Vor drei Wochen habe ich eine Sandbox veröffentlicht, mit der ich die KI etwas im Schach halten möchte. Die Schutzmechanismen, die Claude Code beispielsweise selber anbietet, schienen mir wenig vertrauenswürdig, da sie meist durch meine Anweisungen an die App wieder aufgehoben werden konnten. Zudem hatte ich ein sehr unsicheres Gefühl, da sensible Informationen wie SSH-Schlüssel oder projektbezogene vertrauliche Daten in .env.local nicht per se dem Zugriff der Tools entzogen waren. 
Als ich mich umsah, was es für Möglichkeiten gab, schienen mir die meisten doch recht komplex zu sein oder sie schränkten meine Arbeitsweise ein, z. B. das Arbeiten in einer Docker-Umgebung. Mir schwebte eher etwas vor, das so einfach wäre wie die Verwendung von .gitignore. Ich machte mich direkt an die Arbeit – ironischerweise mit der KI – einen Käfig für sie zu bauen.
Wir entschieden uns, die Sandbox-Funktionalität von Apples macOS zu nutzen. Im Prinzip mussten die Einschränkungen, die ich in .bxignore angegeben hatte, einfach nur in Anweisungen für die Sandbox übersetzt werden. Ein Merkmal, das mir wichtig war, war, dass ich auch meine Entwicklungsumgebung schützen könnte, da sensible Operationen meist innerhalb der Entwicklungsumgebung stattfinden, in meinem Fall Visual Studio Code.
Schnell stellte sich heraus, dass es mit der Ignore-Datei nicht getan war. Ich fügte noch eine Konfiguration hinzu, mit der auf die Besonderheiten der einzelnen zu nutzenden Programme eingegangen werden konnte. Außerdem konnte ich so mehrere Verzeichnisse freigeben, um an mehreren Projekten gleichzeitig arbeiten zu können. Aus diesem Grund führte ich noch eine ~/.bxconfig.toml ein.
Ich kann nun bx projects eingeben, um meine Entwicklungsumgebung zu starten. Visual Studio Code öffnet sich daraufhin und hat Zugriff auf meine Projekte. In diesen sind wiederum alle sensiblen Daten durch .bxignore geschützt. Global greift außerdem eine Grundeinstellung, die beispielsweise .ssh und andere sensible Bereiche schützt. Weder die IDE noch die darin aufgerufenen Tools, wie z. B. Claude Code, können auf diese Daten zugreifen.
Nach einer Weile beschloss ich, Visual Studio Code nur noch für KI zu nutzen, und installierte parallel das offenere VSCodium für alles, was ich nicht mit KI machen wollte, denn es ist wirklich schwierig, VSCode komplett zu „säubern”.
Natürlich bietet das Ganze keine 100-prozentige Sicherheit, das muss es aber auch nicht. Es bietet genug Schutz, um sich nicht völlig ungeschützt zu fühlen, und die üblichen Arbeitsweisen werden kaum eingeschränkt. Für mich persönlich passt es sehr gut, und ich würde mich freuen, wenn auch andere es nützlich fänden.
Probiert es aus:
brew install holtwick/tap/bx Codeberg holtwick/bx-mac GitHub holtwick/bx-mac
Veröffentlicht am 16. April 2026