Back to sh0
sh0

AI Sandbox: dándole a Claude un contenedor seguro para depurar tus aplicaciones

Construimos un AI sandbox que da a Claude acceso root a un contenedor Alpine con curl, git, node y python -- para que pueda realmente depurar tus despliegues en vez de solo adivinar.

Juste A. Gnimavo (Thales) & Claude | March 26, 2026 4 min sh0
EN/ FR/ ES
aisandboxdockermcpsecuritydebuggingcontainers

Hay un problema fundamental con la asistencia DevOps por IA: la IA no puede tocar nada. Puede leer tus logs. Puede verificar tus métricas. Puede decirte "la aplicación probablemente se está cayendo por una variable de entorno faltante." Pero no puede verificar realmente esa hipótesis. No puede hacer curl al endpoint de salud de tu aplicación. No puede inspeccionar el sistema de archivos dentro de tu contenedor. No puede ejecutar npm ls para verificar conflictos de dependencias.

Decidimos arreglar eso. El 25 de marzo de 2026, construimos la Fase 5 del servidor MCP: un contenedor sandbox de IA que da a Claude acceso root a un entorno Linux real, conectado a la red de tu aplicación, con herramientas de depuración preinstaladas. No una simulación. No una vista de solo lectura. Un contenedor Alpine escribible donde Claude puede instalar paquetes, clonar repositorios, compilar código y ejecutar comandos -- con las suficientes barreras de protección para prevenir que destruya el host.

La decisión de diseño: Acceso completo, lista de bloqueo mínima

Elegimos una filosofía de lista de bloqueo mínima en lugar de una lista de permitidos. El sandbox bloquea exactamente cuatro categorías de comandos: rm -rf /, mkfs, shutdown/reboot y fork bombs. Todo lo demás está permitido.

Cada sandbox es un contenedor Alpine 3.19 con: 1 GB de memoria, 2 núcleos CPU, usuario root, timeout de 5 minutos por comando, límite de salida de 100 KB y modo de red container:{app_id} que comparte localhost con el contenedor de la aplicación.

Los paquetes preinstalados cubren los escenarios de depuración más comunes: curl, wget, bind-tools, netcat, jq, git, nodejs, npm, python3, pip, bash.

Las cinco herramientas MCP

La Fase 5 añadió cinco herramientas al servidor MCP:

  • sandbox_exec_command (riesgo escritura) -- Ejecuta cualquier comando shell dentro del contenedor sandbox
  • sandbox_read_file (riesgo lectura) -- Lee un archivo del sandbox o de los volúmenes montados de la aplicación
  • sandbox_list_processes (riesgo lectura) -- Ejecuta ps aux dentro del contenedor de la aplicación
  • sandbox_check_connectivity (riesgo lectura) -- Prueba conectividad de red desde el sandbox
  • sandbox_status (riesgo lectura) -- Inspecciona el contenedor sandbox mismo

Hooks de ciclo de vida

Los sandboxes se gestionan automáticamente a través de hooks de ciclo de vida de la aplicación. La función ensure_sandbox es idempotente -- si el sandbox ya existe y está ejecutándose, retorna inmediatamente. Si existe pero está detenido, lo reinicia. Si no existe, lo crea.

Por qué esto importa: Depurar haciendo, no adivinando

Sin un sandbox, una sesión de depuración con IA se ve así:

Usuario: Mi aplicación Node está devolviendo errores 502. Claude: Basándome en los logs de despliegue, la aplicación inició exitosamente. El 502 podría ser causado por: (1) la aplicación escuchando en el puerto incorrecto, (2) un timeout de health check, (3) un problema de dependencias. ¿Podrías verificar package.json?

Con un sandbox:

Usuario: Mi aplicación Node está devolviendo errores 502. Claude: Déjame verificar. [llama get_app_details] La aplicación está configurada en el puerto 3000. [llama sandbox_exec_command: curl -v http://localhost:3000/] La conexión fue rechazada -- nada escucha en el puerto 3000. [llama sandbox_exec_command: curl -v http://localhost:8080/] El puerto 8080 devuelve un 200. Tu aplicación está escuchando en 8080 pero sh0 está enrutando al 3000. Actualiza el puerto en tu sh0.yaml o establece la variable de entorno PORT en 3000.

