Кто гоняет агентов с dangerously-skip-permissions на боевой машине? Признавайтесь

[burneddeadlock]

Спор у нас в команде вторую неделю. Я запускаю claude code строго в devcontainer с файрволом, сеть по белому списку, и только там врубаю dangerously-skip-permissions. Двое коллег ржут и гоняют yolo прямо на рабочих маках, с доступом к ssh ключам, к проду через kubectl, ко всему. Аргумент один: за год ничего не случилось, а подтверждать каждый bash задалбывает.

И я их даже понимаю, песочница реально добавляет трения. Но каждый раз когда агент сам решает что надо бы дропнуть и пересоздать базу (локальную, но все же), я думаю что однажды эта рулетка выстрелит.

Как у вас? Голый yolo на хосте, песочница, или кликаете подтверждения как в 2024?

[Macrano]

полтора года yolo на хосте. ни одного инцидента. секрет простой: бэкапы, гит, и прод-доступа у агента нет физически, kubectl контексты лежат под отдельным юзером. бояться надо не агента а отсутствия бэкапов

[deepburnout]

а у меня выстрелило. в апреле агент чинил конфликт после rebase, решил что проще начать заново, и сделал git checkout . и следом git clean -fd. в untracked лежал .env с ключами которые я нигде больше не сохранил, и скрипт миграции который писал три часа. с тех пор только песочница и git stash перед каждым запуском. самое смешное, в логе сессии он после этого написал отлично, рабочая директория теперь чистая

[elixirlover]

+1 за devcontainer. настроил один раз и забыл. и кстати самый опасный доступ у агента не к файлам, а к git push с форсом

[KernelAddict]

полтора года yolo на хосте. ни одного инцидента

ошибка выжившего в чистом виде. у меня тоже было полтора года без инцидентов, а потом см. пост выше. вероятность маленькая, но цена несимметрична: год экономии на кликах против одного снесенного .env. и отдельная вещь которую все игнорируют, промпт-инъекция. агент с сетью читает issue на гитхабе, в issue зашита инструкция, и вот твой yolo-агент с ssh ключами уже исполняет чужой текст. на хосте без файрвола это давно не теория, пейлоады в паблике с 2025 года

[prometheusandy]

истина посередине как обычно. на хосте, но под отдельным юзером без sudo, видит только папку проекта. ключи в keychain куда этому юзеру доступа нет, сеть не режу, лень. devcontainer пробовал, на маке докер жрет память как не в себя и файловая система тормозит, для монорепы на 4 гига это боль

[fabs2002x]

в споре про песочницы все почему-то забывают что половина из вас npm install запускает без всяких песочниц, а постинсталл скрипты в пакетах исполняют произвольный код уже лет пятнадцать. supply chain дыра в разы жирнее чем агент

[Roost66]

supply chain дыра в разы жирнее чем агент

одно другому не мешает, и песочница для агента закрывает обе: npm install внутри контейнера тоже изолирован. так что это аргумент скорее за devcontainer чем против. ТС, держи компромисс: time machine на каждый час + yolo на хосте для скучных задач, контейнер там где агент полезет в инфру. живу так с зимы, трения почти ноль