armazenaremos tudo o que o Claude Code produzir através dos nossos containers Incus. Agora, vamos
00:02:55iniciar uma instância simples do Colima. Passaremos a flag mount para permitir permissões de escrita
00:03:00na pasta que acabei de criar. Feito isso, vamos acessar nosso container Colima via SSH. E,
00:03:06a partir daqui, precisamos seguir as instruções descritas no repositório
00:03:11do Code on Incus. Copie estas linhas para instalar e configurar o Incus. O guia diz que devemos
00:03:17rodar o comando bash. Mas nos meus testes anteriores, isso não funcionou como esperado. Em vez disso,
00:03:23você pode fazer o mesmo copiando o conteúdo para um arquivo install.sh e rodando-o. O script
00:03:29de configuração será executado e detectará que o Incus já está instalado, o que é ótimo, mas ainda
00:03:35precisamos configurar nosso firewall. Faremos isso em um momento. Agora, clique em 1 para compilar
00:03:42a partir do código-fonte e deixe o script trabalhar. Após terminar, podemos rodar nossos comandos
00:03:47de configuração do firewall. De acordo com as instruções, a próxima coisa a se fazer é
00:03:52rodar o “koi build”. Mas em meus testes anteriores, tive alguns problemas de conectividade de rede.
00:03:58Como o Incus roda dentro da máquina virtual Colima, ele cria sua própria ponte de rede virtual.
00:04:04Geralmente chamada de incusbr0 para dar acesso à internet aos containers do Claude. Mas aqui
00:04:10a coisa complica. Por padrão, firewalls do Linux e até as regras de rede do Docker podem às vezes
00:04:16entrar em conflito com essa ponte. Para corrigir, precisamos garantir que a VM do Colima permita
00:04:22que o tráfego flua livremente entre a ponte do Incus e o mundo externo. Fazemos isso adicionando a
00:04:28ponte do Incus à nossa zona de firewall confiável e habilitando o encaminhamento de IP versão 4. E assim
00:04:34que vir “success” impresso duas vezes no terminal, estaremos oficialmente prontos para compilar o Code on Incus.
00:04:40A documentação pode ser um pouco confusa aqui porque, para compilar a ferramenta, você precisa rodar um
00:04:46script de configuração dentro do repo. A maneira mais fácil é clonar o repositório Code on Incus
00:04:52diretamente, entrar na pasta (CD) e rodar o “koi build” de lá. Foi assim que consegui fazer
00:04:59funcionar. O processo de build leva cerca de um ou dois minutos. Mas assim que terminar,
00:05:04a diversão começa. Finalmente podemos subir nossos agentes autônomos do Claude Code dentro de suas
00:05:11próprias bolhas Incus. Vamos fazer isso agora. Para mostrar como funciona na prática, configurei duas janelas
00:05:16de terminal. Estou lançando nossa primeira instância no slot 1, passando o caminho do workspace para o Claude
00:05:23saber onde salvar os arquivos. E também estou adicionando a flag de rede aberta. Isso é crucial porque
00:05:28permite que o agente acesse a internet, baixe dependências e consulte a API conforme necessário para funcionar.
00:05:35Farei exatamente o mesmo para o slot 2, criando uma espécie de dupla dinâmica.
00:05:40Um agente focado inteiramente no back-end e o outro dedicado à parte do front-end.
