Code on Incus: AI ajanlarına izole, tam donanımlı kendi makinesi
Code on Incus, AI kodlama ajanlarını izole sistem konteynerlerinde çalıştırıp gerçek zamanlı tehdit tespitiyle host makineyi koruyan açık kaynak araç.
Mensfeld tarafından geliştirilen açık kaynaklı Code on Incus (COI), Claude Code, opencode ve pi gibi AI kodlama ajanlarını sistem konteynerleri içinde çalıştırarak host makineden tamamen izole ediyor. Her ajan root erişimi, systemd, Docker ve paket yönetimi gibi tam yetkilerle çalışabilirken, SSH anahtarları ve Git token'ları gibi kimlik bilgileri açıkça mount edilmediği sürece konteyner içine hiç sızmıyor.
Araç, nftables tabanlı kernel seviyesi izleme ile reverse shell, C2 bağlantıları, veri sızıntısı ve kimlik bilgisi taraması gibi şüpheli davranışları gerçek zamanlı tespit ediyor; HIGH seviye tehditlerde otomatik duraklatma, CRITICAL seviyede otomatik sonlandırma yapıyor. Bu, paralel AI ajanları çalıştıran ve host sistemlerini korumak isteyen geliştiriciler için manuel müdahale gerektirmeyen bir güvenlik katmanı sunuyor.
Docker'ın aksine tam sistem izolasyonu sunan unprivileged konteynerler, otomatik UID eşleme, kalıcı oturumlar, snapshot alma ve .git/hooks gibi kritik yolların salt-okunur korunması gibi özellikler öne çıkıyor. Proje bir ürün ya da startup değil, geliştiricilerin kendi ihtiyacından doğan bir araç olarak sunuluyor.