Přejít k hlavnímu obsahu

AI coding agent v kontejneru: Proč vývojáři přestávají řešit, co jejich asistent rozbije

Ilustrační obrázek
Představte si, že AI asistentovi dáte přístup k vašemu počítači — ke všem souborům, SSH klíčům, heslům v prohlížeči a půlce pracovního života. Přesně to dělají vývojáři, kteří pouštějí AI coding agenty přímo na svém hlavním stroji. Jeden zkušený technický redaktor se ale rozhodl, že s tímhle rizikem končí. Přesunul svého AI agenta do izolovaného kontejneru na samostatném serveru a teď už ho vůbec nezajímá, co agent rozbije — protože cokoliv pokazí, zůstane uvězněné v izolované schránce, kterou lze jedním kliknutím vrátit do původního stavu.

Proč je nebezpečné pouštět AI agenta na vlastním počítači

AI coding agent je nástroj, který čte soubory, edituje kód, instaluje závislosti a spouští shellové příkazy se stejnými oprávněními jako uživatel, který ho spustil. Na testovacím serveru je to v pořádku. Na notebooku, kde máte SSH klíče k produkčním serverům, přihlášené bankovnictví v prohlížeči a roky práce v souborech, je to sázka do loterie. A není to jen teoretické riziko. Začátkem roku 2026 bezpečnostní firma Ox Security odhalila, že populární open-source agent OpenClaw ukládal API klíče v plaintextu, vytvářel zálohy smazaných přihlašovacích údajů s příponou .bak a používal přes stovku volání eval v kódu. Následně firma Oasis Security objevila zranitelnost ClawJacked — lokální WebSocket, na který se mohl připojit jakýkoliv škodlivý web otevřený v prohlížeči. V době největší paniky bylo na internetu veřejně dostupných přes 100 000 instancí OpenClaw. Přístup OpenClaw k bezpečnosti nejlépe vystihuje odpověď jeho tvůrce na nahlášené chyby: "Tohle je hobby projekt. Jestli chcete pomoct, pošlete PR. Až to bude produkčně připravené, rád se na zranitelnosti podívám."

Hermes Agent: agent, který bezpečnost nebere na lehkou váhu

Alternativou, která si získává důvěru vývojářské komunity, je Hermes Agent od výzkumné skupiny Nous Research — stejného týmu, který stojí za populárními open-weight modely řady Hermes. Na rozdíl od OpenClaw nestaví bezpečnost jako dodatečnou fázi, ale jako výchozí omezení. Hermes má veřejnou bezpečnostní politiku s devadesátidenním oknem pro koordinované zveřejňování zranitelností, dedikovaný bezpečnostní e-mail a jasně definované, co je a není v rozsahu ochrany. Dokumentace otevřeně přiznává: "Jedinou bezpečnostní hranicí proti nepřátelskému LLM je operační systém." Vše ostatní — schvalování destruktivních příkazů, redakce tajných klíčů ve výstupech, injekční skener Skills Guard — je explicitně označeno jako prevence nehod, nikoliv jako sandbox.

Jak funguje izolace v kontejneru

Adam Conway, technický redaktor XDA Developers, popsal svůj konkrétní setup ve článku z 9. července 2026. Jeho Hermes Agent běží uvnitř neprivilegovaného LXC kontejneru na Proxmox serveru. Kontejner je samostatná entita s vlastním uživatelem bez root oprávnění, omezeným CPU, pamětí a diskem. Díky copy-on-write úložišti může před každou akcí agenta vytvořit snapshot — a pokud agent něco rozbije, jedním příkazem vrátí kontejner do předchozího stavu. Co je důležité: neprivigovaný LXC není bezpečnostní záruka proti cílenému útoku. Je to praktická izolační vrstva pro vlastního agenta — ne ochrana proti hackerovi, který aktivně hledá cestu ven. Proto Conway do kontejneru dává jen naprosté minimum: naklonované repozitáře, nezbytné závislosti a API klíč k MiniMax. Žádné produkční tokeny, žádné SSH klíče k čemukoliv důležitému.

MiniMax M3: model, který zvládne programování za pár korun

Jako model pro coding slouží MiniMax M3 — nejnovější model čínské firmy MiniMax se 428 miliardami parametrů, který je nasazen jako API služba. Conway ho používá přes předplatné MiniMax, protože model této velikosti by na lokálním hardwaru neutáhl. Pro srovnání: MiniMax M3 navazuje na model M2.7, který Conway dříve testoval jako levnou alternativu ke Claude Opus a označil ho za "překvapivě dobrý — ne tak dobrý jako Opus, ale pro každodenní programování naprosto dostatečný."

Cenové srovnání

MiniMax M2.7 stál zhruba 0,30 USD za milion vstupních tokenů a 1,20 USD za milion výstupních tokenů. Proti Claude Opus 4.6 (5 USD vstup / 25 USD výstup) byl zhruba 17–21× levnější. Startovací tarif s 1 500 požadavky každých pět hodin vyšel na 10 USD měsíčně. M3, následovník M2.7, by měl být ještě výkonnější v agentních a coding úlohách — a cenově zůstává řádově levnější než prémiové modely od Anthropicu nebo OpenAI. Pro české vývojáře je to podstatná informace: pokud platíte 20–100 USD měsíčně za Claude nebo ChatGPT, můžete za zlomek ceny získat srovnatelný výkon pro coding úlohy — a díky izolovanému kontejneru navíc eliminujete bezpečnostní riziko.

