告诉 Claude 你想要什么,然后让它狂奔,无需保姆式管理。
这听起来像是一场灾难的开始,对吧?
想象一下,你把一个 AI 丢进你的系统,给了它 sudo 权限,告诉它:“随便搞,我不拦着。”
如果是你的主力电脑,你敢这么做吗?
没人敢。
但最近,一位开发者 Emil Burzo 玩了一把大的。他不仅给 Claude Code 开启了“危险模式”,还专门为它造了一个“游乐场”。结果令人意外:不仅没炸,反而爽翻了。
这是一个“ disposable ”的沙盒
事情起因很简单。
现在的 AI 编程助手,比如 Claude Code,虽然聪明,但总让人觉得被“捆住了手脚”。
你想让它改个配置,它报个错;你想让它装个包,它让你审批;一来一回,效率全耗在交互上了。
Emil 想要的是那种**“全自动驾驶”**的体验。
但他也怕啊。
万一 AI 抽风,把系统文件删了怎么办?万一装了一堆垃圾软件把环境搞烂了怎么办?于是,他祭出了 Vagrant + VirtualBox 的组合拳。
逻辑非常硬核:
- 搭一个虚拟机(VM)。
- 在这个 VM 里给 Claude Code 最高权限。
- 把项目目录同步进去。
这就像是给 AI 造了一个完全独立的“毒气室”。
在里面,它是上帝,想怎么折腾怎么折腾;在外面,你是观察者,随时可以拔掉网线,甚至直接销毁整个房间。
第一次启动可能要几分钟配置环境,还得登录一次 Claude。但搞定之后,只要一句 vagrant up,世界就准备好了。下班了?一句 exit 加 vagrant suspend,世界暂停。
被解放的“代码野兽”
当 Claude 拥有了 sudo 权限,并且不再需要人类点头哈腰时,它展现出了惊人的战斗力。
这不是简单的写写代码,这是真正的工程化操作。
它自己动手,丰衣足食:
- 它手动启动了一个 Webapp API,然后用
curl请求去自检; - 它觉得不够,自己安装了一个浏览器,像真人一样打开 App 看效果,甚至顺手写了一套端到端测试;
- 它嫌环境空,自己搭建了 Postgres 数据库,跑测试 SQL,验证数据库迁移;
- 它甚至玩起了 Docker,构建镜像、运行容器,一条龙服务。> “所有这些事,如果在宿主机上做,尤其是开着‘直接干’的标志时,我会紧张得要死。”
Emil 说。
但在虚拟机里?毫无压力。
这种体验是完全不同的。
以前,AI 写个命令,你得复制粘贴,跑一遍,把错误丢回去,AI 再改,你再跑。
现在,Claude 拥有了上下文的连续性。它自己跑命令,自己看报错,自己改配置,自己再试。
它不再是一个只会提建议的副驾驶,它握住了方向盘。## 我们到底在防备谁?
这里有个很有意思的反转。
通常大家谈 AI 安全,都在担心什么?
担心 AI 觉醒,担心“天网”,担心恶意代码攻击。
但在 Emil 的这个“威胁模型”里,画风完全不同。
他承认,这套方案防不住那些极端情况:
- 防不住 AI 逃逸: 虚拟机逃逸漏洞确实存在,虽然罕见,但那是黑客电影里的桥段;
- 防不住网络攻击: 虚拟机毕竟还能上网;
- 防不住删库跑路: 文件夹同步是双向的,AI 真要发疯删项目,你的代码一样会没。但他根本不在乎这些。
因为他这套沙盒,防备的对象根本不是 AI,而是那个“心大”的自己。
“我不信任自己能时刻盯着 Agent 在干嘛,尤其是当我进入心流状态,只想让东西跑通的时候。”
这才是大多数开发者的真实写照。
我们怕的不是 AI 变坏,而是自己手滑点了个“yes”,或者 AI 理解错了指令,把宿主机的环境搞得一团糟。
我们防的是“意外”,不是“谋杀”。只要代码都在 Git 里,Claude 在虚拟机里怎么折腾都无所谓。大不了,一键 Nuke,销毁虚拟机,重来一遍。
这就是 config.vm.synced_folder 的魅力,甚至你可以设置成单向 rsync,彻底切断 AI 回手掏的可能性。
结尾:失控的艺术
这其实揭示了人机协作的一个新阶段。
我们正在从“小心翼翼的指令交互”,走向“划定边界的失控”。
Emil 花了点时间才搞定这个配置,主要是踩了 VirtualBox 的 CPU bug 的坑。但现在,一切丝般顺滑。
那个简短可复制的 Vagrantfile,就是一道安全符咒。
把它丢进任何项目目录,vagrant up,你就拥有了一个绝对安全的沙箱。
如果你也在用 Claude Code 的“危险模式”,这或许是目前最优雅的解法。
毕竟,在这个 AI 越来越强的时代,学会如何安全地“放手”,可能比学会如何“控制”更重要。
如果真的翻车了?
记住,你随时可以按下那个红色的重启按钮。
参考链接:
https://blog.emilburzo.com/2026/01/running-claude-code-dangerously-safely/