La diferencia es la diferencia entre una sugerencia y un diagnóstico. El sandbox convierte a Claude de un adivinador bien informado en un depurador real que puede reproducir y verificar problemas.

Consideraciones de seguridad

Dar acceso root a una IA en un contenedor suena alarmante. He aquí por qué es seguro:

  1. Aislamiento: El sandbox es un contenedor separado. Comparte el namespace de red de la aplicación pero no su sistema de archivos, procesos o memoria.
  2. Límites de recursos: 1 GB de RAM y 2 núcleos CPU.
  3. Sin acceso al host: Sin capacidades privilegiadas, sin montajes del host, sin acceso al socket Docker.
  4. Validación de comandos: La lista de bloqueo previene comandos que podrían dañar el sistema de archivos del contenedor.
  5. Timeout: Límite de ejecución de 5 minutos por comando.
  6. Límite de salida: Tope de 100 KB.
  7. Imposición de alcance: La herramienta sandbox_exec_command está clasificada como riesgo write.

La posición filosófica es simple: el sandbox es menos peligroso que el acceso SSH, y ya damos a los usuarios acceso SSH a través del terminal del dashboard.


Siguiente en la serie: De cargo build a un servidor en vivo: el pipeline de release -- compilaciones Docker multi-etapa, batallas de compilación cruzada y el primer despliegue a producción en demo.sh0.app.

Share this article:

Responses

Write a response
0/2000
Loading responses...

Related Articles

Thales & Claude deblo

El segfault que no era nuestro: cómo lanzamos el tracking del día de lanzamiento de Déblo en la noche del despliegue — analítica condicionada por entorno, atribución nativa de las tiendas, tres bugs que el compilador no podía ver y un build sin memoria que diagnosticamos en lugar de revertir

El 1 de julio de 2026 — el día del lanzamiento — el riesgo nunca fue el texto. Era que las campañas de pago salieran a ciegas. Este es el build-log de cómo desplegamos la analítica y la atribución de instalaciones de Déblo como código en la noche del lanzamiento: etiquetas GA4, Meta y LinkedIn condicionadas por entorno que se despliegan sin riesgo antes de que existan las cuentas publicitarias; atribución enrutada por los canales nativos de las tiendas en lugar del pixel web; una auditoría adversarial que atrapó tres bugs que tanto el typechecker como el build dieron por buenos; y un despliegue en Easypanel que hizo segfault en el primer build — que demostramos que no era nuestro código antes de tocar una sola línea.

18 min Jul 1, 2026
deblolaunch-dayclaude-opus-4.8claude-code +26
Thales & Claude thales

Trece agentes, cuarenta y tres minutos: la primera sesión Workflow de Claude Fable 5, y lo que un script de orquestación determinista cambia en los builds multiagente

Un prompt, trece agentes, cuarenta y tres minutos: la primera sesión de producción con Claude Fable 5 y la herramienta Workflow de Claude Code entregó un sitio web de producción completo de siete páginas más un endpoint backend de captura de leads, en un solo commit. La bitácora: el script de orquestación determinista, el patrón de inyección de contrato entre fases, la economía por agente del fan-out paralelo, y el suspenso del límite de sesión que el diario de reanudación convirtió en un no-evento.

23 min Jun 12, 2026
claude-fable-5claude-codeworkflow-toolmulti-agent +10
Thales & Claude casp

La puerta detectó su propia deriva: un día dentro de CASP con Claude Fable 5

Le entregamos al modelo Claude más autónomo hasta la fecha las llaves de CASP — la CLI open source que mantiene honestos a los agentes de código IA frente a git — con la autoridad de rechazar nuestra propia roadmap. Rechazó cinco cosas, encontró dos bugs reales en el validador al hacerle dogfooding, los corrigió bajo una puerta de dos auditores, y dejó casp check completamente en verde sobre su propio repositorio por primera vez. CASP 0.3.0 es el resultado.

15 min Jun 10, 2026
caspzerosuiteworkflowai-cto +9