Discord jako rozhraní — programování přes zprávy

Nejzajímavější částí setupu je, že celé ovládání probíhá přes Discord. Conway pošle zprávu botovi — "naklonuj tenhle repozitář", "vytvoř nový projekt", "podívej se, co je v tom gitu" — a agent pracuje v kontejneru bez ohledu na to, jestli je Conway u počítače nebo někde na cestách s mobilem v ruce. První projekt, který agentovi zadal, byl jednoduchý Markdown editor pro prohlížeč. Poslal požadavek přes Discord, šel si po svých, a za pár minut agent vytvořil strukturu projektu, nainstaloval závislosti a spustil vývojový server. Editor byl okamžitě dostupný z jakéhokoliv zařízení v síti — včetně mobilu.

Profily a modely na přání

Hermes organizuje vše do profilů — každý profil má vlastní konfiguraci, API klíče, dovednosti (skills), historii relací a komunikační bota. Osobní asistenční profil a coding profil jsou zcela oddělené — nesdílí paměť, klíče ani tokeny. Chyba v jednom se nemůže přelít do druhého. A co je nejlepší: model je vyměnitelný. Conway aktuálně používá MiniMax M3, ale může během chvilky přepnout na DeepSeek V4 Pro nebo GLM 5.2 — stačí změnit konfigurační soubor. Hermes podporuje MiniMax, Z.AI (GLM), OpenRouter i standardní OpenAI endpointy. Pro coding je tak flexibilita modelů klíčová výhoda.

Širší kontext: bezpečnost AI agentů je téma roku 2026

Conwayho přístup zapadá do širšího trendu. S tím, jak AI agenti získávají přístup k souborům, terminálu a sítím, roste i potřeba je izolovat. Nvidia reagovala vlastním nástrojem NemoClaw — sandboxem, který obaluje OpenClaw a omezuje jeho přístup k systému. Ani to ale neřeší kulturní problém OpenClaw, který vybízí uživatele k připojování desítek služeb do jedné důvěryhodné zóny. Pro srovnání: Claude Code od Anthropicu běží přímo v terminálu vývojáře a pracuje se soubory na lokálním disku. OpenCode (open-source alternativa Claude Code) funguje podobně — pokud ho pustíte na hlavním stroji, má přístup ke všemu, co máte vy. GitHub Copilot a Cursor operují primárně v rámci IDE, takže jejich blast radius je omezenější, ale pořád pracují v kontextu vašeho vývojového prostředí. Conwayho kontejnerový přístup představuje třetí cestu: agenta, který je plně schopný, ale uvězněný v izolované kleci. Může klonovat repozitáře, instalovat balíčky, spouštět testy — cokoliv. Ale cokoliv rozbije nebo smaže, týká se jen kontejneru, který jde obnovit ze snapshotu během pár vteřin.

Co to znamená pro české vývojáře

Tento přístup je relevantní i pro českou scénu. Řada českých firem a freelancerů experimentuje s AI asistenty pro vývoj, ale často bez jasné bezpečnostní strategie. Přitom řešení jako Proxmox (který je mezi českými linuxovými nadšenci populární) v kombinaci s open-source Hermes Agentem umožňuje postavit bezpečné vývojové prostředí prakticky zadarmo. Klíčová doporučení: - Nikdy nespouštějte AI agenta s plnými oprávněními na hlavním pracovním stroji - Použijte kontejner (LXC, Docker) nebo virtuální stroj jako izolační vrstvu - Dělejte snapshoty před každou větší akcí agenta - Do kontejneru dávejte jen naprosté minimum citlivých údajů - Pro české prostředí je relevantní i aspekt GDPR — pokud agent zpracovává osobní údaje, izolace v kontejneru na vlastním hardwaru je mnohem bezpečnější než posílání všeho do cloudu Hermes Agent je open-source (MIT licence) a jeho nasazení je zdarma. Platíte jen za API klíč k modelu, který používáte — a jak ukazuje srovnání s MiniMax, může to být výrazně levnější než předplatné komerčních nástrojů.

Je Hermes Agent vhodný i pro začátečníky, nebo jen pro zkušené linuxové administrátory?

Hermes Agent vyžaduje základní znalost příkazové řádky a kontejnerizace. Není to nástroj typu "nainstaluj a klikni" — potřebujete rozumět konceptům jako LXC kontejnery, API klíče a konfigurace profilů. Pro úplného začátečníka může být jednodušší začít s Cursor nebo GitHub Copilot v rámci IDE. Pokud ale máte základní zkušenosti s Linuxem a chcete maximální kontrolu nad tím, k čemu má váš AI agent přístup, Hermes je aktuálně nejlepší open-source volba.

Podporuje MiniMax M3 češtinu a jak je na tom s porozuměním českému kódu?

MiniMax M3 je model vyvinutý čínskou firmou MiniMax, ale jeho trénovací data zahrnují mnoho jazyků. Češtinu by měl zvládat na základní úrovni — rozumí komentářům v kódu, umí odpovídat na dotazy v češtině. Pro coding úlohy je ale primárním jazykem angličtina (názvy proměnných, dokumentace knihoven), takže čeština není překážkou. Pokud potřebujete model s vynikající podporou češtiny, modely od OpenAI (GPT-5.x, Codex) a Anthropicu (Claude) jsou v tomto ohledu lepší, ale také výrazně dražší.

Můžu podobný izolovaný setup postavit na Windows nebo macOS?

Ano, princip je stejný napříč platformami. Na Windows můžete použít WSL2 s Dockerem nebo Hyper-V s virtuálním strojem. Na macOS dobře funguje Docker Desktop nebo UTM s virtualizovaným Linuxem. Samotný Proxmox je linuxová virtualizační platforma, ale koncept izolace agenta v kontejneru nebo VM je univerzální. Klíčové je, aby agent neměl přístup k vašim hlavním souborům, heslům a SSH klíčům — bez ohledu na to, jakou platformu používáte.

X

Nezmeškejte novinky!

Přihlaste se k odběru novinek a aktualit.