Craft Sandbox: обзор и установка opensource-песочницы для AI-агентов | AiManual
AiManual Logo Ai / Manual.
29 Янв 2026 Инструмент

Craft: когда ваш AI-ассистент слишком умный для вашего же блага

Craft — локальная песочница для изоляции AI-ассистентов. Безопасный аналог Cowork с открытым исходным кодом. Установка, сравнение, примеры использования.

Зачем запирать ИИ в клетку?

Вы даете своему AI-агенту команду "почисти папку Downloads". Через секунду он рапортует об успехе. А еще через пять минут вы понимаете, что он удалил не только старые торренты, но и три незаконченных проекта, налоговую отчетность и свадебные фото. Знакомый сценарий?

В 2026 году проблема безопасности локальных ассистентов стала острее, чем когда-либо. Модели вроде Llama 3.3 или Qwen2.5-Coder стали умнее, наглее и способны на абсолютно непредсказуемые действия с вашими файлами. Решение — песочница. Не та, из детства, а цифровая. Craft именно это и предлагает.

Если вы уже экспериментировали с Open Cowork, то Craft покажется вам его параноидальным братом. Там где Open Cowork дает свободу, Craft строит бетонные стены.

Craft под микроскопом: что внутри коробки?

Craft (иногда его называют Onyx App в ранних коммитах) — это не просто обертка для LLM. Это полноценная среда изоляции, написанная на Go и Rust, которая создает виртуальную файловую систему для каждого агента. Проект стартовал в середине 2025 года как ответ на растущие инциденты с "озорными" ассистентами.

Фичи, которые меняют правила игры

  • Полная изоляция на уровне файловой системы. Агент работает в chroot-окружении или легковесной VM (Kata Containers). Он физически не может дотянуться до ваших ~/Documents.
  • Контроль сетевого доступа. Белый список доменов. Хочешь отправить запрос на api.github.com? Докажи необходимость.
  • Песочница для кода. Запуск Python, Node.js или Bash скриптов происходит в одноразовых контейнерах. Скрипт завершился — контейнер испарился.
  • Поддержка всех популярных бэкендов: Ollama (с актуальными Llama 3.3, DeepSeek-Coder-V2), vLLM, даже OpenAI-совместимые API, но с локальной прокси-прослойкой.
  • Визуальный монитор активности. Веб-интерфейс, где в реальном времени видно, какие файлы читает агент, какие команды выполняет и куда лезет в сеть.
💡
В версии 1.2.0 (декабрь 2025) разработчики добавили функцию "теневого клонирования". Агент думает, что работает с реальной папкой проекта, но на деле манипулирует ее идеальной копией. Все изменения можно одним кликом применить или откатить.

Craft vs. Остальной мир: битва песочниц

В 2026 году выбор инструментов для локального AI велик. Но почти все они жертвуют безопасностью ради удобства. Вот как Craft выглядит на фоне конкурентов.

Инструмент Философия Изоляция Сложность
Craft "Не доверяй никому, особенно ИИ" Максимальная (chroot + сетевой фильтр) Средняя, требует настройки
Open Cowork "Приватность и производительность" Базовая (Docker, опционально) Низкая
Claude Cowork (официальный) "Удобство и интеграция" Минимальная (доверие к облаку) Очень низкая
Самописные скрипты "Я все контролирую" (иллюзия) Отсутствует или дырявая Высокая, и это еще мягко сказано

Craft не пытается быть универсальным рабочим местом, как Tabby или Continue.dev. Его цель — дать вам спокойный сон, когда вы поручаете агенту рефакторинг кода в 3 часа ночи.

Сценарии, где Craft спасает репутацию (и данные)

Теория — это хорошо, но давайте на реальных кейсах. Вернее, на тех кейсах, которые могли бы стать реальными, если бы не Craft.

1. Анализ подозрительного скрипта

Вам пришел Python-файл от незнакомого контрибьютора. Вместо того чтобы запускать его у себя, вы загружаете файл в песочницу Craft и просите агента (например, Qwen2.5-Coder) разобраться, что он делает. Агент может его выполнить, проанализировать, и даже если скрипт содержит `rm -rf /`, сбой произойдет только внутри изолированной среды.

