advancedTechnisch

9 min leestijd

Sandboxing & approval modes

Sandboxing en approval modes (autonomie en veiligheid van AI-agents)

Door Dennis Claassen · Laatst bijgewerkt feb 2026

Simpele Uitleg

Sandboxing & approval modes zijn de veiligheidsknoppen waarmee je bepaalt hoeveel een AI-coding agent zelfstandig mag doen: approval modes regelen *wanneer* de agent vraagt voordat hij bestanden bewerkt of commando’s draait, en sandboxing begrenst op OS-niveau *welke* bestanden en netwerkdomeinen hij überhaupt kan raken. Zowel Claude Code sandboxing als de Codex approval modes lossen dezelfde vraag op: vertrouwd autonoom werk binnen harde grenzen. Niet te verwarren met de juridische ai-regulatory-sandbox uit de EU AI Act.

Technische Definitie

Twee complementaire lagen. (1) Approval policy: een beslislaag die per actie bepaalt of de agent doorgaat of eerst toestemming vraagt. (2) Sandboxing: OS-niveau enforcement (geen LLM-beslissing) die de draaiende processen en hun child-processen begrenst in filesystem- en netwerktoegang. Claude Code gebruikt hiervoor macOS Seatbelt en op Linux/WSL2 de pakketten bubblewrap (filesystem-isolatie) en socat (netwerk-relay); native Windows wordt niet ondersteund. Codex koppelt een sandbox mode (read-only, workspace-write, danger-full-access) aan een approval policy (--ask-for-approval untrusted, on-failure, on-request of never), samengevat in de presets Auto, Read-only en Full Access.

Waarom Dit Belangrijk Is

Een AI-agent die `npm install`, `git`, build-scripts en netwerk-calls zelfstandig mag draaien, scheelt enorm veel klik-bevestigingen, maar elke command is ook een potentieel risico: een verkeerde `rm`, een script dat `~/.ssh` of `~/.aws/credentials` uitleest, of data die naar een onbekend domein lekt. Sandboxing & approval modes geven security-bewuste teams een dial tussen volledige controle (alles bevestigen) en volledige autonomie (alles automatisch), zonder de agent helemaal uit te zetten. Voor bedrijven die met gevoelige codebases of klantdata werken is dit het verschil tussen een agent veilig durven inzetten of niet.

Hoe Het Werkt

Bij Claude Code draaien de meeste shell-commando’s in een sandbox die standaard alleen mag schrijven naar de werkmap (lezen mag breder, ook credential-bestanden tenzij je die in `denyRead` zet). Geen enkel netwerkdomein is vooraf toegestaan; de eerste keer dat een command een nieuw domein nodig heeft, vraagt Claude Code toestemming. Je beheert dit met het `/sandbox`-commando (met de modi auto-allow en regular permissions) naast permission rules en permission modes. Bij Codex bepaalt de sandbox mode de technische grenzen en de approval policy wanneer er gevraagd wordt; je wisselt mid-session met `/permissions` of start met de vlag `--ask-for-approval`. In de Auto-preset (`--sandbox workspace-write --ask-for-approval on-request`) leest, bewerkt en draait Codex binnen de werkmap en vraagt het pas bij acties daarbuiten of bij netwerktoegang.

Use Cases

Onbewaakte test- en build-runs

Laat de agent in auto-allow / Auto-mode zelf de testsuite en build draaien zonder per command te bevestigen, terwijl de sandbox schrijftoegang tot alleen de werkmap afdwingt

Veilig werken in een onbekende repo

Start in Read-only (Codex) of regular permissions: de agent mag bladeren en een plan voorstellen, maar verandert niets tot jij akkoord gaat

Datalek voorkomen bij gevoelige codebases

Houd het standaard lege domein-allowlist aan zodat code niet ongemerkt naar een extern domein kan posten, en zet credential-mappen op denyRead

Organisatie-brede afdwinging

Admins zetten via managed settings sandboxing verplicht aan voor elke developer, met failIfUnavailable zodat een ontbrekende dependency Claude Code laat stoppen in plaats van onbeveiligd door te draaien

Voorbeelden

Claude Code: schrijftoegang verbreden zonder sandbox uit te zetten

Een tool als terraform of kubectl moet buiten de projectmap schrijven. In plaats van de sandbox uit te zetten, voeg je het pad toe aan sandbox.filesystem.allowWrite — de grens wordt op OS-niveau afgedwongen voor het commando en al zijn child-processen.

{
  "sandbox": {
    "enabled": true,
    "filesystem": {
      "allowWrite": ["~/.kube", "/tmp/build"]
    }
  }
}

Codex: van Read-only naar Auto schakelen tijdens een sessie

Je begint defensief en wilt de agent meer vrijheid geven nadat je de repo vertrouwt. Wissel mid-session met /permissions, of start expliciet met de Auto-preset.

codex --sandbox workspace-write --ask-for-approval on-request

Claude Code: lezen van home-map blokkeren

De standaard leespolicy laat ook ~/.ssh en ~/.aws/credentials lezen. Blokkeer de hele home-map en sta alleen het project toe (plaats dit in .claude/settings.json zodat `.` het project-root is).

