**clawk** 是一款专注于安全的工具,旨在隔离且一次性的 Linux 虚拟机中运行自主编码智能体(如 Claude Code)。
与其直接在宿主机上运行智能体——这会迫使你在频繁的权限提示或危险的“跳过权限”标志之间做选择——clawk 为每个项目提供了独立的沙箱。这在智能体与你的文件、钥匙串及系统之间建立了严格的边界。
**主要功能包括:**
* **真正的隔离:** 智能体在拥有独立内核的虚拟机中运行。仅挂载的文件和允许的网络连接才可被访问。
* **便捷性:** 通过一条命令(`clawk`)即可启动沙箱。它使用 OCI 镜像作为根文件系统(rootfs),无需 Docker 守护进程,并通过转发 `ssh-agent` 而非复制密钥来管理凭据。
* **一次性工作流:** 可轻松销毁并重建虚拟机;你的代码和智能体对话历史将保留在宿主机上。
* **网络:** 出站流量默认通过白名单拦截,防止未经授权的数据外泄。
clawk 专为 macOS(Apple Silicon)设计,目前处于 1.0 版本前的开发阶段。对于希望赋予智能体完全系统自主权,同时又不想危及宿主机环境安全的开发者来说,这是一个理想的解决方案。
```
发布
登录
注册
发布
A Green Being
@a_green_being
回复 @XBToshi
好吧,Grok 已经把我整个用户目录上传到了 xAI 的服务器上。里面包含我的 SSH 密钥、密码管理器数据库、文档、照片、视频,所有东西……
上午 9:25 · 2026年7月13日
1.18万次浏览
88
121
195
13
阅读 8 条回复
还没加入 X?
立即注册,获取专属你的个性化时间轴!
使用 Google 注册
使用 Apple 注册
创建账号
注册即表示你同意我们的服务条款和隐私政策,包括 Cookie 使用。
相关人物
A Green Being
@a_green_being
关注
热门趋势
条款 · 隐私 · Cookie · 无障碍 · 广告信息 · 更多
© 2026 X Corp.
别错过正在发生的事
X 上的用户总是第一时间获知信息。
登录
注册
```
在使用 Photoshop 数十年后,一位资深用户正式退订了该软件。他指出,这款软件的质量大幅下降,用户体验也令人沮丧。曾经使用起来令人愉悦的软件,如今已演变成一个臃肿、充满漏洞且具有侵入性的生态系统。
该用户详细列举了一系列持续出现的技术故障,包括更新失败、首选项被重置,以及将原生用户界面控件替换为缓慢的网页版界面。此外,Adobe Creative Cloud 应用程序的行为开始像“恶意软件”,会静默修改系统文件,导致软件难以管理或卸载。
向 Creative Cloud 的转型,加上现代设计工作流不再过度依赖 Photoshop 专有工具的现实,让这位用户觉得订阅已毫无必要。最后一根稻草是其故意设置障碍、极其繁琐的取消订阅流程,以及从系统中彻底清除 Adobe 这些“痛苦集合体”的艰难过程。
在迁移到 Apple 的 Creator Studio 和 Pixelmator Pro 后,该用户感到如释重负。尽管他怀念 Photoshop 的辉煌岁月,但他认为这款软件早已过了巅峰期,不再值得用户承受其带来的技术和管理负担。
本文详细介绍了一种高性能内核级防火墙的开发过程。该防火墙利用 eBPF 技术实现第七层(HTTP/2)的决策功能,例如屏蔽特定的 User-Agent。
传统防火墙通常运行在用户空间,由于昂贵的数据包拷贝和上下文切换,会产生毫秒级的延迟。为了绕过这一问题,作者通过 XDP(eXpress Data Path)将决策引擎移至内核。通过使用 Aho-Corasick 自动机,他们确保了检测逻辑在规则数量增加时仍能保持恒定的处理速度,从而实现每秒数百万次的决策,且延迟控制在微秒级以内。
主要功能包括:
* **可编程性:** 安全策略以 JavaScript 编写,经编译后推送到内核,无需重启或重新部署。
* **高级解析:** 与其他禁用 HPACK 头部压缩的内核方案不同,本系统通过追踪动态表,确保了对不可信互联网流量解析的准确性。
* **可观测性:** 系统为数据包处理流水线的每个阶段提供实时指标,包括分片处理和规避尝试的监测。
该防火墙目前已在生产环境中部署,证明了在内核内安全高效地实现复杂的第七层检测是可行的,其性能远超传统的用户空间代理。