Ghola Sandbox

Policy in.
Vertrauen out.

Eine YAML-Datei beschreibt, was Agenten dürfen — und was nicht. Shell-Befehle, MCP-Aufrufe und Netzwerk-Calls durchlaufen kompilierte Interception-Layer. Single Go-Binary, agent-agnostisch.

Early Access

● Single Binary ● macOS · Linux ● Hot-Reload < 1s

~/.ghola/policy.yaml

# .ghola/policy.yaml
version: 1
 
profiles:
  review:
    fs:     { read: ['**'], write: [] }
    shell:  { allow: ['git status', 'git log', 'rg *'] }
    net:    { allow: [] }
 
  implement:
    fs:     { read: ['**'], write: ['src/**'] }
    shell:  { allow: ['npm *', 'pnpm *', 'git *'], deny: ['rm -rf *'] }
    net:    { allow: ['registry.npmjs.org', 'api.github.com'] }
    mcp:    { github: read, linear: ask }
 
approvals:
  timeout: 60s
  default: deny

Architektur

Drei Layer.
Kein Schlupfloch.

Jede Agent-Aktion läuft durch Shell-Interception, MCP-Proxy und Netzwerk-Proxy. Der Agent selbst weiß davon nichts — er sieht eine normale Shell und ein normales Netzwerk.

Zwei Modi

Beobachten oder einsperren.

Läuft auf deinem Host. Beobachtet, loggt, prompted — bei minimalem Overhead. Für die meisten Aufgaben genug.

Voller Host-Zugriff, alle Aktionen geloggt
Approval-Prompts für kritische Calls
Hot-Reload der Policy
Overhead < 5ms pro Shell-Call

Ephemeren Docker-Container pro Session. Harte Isolation: eigener FS, eigenes Netzwerk, gemountete Repo-Snapshots.

Kein Host-FS-Zugriff jenseits gemounteter Pfade
Eigene Netzwerk-Namespaces
Container wird nach Session zerstört
Optional read-only Repo-Mounts

Audit-Trail

Jede Aktion.
Nachvollziehbar.

Eine JSON-Logdatei pro Session. Allow, deny, ask — mit Zeitstempel, Begründung, Diff. Exportierbar für Compliance, durchsuchbar im Desktop.

09:14:21 allow fs.read src/auth/session.ts

09:14:22 deny net.connect api.openai.com:443

09:14:23 ask fs.write src/auth/verifier.ts

09:14:24 allow mcp.read github.list_issues

09:14:25 deny shell rm -rf node_modules

09:14:26 allow fs.read package.json

09:14:27 ask mcp.write linear.create_issue

09:14:28 allow net.connect registry.npmjs.org

09:14:21 allow fs.read src/auth/session.ts

09:14:22 deny net.connect api.openai.com:443

09:14:23 ask fs.write src/auth/verifier.ts

09:14:24 allow mcp.read github.list_issues

Was drin ist

Sicherheit, die nicht im Weg steht.

Policy-as-Code

YAML-Policy mit Profilen, Glob-Patterns, Allow/Deny/Ask. Versioniert wie jede andere Config.

policy-sh

Kompilierter Shell-Wrapper prüft jedes argv, bevor exec passiert. Kein Patching nötig.

Network Proxy

HTTP/HTTPS Forward-Proxy mit Domain-Allowlist und optionalem TLS-MitM für Body-Inspection.

MCP Proxy

Mixed Transport (HTTP + stdio), per-Server-Routing, explizite Tool-Klassifikation read vs. write.

Hot-Reload

Policy ändern, speichern — laufende Sessions übernehmen in unter einer Sekunde.

Profile

review = read-only, implement = full access, audit = no-write. Pro Session wählbar.

Approval Queue

Interaktive Prompts mit konfigurierbarem Timeout. Default deny — keine versehentlichen Yeses.

Single Binary

Go-basiert, statisch gelinkt, keine Runtime-Dependencies. Drop in, brew install, fertig.

Host-Bridge

MCP-Endpoints für Desktop-Integration: Diffs, Status, Approvals. Optional, gut dokumentiert.

Schnellstart

Drei Befehle.
Einsatzbereit.

Installieren, initialisieren, wrappen. Dein bestehender Agent merkt von alldem nichts — er bekommt einfach eine sichere Umgebung.

bash

# 1. install
$ brew install ghola-labs/tap/ghola
 
# 2. initialize a policy in your repo
$ ghola init --profile review
 
# 3. run your agent through it
$ ghola run --profile implement -- claude
 
  ✓ policy loaded · 4 profiles
  ✓ proxy listening · :7842
  ✓ shell wrap · /tmp/ghola/sh
  → launching claude-code…

Policy in. Vertrauen out.

Drei Layer. Kein Schlupfloch.

Beobachten oder einsperren.

Jede Aktion. Nachvollziehbar.

Sicherheit, die nicht im Weg steht.

Drei Befehle. Einsatzbereit.

Schreib deine Policy. Wir machen den Rest.

Policy in.
Vertrauen out.

Drei Layer.
Kein Schlupfloch.

Jede Aktion.
Nachvollziehbar.

Drei Befehle.
Einsatzbereit.