Multitui

Что такое Multitui?

Multitui — это фабрика приложений для macOS, которая оборачивает терминальные TUI-программы (text user interface) в отдельные native .app-бандлы. Цель — позволить использовать существующие командные инструменты внутри sandboxed-терминала macOS, а не запускать их напрямую в обычной оболочке.

Sandboxing ориентировано на защиту dev-машины от недоверенного или agent-driven кода. Multitui применяет правила filesystem sandbox, фильтрацию сети и secrets filter, чтобы снизить риск чтения/записи вне разрешённых мест или утечки credentials по исходящим соединениям.

Ключевые возможности

• TUI-to-.app wrapping: Преобразует TUI-программы в отдельные macOS app-бандлы с собственными иконками в Dock, интеграцией Spotlight и управлением окнами.
• Filesystem sandboxing (sandbox-exec): Использует macOS sandbox-exec с default-deny для записей и удалений, плюс целевые allow-правила для конкретных путей.
• Network sandbox controls: Может блокировать весь исходящий сетевой доступ или применять domain-level правила для ограничения хостов.
• Secrets filter (gitleaks-powered): Сканирует исходящий сетевой трафик на API keys, tokens и credentials перед выходом с машины.
• Deny/allow visibility and override: Предоставляет лог denied actions для добавления allow-правил; включает опцию --dangerously-skip-permissions.

Как использовать Multitui

1. Скачайте и откройте Multitui на macOS 15+ (страница показывает v0.13.1, 24 MB).
2. Выберите TUI-программу для оборачивания в Multitui app и настройте sandbox-правила.
3. Используйте sandbox-правила для установки filesystem permissions (с default-deny базой и целевыми путями) и network-правил (block-all или domain/host-level allow).
4. Сохраните и запустите сгенерированный macOS .app; держите как отдельное окно для инструмента, пока обычный терминал доступен для общей работы.

Сценарии использования

• Run AI coding agents with reduced blast radius: Оберните agent-style TUI, чтобы избежать blanket write/delete доступа к dev-среде, с фильтрацией исходящих соединений.
• Give a tool its own window instead of piling tabs: Конвертируйте часто используемые TUIs в dedicated apps с иконкой в Dock и Spotlight-записью, снижая clutter в табах терминала.
• Protect sensitive files and secrets during experimentation: Ограничьте read/write правилами filesystem до project folder и deny writes/deletes elsewhere; используйте secrets filter для исходящего трафика.
• Limit network access for command-line utilities: Блокируйте весь исходящий трафик или разрешите только specific domains/hosts, чтобы инструмент не имел свободного доступа в интернет.
• Lock down agent permissions and iterate safely: Просматривайте deny-action log при блокировках, добавляйте targeted allow-правила вместо broad permissions.

FAQ

• Что sandboxит Multitui — файлы, сетевой трафик или оба? Multitui предоставляет filesystem sandboxing (via sandbox-exec), network filtering и secrets filter для сканирования исходящего трафика.

• Нужен ли контейнер или VM? Страница указывает, что не нужно запускать контейнер или VM.

• Как Multitui обрабатывает file permissions? Страница описывает default deny для writes и deletes с targeted allow rules для specific paths (включая project folder) и deny-action log для уточнения правил.

• Может ли Multitui полностью блокировать интернет? Да — network sandbox настраивается на block all outbound network access или allow only specific hosts/domains.

• Что ищет secrets filter? Сканирует исходящий трафик на API keys, tokens и credentials, на базе gitleaks.

Альтернативы

• Запуск TUI напрямую в терминале с ручным контролем процессов: Сохраняет привычный рабочий процесс терминала, но перекладывает ответственность на вас (например, правила SSH/VPN, ручные разрешения или внешняя изоляция), вместо встроенной песочницы на уровне приложения от Multitui.
• Общий подход к песочнице macOS вне Multitui: Вместо преобразования TUI в отдельные .app-бандлы можно применять песочницу через другие механизмы macOS, но без такого же оборачивания по инструментам и инструментов правил, как здесь.
• Изоляция на базе контейнеров/ВМ: Это основная альтернатива, на которую намекает заметка на странице продукта о том, что она не нужна. Контейнеры/ВМ изолируют инструменты, но добавляют эксплуатационные накладные расходы по сравнению с генерацией нативного приложения.
• Только инструменты управления окнами терминала: Если главная задача — уменьшить беспорядок в терминале, менеджеры окон/лаунчеры помогут организовать TUI, но не обеспечат такую же песочницу для файловой системы/сети/секретов.