2. Массовое переименование файлов с ИИ

Нужно intelligently переименовать 1000 фотографий. Вы даете агенту доступ к папке с копиями этих фото в Craft. Он предлагает странные имена, вы их правите, и только после финального одобрения изменения применяются к реальным файлам. Никаких случайных "IMG_2025" -> "пустое_имя.jpg".

3. Тестирование агента на уязвимости

Вы написали своего ИИ-агента для бизнеса и хотите проверить, не сломает ли он что-нибудь. Запускаете его в Craft с тестовой базой данных и смотрите в мониторе, не лезет ли он куда не надо. Это дешевле, чем нанимать пентестера.

Главный парадокс Craft: чем больше вы его ограничиваете, тем смелее экспериментируете. Зная, что агент не сожжет систему, вы даете ему более сложные и творческие задачи.

Установка: не так страшно, как кажется

Разработчики понимают, что система безопасности, которую сложно настроить, никому не нужна. Поэтому базовый вариант ставится за пять минут. Расширенный — за двадцать.

1 Быстрый старт с Docker (для нетерпеливых)

Этот способ подойдет, если у вас уже крутится Ollama с любимой моделью.

git clone https://github.com/onyx-app/craft.git
cd craft
docker-compose -f docker-compose.quickstart.yml up -d

Через минуту интерфейс будет доступен на http://localhost:5173. По умолчанию Craft попытается найти Ollama на localhost:11434. Если она у вас где-то еще, нужно поправить конфиг.

2 Настройка изоляции (для параноиков)

Здесь начинается магия. Файл конфигурации `craft.yaml` в корне проекта.

sandbox:
  engine: "kata" # или "gvisor", "chroot"
  read_only_paths:
    - /etc/ssl/certs
  writable_paths:
    - /tmp/craft_workspace

network:
  policy: "deny"
  allowed_hosts:
    - "api.github.com"
    - "pypi.org"

llm:
  backend: "ollama"
  model: "llama3.3:latest" # Укажите свою актуальную модель на 2026 год

Kata Containers обеспечивают аппаратную виртуализацию — самый надежный, но и самый тяжелый вариант. Для большинства задач хватит и `gvisor`.

3 Первый запуск и ловушка для агента

Откройте веб-интерфейс, создайте нового агента. Дайте ему тестовое задание: "Найди все файлы с расширением .txt в корневой файловой системе и выведи их содержимое".

И наблюдайте. В мониторе активности вы увидите, как агент упирается в стену изолированной FS и возвращает пустой результат. Поздравляю, ваша система в безопасности.

Важный нюанс на 2026 год: Craft пока не имеет готовых бинарников для Windows ARM. На Apple Silicon и Linux x86_64 все летает. Разработчики обещают поддержку Windows к версии 2.0.

Кому стоит смотреть в сторону Craft?

  • Разработчикам, которые тестируют AI-агентов. Особенно если эти агенты умеют выполнять shell-команды. Одна ошибка в промпте — и прощай, production-сервер.
  • Командам, внедряющим ИИ-агенты для бизнеса. Craft можно развернуть на внутреннем сервере и давать доступ сотрудникам без риска для корпоративных данных.
  • Исследователям, работающим с непроверенными моделями. Скачали новую крутую LLM с Hugging Face? Запустите ее сначала в Craft, посмотрите, не пытается ли она снести систему.
  • Параноикам (это комплимент). Тем, кто даже Offloom кажется недостаточно приватным.

А вот если вам нужен просто быстрый и удобный локальный ассистент для повседневных задач — возможно, Open Cowork или даже проверенный Ollama с простым интерфейсом будут лучшим выбором. Craft добавляет накладные расходы, и это плата за безопасность.

Что будет дальше? (Спойлер: больше изоляции)

Roadmap проекта на 2026 год включает интеграцию с аппаратными TPM-модулями для криптографической верификации всего, что делает агент, и создание "детских режимов" с заранее заданными профилями безопасности (например, "аналитик", которому можно только читать CSV, но нельзя писать).

Тренд ясен: по мере того как AI-агенты становятся способнее, инструменты для их контроля должны становиться жестче. Craft — один из первых, кто это понял и предложил не просто игрушку, а полноценный полигон для опасных экспериментов. И если вы до сих пор запускаете незнакомые LLM с полным доступом к своему домашнему каталогу, самое время задуматься. Ваши свадебные фото этого заслуживают.

На главную