agent sandbox run <cmd> [args...]
Führt einen einzelnen Befehl in einer Sandbox mit Lese-/Schreibzugriff auf den Workspace aus.
agent sandbox run <cmd> [args...] führt genau einen Befehl isoliert aus, standardmäßig mit Lese-/Schreibzugriff auf den Workspace (--sandbox, Standard true) und ohne Netzwerkzugriff (--network, Standard false). Zusätzliche Pfade lassen sich über --allow-paths bzw. --readonly-paths freigeben, unerwünschte Dateien über --blocked-patterns (gitignore-Syntax) blockieren; --sb-debug schreibt Debug-Logs in einen Temp-Ordner.
🎬 ALS KURZES VIDEO
Führt einen einzelnen Befehl in einer Sandbox mit Lese-/Schreibzugriff auf den Workspace aus.
✅ WANN EINSETZEN?
Ein unbekanntes Install- bzw. Build-Skript isoliert testen, bevor es im echten Workspace läuft
agent sandbox run npm install
Befehl mit Netzwerkzugriff ausführen, obwohl die Sandbox sonst kein Netz erlaubt
agent sandbox run --network curl https://example.com/healthz
⛔ WANN EHER NICHT?
Mehrere Befehle sollen dauerhaft isoliert laufen, nicht nur einer
agent sandbox run ist für genau einen Einzelbefehl gedacht.
Besser: agent sandbox enable nutzen, damit die Sandbox-Policy für alle künftigen von der CLI ausgeführten Befehle gilt
Befehl braucht Zugriff außerhalb des Workspace-Verzeichnisses
Ohne zusätzliche Flags ist der Zugriff auf den Workspace begrenzt.
Besser: --allow-paths bzw. --readonly-paths mit den zusätzlich benötigten Pfaden angeben
QUELLEN
- Cursor Docs — CLI Reference: Parameters ↗ cursor.com