Guia de Segurança Claude Code: Bloqueando Abusos de Privilégio de Agentes de IA com Sandbox Incus

A era em que agentes de IA digitam comandos diretamente no meu terminal e modificam arquivos chegou. O Claude Code da Anthropic é inovador. No entanto, essa inovação é uma faca de dois gumes. Executar uma IA com privilégios totais no seu sistema é, do ponto de vista da engenharia de segurança, como plantar a semente de um desastre gigantesco.

Um simples erro ou um único fenômeno de alucinação pode expor chaves privadas .ssh ao mundo exterior ou vazar credenciais da AWS armazenadas em variáveis de ambiente. Isso não é uma hipótese teórica, mas uma ameaça real. A solução é clara: você deve isolar o agente de IA. É por isso que você precisa do Incus, que oferece segurança em nível de sistema além do simples isolamento do Docker.

---

Ambiente de Execução do Agente de IA: Análise de Risco de Segurança

O local onde você executa o agente de IA determina o sucesso ou o fracasso da segurança dos seus dados. Executá-lo diretamente no terminal local é, na prática, o mesmo que deixar a porta da frente de casa aberta.

Item de Comparação	Terminal Hospedeiro	Container Docker	Container de Sistema Incus
Limite de Isolamento	Nenhum (Herança de privilégios)	Isolamento em nível de processo	Isolamento de sistema em nível de kernel
Exposição de Secrets	Muito Alta	Baixa	Muito Baixa
Persistência de Estado	Permanente	Volátil	Permanente
Gestão de Privilégios	Exposição de privilégios do usuário	Risco de abuso de Root	Modo não privilegiado forçado

De acordo com um relatório de segurança publicado em 2024, mais de 60% dos casos de abuso de privilégios por agentes autônomos originaram-se de configurações inadequadas de sandbox. O Docker é leve, mas mostra limitações quando o agente precisa interagir com serviços do sistema ou gerenciar dependências de pacotes complexas. Por outro lado, o Incus oferece um ambiente de sistema operacional independente semelhante a uma máquina virtual (VM), mas com muito menos overhead.

---

Por que Incus e não Docker?

O motivo pelo qual engenheiros de segurança sêniores escolhem o Incus em vez do Docker é claro: o Docker é uma ferramenta para implantar aplicações, não uma prisão para conter agentes não confiáveis.

1. Utilização de Namespaces de Usuário via Modo Não Privilegiado

O cerne do Incus são os Namespaces de Usuário (User Namespaces). Dentro do container, parece que você tem privilégios root (UID 0), mas no sistema hospedeiro real, esses privilégios são mapeados para um usuário de número alto (ex: UID 1.000.000) sem qualquer permissão. Mesmo que a IA escape do container, ela será apenas um usuário comum desconhecido no sistema hospedeiro.

2. Fornecimento de Ambiente de Desenvolvimento Permanente

Os containers Docker perdem dados quando são excluídos. No entanto, agentes como o Claude Code precisam lembrar o contexto de tarefas anteriores e as ferramentas instaladas. Como o Incus é um container de sistema, todos os estados são preservados mesmo ao desligar e ligar o container. É como fornecer um cérebro contínuo para o agente.

---

Manual de Implementação Incus para Usuários macOS

Como o Incus utiliza recursos do kernel Linux, ele não pode ser executado diretamente no Mac. Em vez disso, usamos o Colima, uma camada leve de virtualização Linux, como ponte.

Passo 1: Preparação da Infraestrutura

Primeiro, instale as ferramentas necessárias e aloque recursos adequados para tarefas de IA. Se não fornecer CPU e memória suficientes, a velocidade de raciocínio do agente cairá drasticamente.

bash brew install colima incus colima start --cpu 4 --memory 8 --runtime incus --network-address

Passo 2: Configuração de Conexão Remota

Conecte o servidor Incus dentro da VM Colima para que possa ser controlado pelo terminal do Mac.

1. Entre com colima ssh e execute sudo incus admin init --auto.
2. Use o token gerado para registrar o servidor no Mac com incus remote add colima-vm <IP>.

Passo 3: Solução de Problemas de Rede

Acesso à internet frequentemente é bloqueado. Isso geralmente acontece porque ambientes com Docker instalado alteram a política do iptables para DROP. Você deve abrir o caminho com os seguintes comandos:

bash sudo firewall-cmd --zone=trusted --change-interface=incusbr0 --permanent sudo firewall-cmd --reload

---

Cenários de Ameaças Reais e Princípios de Defesa

Vamos verificar através de cenários específicos como o Incus protege o sistema quando um agente de IA se torna malicioso ou é hackeado.

Cenário: Tentativa de Roubo de Variáveis de Ambiente

O agente executa printenv alegando estar depurando, ou uma biblioteca maliciosa tenta capturar chaves AWS na memória.

• Defesa do Incus: O container está completamente isolado das variáveis de ambiente do hospedeiro. Informações que não foram injetadas diretamente pelo usuário são impossíveis de serem acessadas pelo agente, não importa o que aconteça.

Cenário: Tentativa de Roubo de Chaves SSH

Um script varre o caminho ~/.ssh/id_rsa para enviá-lo externamente.

• Defesa do Incus: Containers não privilegiados não podem acessar o sistema de arquivos do hospedeiro. Mesmo que uma pasta específica seja montada, o acesso de leitura será negado graças ao mapeamento de UID mencionado acima.

---

Segurança não é um obstáculo à produtividade

A adoção de IA sem uma premissa de segurança é uma dívida técnica que retornará com custos mais altos no futuro. Só porque a produtividade é tentadora, não podemos entregar as chaves de casa integralmente à IA. O sandbox Incus é o cinto de segurança mínimo que um desenvolvedor na era da IA deve possuir.

Interrompa imediatamente o Claude Code em execução no seu terminal local. Migrar para um ambiente isolado Incus é a maneira mais segura de proteger seu código, seus ativos e sua carreira. Experimente construir seu próprio laboratório de desenvolvimento seguro hoje mesmo com o comando colima start --edit.