#Sandboxing — Môi Trường Cách Ly
#Tổng Quan
Antigravity tích hợp Sandboxed Environment (Môi trường cách ly) để đảm bảo tích hợp công cụ cục bộ an toàn. Trong môi trường sandbox, Agent có thể thực thi lệnh terminal và chỉnh sửa file trong một không gian cách ly khỏi hệ thống chủ (host system).
#Cách Hoạt Động
#Nguyên Lý Sandbox
Sandbox tạo ra một vùng chứa an toàn (isolated container) nơi Agent hoạt động. Bên trong sandbox:
- Agent có thể chạy lệnh terminal tự do
- Agent có thể đọc/ghi file trong phạm vi workspace
- Agent không thể truy cập hệ thống host, dữ liệu cá nhân hoặc tài nguyên mạng ngoài sandbox
#Giới Hạn
| Hành Động | Trong Sandbox | Ngoài Sandbox |
|---|---|---|
| Chạy lệnh terminal | ✅ Được phép | ⚠️ Theo cấu hình |
| Chỉnh sửa file workspace | ✅ Được phép | ✅ Được phép |
| Truy cập file hệ thống | ❌ Bị chặn | ⚠️ Tùy cấu hình |
| Truy cập dữ liệu cá nhân | ❌ Bị chặn | ❌ Bị chặn |
| Truy cập mạng ngoài | ❌ Bị chặn | ⚠️ Theo allowlist |
#Audit Trail
Mọi hành động của Agent đều được ghi log để đánh giá sau:
- Lệnh terminal đã chạy
- File đã tạo/sửa/xóa
- Tài nguyên đã truy cập
#Khuyến Nghị Bảo Mật
Để tăng cường bảo mật, nên:
#1. Sử Dụng Development Containers
Chạy Antigravity bên trong Dev Containers (container chuyên dụng cho phát triển) để cách ly hoàn toàn.
#2. Máy Ảo Dùng Một Lần (Disposable VMs)
Sử dụng máy ảo dùng một lần cho các tác vụ rủi ro cao — sau khi hoàn thành, xóa VM.
#3. Tài Khoản Quyền Thấp
Chạy phiên Antigravity dưới tài khoản người dùng riêng với quyền hạn tối thiểu trên hệ điều hành.
#Lưu Ý Về Bảo Mật
⚠️ Cảnh báo: Mặc dù sandbox cung cấp lớp bảo vệ tốt, không có giải pháp bảo mật nào là tuyệt đối. Các liên kết tượng trưng (symbolic links) trong một số trường hợp có thể vượt qua sandbox. Luôn tuân thủ các khuyến nghị bảo mật ở trên cho môi trường production.
#Kết Hợp Với Strict Mode
Để bảo mật tối đa, kết hợp Sandbox + Strict Mode:
- Sandbox cách ly môi trường thực thi
- Strict Mode kiểm soát mọi hành động cần duyệt
- Cùng nhau tạo ra môi trường an toàn nhất cho Agent