English

Agent

Étendre pi-secured-setup : écrire ses propres Guards et Scanners

2026-05-09 by [Mathias WOLFF]
iasecuriteagentpiextensiontesting

Dans l’article précédent, j’ai présenté pi-secured-setup — une extension pi qui ajoute des Guards, des Scanners et un audit trail à votre agent de code IA. Elle est livrée avec des defaults pertinents : application de frontière, globbing de chemins protégés, classification de commandes bash, rédaction de secrets, vérification de skills.

Mais chaque projet a des risques uniques. Un shop Terraform n’a pas les mêmes règles qu’un monorepo Node.js. Une équipe avec des exigences de conformité strictes n’a pas la même granularité d’audit qu’un développeur solo.

Lire la suite >

Extending pi-secured-setup: Writing Custom Guards and Scanners

2026-05-09 by [Mathias WOLFF]
aisecurityagentpiextensiontesting

In the previous article, I introduced pi-secured-setup — a pi extension that adds Guards, Scanners, and an audit trail to your AI coding agent. It ships with sensible defaults: boundary enforcement, protected path globbing, bash command classification, secret redaction, skill verification.

But every project has unique risks. A Terraform shop needs different rules than a Node.js monorepo. A team with strict compliance requirements needs different audit granularity than a solo developer.

Lire la suite >

Securing pi from the Inside: Guards, Scanners, and Audit with pi-secured-setup

2026-05-07 by [Mathias WOLFF]
aisecurityagentpiextension

A few days ago, I covered Greywall — a kernel-level sandbox that contains pi with a deny-by-default approach. That’s your outer wall. But what about threats inside the boundary? The agent that accidentally writes to the wrong project, the .env file that ends up in the LLM context, the skill whose SKILL.md was silently modified. That’s a different problem, and it needs a different tool.

Today I’m releasing pi-secured-setup — a pi extension that adds Guards, Scanners, and an audit trail directly inside the agent. No kernel modules, no containers, no external dependencies. Just a pi install and you’re protected.

Lire la suite >

Sécuriser pi de l’intérieur : Guards, Scanners et Audit avec pi-secured-setup

2026-05-07 by [Mathias WOLFF]
iasecuriteagentpiextension

Il y a quelques jours, je présentais Greywall — un sandbox kernel-level qui contient pi grâce à une approche deny-by-default. C’est votre mur extérieur. Mais qu’en est-il des menaces à l’intérieur de la frontière ? L’agent qui écrit accidentellement dans le mauvais projet, le fichier .env qui se retrouve dans le contexte LLM, le skill dont le SKILL.md a été silencieusement modifié. C’est un problème différent, qui nécessite un outil différent.

Lire la suite >

Securing pi, Your AI Coding Agent, with Greywall: A Practical Guide

2026-05-03 by [Mathias WOLFF] (updated: 2026-05-07)
aisecurityagentsandbox

AI coding agents like pi have become essential daily companions. But by default, pi runs in YOLO mode: full filesystem access, unrestricted command execution, no permissions. It’s a deliberate design choice by its creator, but this freedom comes with real risks. Today, let’s explore Greywall, a tool that sandboxes pi using a deny-by-default approach at the kernel level.

Why Sandbox an AI Coding Agent?

pi in YOLO mode is convenient but risky. Without restrictions, the agent can:

Lire la suite >

Sécuriser pi, votre agent de code IA, avec Greywall : guide pratique

2026-05-03 by [Mathias WOLFF] (updated: 2026-05-07)
iasecuriteagentsandbox

Les agents de code IA comme pi sont devenus des compagnons indispensables au quotidien. Mais par défaut, pi fonctionne en mode YOLO : accès complet au filesystem, exécution de n’importe quelle commande, aucune restriction. C’est un choix délibéré de son créateur, mais cette liberté a un coût réel. Aujourd’hui, je vous propose de découvrir Greywall, un outil qui permet de sandboxer pi grâce à une approche deny-by-default au niveau kernel.

Lire la suite >