claude-sandbox — Ejecuta Claude Code en un Entorno Docker Aislado

Claude Code tiene un flag llamado --dangerously-skip-permissions que le permite trabajar de forma autónoma sin pedir confirmación en cada acción. Es extremadamente productivo para tareas largas, pero ejecutarlo en tu máquina host significa que cualquier error ocurre directamente en tu sistema — un archivo eliminado por error, un comando inesperado, o un script que hace más de lo previsto.

claude-sandbox envuelve tu sesión en un contenedor Docker. Las mismas herramientas, las mismas credenciales, el mismo flujo de trabajo — pero con el radio de impacto limitado por Docker.

Instalación

git clone git@github.com:aeanez/claude-sandbox.git
cd claude-sandbox
make install
source ~/.bashrc   # o ~/.zshrc en macOS

Los tres comandos

sandbox      # shell interactiva dentro del contenedor en tu directorio actual
yolo         # ejecuta claude --dangerously-skip-permissions, retoma la última sesión
yolonew      # igual que yolo pero siempre inicia una sesión nueva

yolo es el principal. Te mete en Claude Code corriendo de forma autónoma dentro de un contenedor donde lo único en riesgo son los archivos de tu directorio actual y los demás paths montados explícitamente.

[!warning] Este sandbox prioriza la conveniencia sobre el aislamiento. Limita el radio de impacto pero no es un límite de seguridad absoluto. Las claves SSH y las credenciales de Claude se montan en el contenedor (SSH de solo lectura, Claude con lectura y escritura). No lo uses con código no confiable — para eso, el devcontainer oficial de Anthropic con aislamiento de red es la herramienta correcta.

Qué comparte con el host

Claude-sandbox monta selectivamente cosas desde tu host para que la sesión se sienta fluida:

• Claves SSH — solo lectura (las operaciones de git funcionan normalmente)
• Git config — solo lectura (los commits usan tu identidad)
• Credenciales de AWS — lectura y escritura (el refresh de tokens SSO funciona dentro del contenedor)
• Sesión de Claude — lectura y escritura (continúa la misma sesión que en el host)
• Directorio actual — lectura y escritura (tus archivos del proyecto)

Todo lo demás es un tmpfs efímero. Los archivos escritos dentro del contenedor en paths de $HOME que no estén en esta lista desaparecen cuando el contenedor termina.

[!note] En Linux y WSL2 el arranque es instantáneo — los binarios del host se montan directamente en el contenedor, sin imagen que construir. En macOS se construye una imagen Docker una vez durante la instalación y queda en caché.

Integración con Diffchestrator

Si usas Diffchestrator, el atajo Alt+D, Y lanza una sesión yolo para el repo seleccionado. Alt+D, Alt+Y lanza yolonew. No necesitas cambiar a una terminal.

También puedes configurar variables de entorno por proyecto creando un archivo .sandbox.env en el directorio del proyecto — se carga automáticamente cuando lanzas el sandbox desde ese directorio.

Descargarlo: github.com/aeanez/claude-sandbox — Linux, WSL2 y macOS.