00:05:45Para esta demonstração, vou pedir que construam um app de Holocron de Star Wars, uma ferramenta que
00:05:51busca dados de personagens da API SWAPI. Para ficar mais interessante, pedi ao agente de front-end
00:05:57que dê à interface um efeito de holograma azul oscilante, inspirado no visual clássico dos terminais
00:06:04de Star Wars de 1977. E então deixamos eles trabalharem. Alguns minutos depois, vemos que ambos
00:06:10os agentes colaboraram com sucesso no mesmo workspace. Eles criaram tanto o back-end
00:06:16quanto a interface front-end. Agora, vamos abrir o navegador e ver como ficou. Ok, está
00:06:22muito bom. Temos aquele efeito clássico de brilho de holograma de Star Wars. Se eu pesquisar dados sobre
00:06:28Darth Vader, vemos que ele recupera com sucesso. O mesmo para o Yoda. E o mesmo para Luke
00:06:34Skywalker. Este é o poder de orquestrar agentes de IA com segurança, sem nunca expor
00:06:40sua máquina principal a dependências desconhecidas ou bases de código bagunçadas. Agora quero mostrar
00:06:46outro exemplo onde esse tipo de segurança é muito útil. Digamos que você baixou um arquivo
00:06:52e suspeita que ele possa conter malware. Para fins de demonstração, usarei um
00:06:56arquivo de amostra de malware fornecido pelo Instituto EICAR, que costuma ser usado como um
00:07:02arquivo de demonstração simulando um vírus real. Essencialmente o arquivo não faz nada prejudicial,
00:07:09mas contém uma assinatura de malware. Suponha que você tenha esse arquivo,
00:07:14mas não queira descompactá-lo na sua máquina local. É aqui que, novamente, você pode usar
00:07:19o Code on Incus para fazer a extração do arquivo para você. E então, podemos usar o Claude Code para rodar
00:07:25uma análise abrangente sobre o conteúdo desse arquivo. Neste segundo exemplo, iniciei uma nova
00:07:30instância do Colima. Desta vez, estou passando a pasta que contém o arquivo EICAR como workspace,
00:07:37para podermos passá-lo ao Incus. Passei por todo o processo novamente de instalação
00:07:41do Koi e configuração. E agora lançamos um novo agente de IA. O que podemos fazer agora é, em uma
00:07:48janela de terminal separada, enviar o arquivo para a instância Incus. Você faz isso usando o comando
00:07:54“incus file push” e especificando o ID do container daquela instância Koi específica. Após a
00:08:00transferência, posso pedir ao Claude Code para examinar o conteúdo e gerar um relatório de análise
00:08:06detalhado. Pouco tempo depois, vemos que o Claude Code terminou a análise. E, como esperado,
00:08:11ele determinou que este arquivo é completamente seguro e não é malicioso. Ele identificou que
00:08:17este é, de fato, um arquivo de teste de malware EICAR. E detalhou tudo no relatório
00:08:24de análise. Isso é muito legal. Se você é um pesquisador de segurança ou apenas um desenvolvedor que
00:08:29recebe muitos arquivos não confiáveis, pode usar o mesmo processo para inspecioná-los com total segurança,
00:08:34unindo todo o poder analítico do Claude com o escudo impenetrável de um container de sistema Incus.
00:08:40Então é isso, esse é o Code on Incus. Em resumo, há vários outros comandos úteis que esta
00:08:47ferramenta oferece e que não tive a chance de destacar neste vídeo. Como, por exemplo,
00:08:52você pode lançar instâncias com suas próprias imagens personalizadas e gerenciar snapshots e sessões.
00:08:57Dê uma olhada no projeto completo para se aprofundar. Acho que hoje em dia, com tantas
00:09:03ameaças de segurança em cada esquina digital da web, ferramentas como esta realmente ajudam
00:09:09a gerenciar a orquestração de agentes de IA com segurança. E o fato de usar Incus para isso
00:09:16é algo de que sou muito fã. Então, tem o meu selo de aprovação. Mas o que você acha dessa ferramenta?
00:09:21Já testou? Pretende usar? Conta para a gente na seção de comentários abaixo. E pessoal,
00:09:26se acharam este vídeo útil, por favor, deixem seu like clicando no botão abaixo do vídeo.
00:09:31E não se esqueçam de se inscrever no canal para não perderem nossas futuras análises
00:09:36técnicas. Aqui foi o Andris da Better Stack e vejo vocês nos próximos vídeos.