{
  "sandbox": {
    "enabled": true,
    "filesystem": {
      "denyRead": ["~/"],
      "allowRead": ["."]
    }
  }
}

Veelgemaakte Fouten

Sandboxing en approval modes zijn hetzelfde

Het zijn aparte lagen. Een approval mode beslist óf een actie draait (kan misleid worden door wat de agent koos uit te voeren); de sandbox begrenst wat een draaiend command kan raken en wordt door het OS afgedwongen, ongeacht wat de agent doet.

Sandboxing is een waterdichte security-grens

Volgens de Claude Code docs (juni 2026) vermindert sandboxing risico maar is het geen volledige isolatie. De ingebouwde netwerk-proxy inspecteert geen TLS-verkeer, dus brede domeinen als github.com kunnen een pad voor data-exfiltratie openen. Voor een hardere grens gebruik je containers of VM’s.

Het werkt overal, ook op Windows

Claude Code sandboxing draait op macOS, Linux en WSL2; native Windows wordt niet ondersteund. Op Windows draai je Claude Code binnen een WSL2-distributie.

Full Access / danger-full-access is gewoon handiger

Codex’ Full Access geeft toegang tot je hele machine inclusief netwerk zonder te vragen. De OpenAI docs (juni 2026) raden aan dit spaarzaam te gebruiken en alleen bij een repository en taak die je vertrouwt.

Tools Die Dit Gebruiken

Claude CodeOpenAI Codex CLIbubblewrapsocatSeatbelt (macOS)

Veelgestelde Vragen

Hoe geef ik een AI-agent vrijheid om zelf commando’s te draaien zonder mijn systeem te beschadigen?

Zet sandboxing aan en kies een autonome approval mode. In Claude Code activeer je dat met /sandbox en kies je auto-allow: commando’s draaien zonder te vragen, maar mogen standaard alleen naar de werkmap schrijven en geen nieuw netwerkdomein bereiken zonder toestemming. In Codex kies je de Auto-preset (--sandbox workspace-write --ask-for-approval on-request): lezen, bewerken en commando’s draaien binnen de werkmap, met een vraag zodra de agent daarbuiten of het netwerk op wil. Zo combineer je autonomie met een door het OS afgedwongen grens.

Wat is het verschil tussen Claude Code sandboxing en Codex approval modes?

Ze lossen hetzelfde probleem op met een andere indeling. Claude Code splitst het in een sandbox (OS-grens via Seatbelt op macOS, bubblewrap + socat op Linux/WSL2) plus aparte permission rules en permission modes. Codex bundelt het in presets: Auto (werkmap), Read-only (alleen bladeren) en Full Access (hele machine inclusief netwerk), gebouwd op sandbox modes (read-only, workspace-write, danger-full-access) en een approval policy. Functioneel komt het op hetzelfde neer: begrens filesystem en netwerk, en bepaal wanneer de agent moet vragen.

Hoe zet ik approval-prompts uit of pas ik ze aan?

In Claude Code open je /sandbox en kies je op het Mode-tabblad auto-allow om sandboxed commando’s zonder prompt te laten draaien (deny-rules en gevaarlijke rm-commando’s blijven wel vragen). In Codex wissel je mid-session met /permissions, of start je met --ask-for-approval (untrusted, on-failure, on-request of never). De waarde never zet vragen helemaal uit; gebruik dat alleen in een vertrouwde, geïsoleerde omgeving.

Werkt sandboxing op Windows?

Native Windows wordt door Claude Code sandboxing niet ondersteund (docs, juni 2026). Het draait op macOS (Seatbelt), Linux en WSL2 (bubblewrap + socat). Op Windows draai je Claude Code binnen een WSL2-distributie; WSL1 werkt niet omdat bubblewrap kernel-features nodig heeft die alleen in WSL2 zitten.

Kost sandboxing extra of zit het in de tool?

De sandbox zit ingebouwd in Claude Code en kost niets extra. Op macOS hoef je niets te installeren (Seatbelt is ingebouwd); op Linux/WSL2 installeer je gratis de pakketten bubblewrap en socat. Bij Codex zijn sandbox modes en approval modes onderdeel van de CLI zelf. Er zijn geen aparte licentiekosten voor de sandboxing-laag.

Wat is het verschil met een ai-regulatory-sandbox?

Compleet andere betekenis. Een agent-sandbox is een technische OS-grens die begrenst wat een AI-coding agent op jouw machine mag doen. Een ai-regulatory-sandbox is een juridisch concept uit de EU AI Act: een gecontroleerde testomgeving waarin toezichthouders bedrijven AI-systemen laten ontwikkelen onder verlicht regime. Hetzelfde woord, twee werelden.

Gerelateerde Termen

AI Agent MCP

Wil je deze term in de praktijk leren toepassen?

Bekijk Trainingen Plan Kennismaking