GitHub Copilot CLI のローカルサンドボックスを試してみた

• URL: https://dev.classmethod.jp/articles/shoma-trying-github-copilot-cli-local-sandbox/
• 日付: 2026-06-16
• Tier: Tier 2
• 要旨: 2026年6月2日にPublic PreviewとなったGitHub Copilot CLIのローカルサンドボックスを実機検証した。シェルコマンドの実行を隔離する仕組みであり、ファイルシステム境界・ネットワーク制御・キーチェーンアクセスの3軸で設定できることを確認した。

詳細

/sandbox enableでサンドボックスを有効化した後、/sandboxの対話UIで全般・ファイルシステム・ネットワークの3タブを設定できる。MCP/LSPサーバーもサンドボックス内で実行可能。

実機での4ケース検証結果は次のとおり。ケース1（CWD外への書き込み）は正しくブロックされた。ケース2（外部curlのブロック）はweb_fetchなどモデル組み込みツールはサンドボックス外で動作するため外部URLの取得を遮断できなかったが、明示的にcurlコマンドとして指示した場合はブロックされた。ケース3（ホスト単位allow）はmacOSのSeatbeltでは個別ホストのブロックが機能しないことを確認した。ケース4（キーチェーンアクセスOFF+git push）は想定どおり認証情報取得が拒否された。

守備範囲はあくまで「Copilotが起動するシェルコマンド」であり、内蔵ツール経由の操作はサンドボックスの境界外になる点に注意が必要。