AI Native Notes
Volver a Gemini CLI
Gemini CLIIntermedio5 min de lectura

Trusted Folders, Sandboxing y Restore

Cómo usar Gemini CLI con seguridad: trusted folders, sandbox, Plan Mode y puntos de restauración antes de editar archivos.

seguridadsandboxtrusted-folderscheckpointingplan-mode

Referencias oficiales: Trusted folders · Sandboxing · Checkpointing · Plan Mode

Ruta de aprendizaje

  1. Primeros pasos con Gemini CLI — instalación, autenticación y memoria
  2. La ventaja de 1M tokens — trabajar con codebases completos — análisis de repos sin derroche
  3. Gemini Extensions & MCP — crear flujos personalizados — empaquetar comandos, MCP y skills
  4. Trusted Folders, Sandboxing y Restore — confianza, aislamiento y rollback ← Estás aquí
  5. Headless Automation con Gemini CLI — scripts, CI y salida estructurada
  6. Sub-agentes y Orquestación de Skills — delegación y flujos especialistas
  7. Gemini Loop Seguro del Primer Día
  8. Playbook Gemini para Entregas de Escala Semanal
  9. Controles de Cambios de Alto Riesgo en Gemini
  10. Manual Operativo de Gemini — Ritmo Escalable de Entrega por CLI
  11. Gemini Playbook de Recuperación de Incidentes
  12. Gemini Bucle de Hardening Post-Incidente
  13. Gemini Simulacros de Resiliencia Caótica
  14. Gemini Métricas de Resiliencia y SLO

Documentación oficial usada en este artículo

La seguridad de Gemini CLI es una pila de capas

Cuando alguien pregunta si Gemini CLI es seguro, suele esperar una sola respuesta. En la práctica hay varias capas y cada una protege contra un riesgo distinto.

  1. Trusted folders — controlan cuánto puede influir el repo en la sesión.
  2. Plan Mode — evita actuar demasiado pronto.
  3. Sandboxing — aísla ejecuciones riesgosas.
  4. Checkpointing + restore — permite volver atrás si el diff sale mal.

Cuando combinas las cuatro, Gemini CLI deja de sentirse como automatización temeraria y pasa a parecer una herramienta de ingeniería controlada.

Trusted folders decide si el repo merece influir en la sesión

Esta es la primera puerta. Determina si el workspace puede cargar comportamiento local con confianza o si conviene tratarlo de forma más restringida.

Conviene empezar como untrusted cuando abres:

  • código de clientes
  • repos open source desconocidos
  • samples con scripts que no has auditado
  • ramas sensibles de incidentes o seguridad

El prompt de trust no es burocracia: es la decisión de si el repo puede cambiar el comportamiento del agente.

Mejor práctica: inspeccionar antes de confiar

Una rutina muy sana es:

  1. abrir como untrusted
  2. revisar árbol, lockfiles, scripts y configuración
  3. confiar solo cuando entiendes qué va a cargarse desde el repo

Ese hábito reduce mucho las sorpresas derivadas de commands o settings locales.

Plan Mode controla el momento de actuar

Trusted folders responde “¿debo dejar que este repo influya en la sesión?” Plan Mode responde “¿debo permitir cambios ahora mismo?”

Para tareas grandes, el patrón más seguro es:

  • entrar primero en Plan Mode
  • mapear arquitectura y riesgos
  • decidir el borde del cambio
  • volver al modo normal solo cuando la estrategia esté clara

En un repo multilenguaje como AI Native Notes esto importa mucho: slugs, frontmatter y paridad entre idiomas se rompen con facilidad si mutas demasiado pronto.

Sandboxing trata el riesgo de ejecución, no el juicio editorial

El sandbox entra cuando el agente necesita ejecutar shell, instalar dependencias o probar código que aún no terminas de confiar.

Úsalo especialmente cuando haya:

  • package managers con postinstall dudoso
  • builds o tests en repos desconocidos
  • samples de terceros
  • nuevas automatizaciones que todavía no conoces bien

Un modelo mental útil:

  • Plan Mode decide si el agente puede actuar.
  • Sandboxing decide dónde ocurren las acciones riesgosas.

Son controles distintos y muchas veces necesitas ambos.

Checkpointing es la red que agradeces cuando algo sale raro

Checkpointing crea puntos de recuperación antes de escribir archivos. Eso permite trabajar más rápido sin convertir cada sesión en una crisis de recuperación.

Es especialmente útil cuando:

  • una tarea toca muchos archivos
  • estás probando variantes de prompt
  • el repo tiene formato estricto o artefactos generados
  • haces cleanup o refactors de baja confianza

No reemplaza la disciplina de Git, pero sí resuelve muy bien el clásico “el agente hizo algo razonable, pero no quiero este diff”.

Ajusta el guardrail al tipo de repo

Situación Trust Plan Mode Sandbox Checkpointing
Repo externo desconocido Empezar untrusted Normalmente sí Opcional
Repo propio de producción Trust selectivo Sí para tareas amplias Solo para comandos riesgosos Sí en ediciones grandes
Cambios pequeños de copy Trusted Opcional Casi nunca Opcional
Experimentos de CI / automatización Runner confiable Diseñar antes Git + artifacts

La meta no es maximizar fricción, sino gastar seguridad solo donde el riesgo realmente existe.

Las restricciones también mejoran la calidad del pensamiento

Hay un efecto secundario valioso: las capas de seguridad obligan a diseñar mejor la tarea.

  • “Investiga primero, no edites.”
  • “Ejecuta esto solo dentro del sandbox.”
  • “Crea un checkpoint antes de tocar el contenido.”

Ese tipo de límites no solo protege; también vuelve más claro el prompt.

Rutina recomendada para este repo

En AI Native Notes usaría este patrón:

  1. abrir como untrusted áreas que vengan de contribuciones externas
  2. usar Plan Mode antes de tocar navegación, slugs o estructura de locales
  3. activar checkpointing antes de cambios masivos en MDX
  4. reservar sandboxing para comandos, instalaciones o validaciones reales

Así se mantiene la velocidad editorial sin asumir ingenuamente que “como es un repo de docs, nada puede salir mal”.

Siguientes lecturas recomendadas

Guías Conectadas