Concept

Les agents AI comme Claude Code exécutent des commandes shell dans votre terminal avec les mêmes permissions que vous. Ils peuvent lire vos clés SSH, vos tokens, vos fichiers de configuration, et accéder à l'intégralité de votre système de fichiers. Même avec des garde-fous dans le prompt, un agent peut accidentellement (ou via une injection de prompt) accéder à des fichiers sensibles en dehors du projet.

parcai résout ce problème en créant un sandbox léger autour de l'agent AI sur macOS. L'agent travaille sur une copie isolée du projet — jamais sur l'original : 1. Clone APFS copy-on-write — parcai crée un clone APFS (cp -c) du répertoire projet : copie instantanée à coût zéro. Toutes les modifications de l'agent sont écrites dans le clone, l'original reste intact. 2. sandbox-exec natif macOS — parcai utilise sandbox-exec avec un profil généré dynamiquement. Pas de VM, pas de Docker, pas de couche de virtualisation. L'overhead est quasi nul. 3. Secret masking via proxy MITM — Un proxy MITM local intercepte les requêtes réseau. Les vrais tokens et credentials sont remplacés par des faux dans le sandbox ; le proxy les échange contre les vrais au moment de l'appel API. 4. Réseau contrôlé avec filtrage par domaine — Le réseau reste activé par défaut avec support d'allowlist et blocklist par domaine. Il peut être désactivé complètement avec --no-network.

parcai suit un workflow en trois phases : 1. Clonage — parcai crée un clone APFS copy-on-write du répertoire projet et lance un shell confiné dans cette copie. 2. Résumé — À la sortie du sandbox, parcai compare la copie avec l'original via rsync --dry-run et affiche un résumé des modifications (fichiers ajoutés, modifiés, supprimés). 3. Confirmation — Vous choisissez d'appliquer ou non les changements au projet réel. Avec --apply, les changements sont appliqués automatiquement. Avec --discard, ils sont rejetés sans confirmation.

Contrairement à Docker ou aux machines virtuelles, parcai : • Ne nécessite aucune installation supplémentaire (pas de daemon, pas d'image) • Démarre instantanément (pas de boot, pas de pull d'image) • N'a pas d'overhead de performance mesurable • Utilise directement les primitives de sécurité natives de macOS • Partage le même environnement (même shell, mêmes outils installés) • Protège l'original — même un rm -rf . ne détruit que la copie C'est l'approche la plus légère possible pour isoler un processus tout en conservant un environnement de développement identique.