🤖 Mettre en place un agent IA autonome (Opencode) en environnement isolé sur ArchLinux

Posted on Oct 20, 2025

L’objectif de ce guide est de mettre en place un agent autonome opencode/GLM-4.6 dans un environnement isolé (jailed) sur un système ArchLinux (ici, Manjaro). L’utilisation d’un jail avec systemd-nspawn garantit une segmentation stricte entre l’agent et le système hôte, une pratique essentielle pour la sécurité. Nous ne voulons pas laisser Skynet prendre le contrôle !

🕵️‍♂️ Prérequis

Avant de commencer, assurons-nous que l’environnement de base est prêt et que les outils nécessaires sont disponibles.

Matériel Hôte : Ordinateur portable Aspire, 4GB RAM, Xeon E3-1200.
Système d’exploitation : Manjaro Linux à jour.

Vérifions que systemd-nspawn, l’outil clé pour créer notre conteneur, est bien présent sur le système hôte.

whereis systemd-nspawn

systemd-nspawn: /usr/bin/systemd-nspawn

🧱 Création de l’environnement isolé (Jail)

Nous allons maintenant préparer la structure de base : un groupe et un utilisateur dédiés sur l’hôte, puis le répertoire racine de notre jail.

Créer le groupe et l’utilisateur sur l’hôte Ceux-ci serviront à gérer les permissions du répertoire de la jail. L’utilisateur est créé sans shell valide (nologin) pour des raisons de sécurité.
```
sudo groupadd ai-agents
sudo useradd -m -g ai-agents -s /usr/bin/nologin opencode
```
Créer et sécuriser le répertoire de la jail Ce répertoire /home/opencode/lab deviendra le / de notre système isolé.
```
sudo mkdir -p /home/opencode/lab 
sudo chown root:root /home/opencode/lab
sudo chmod 755 /home/opencode/lab
```
Installer un système de base dans la jail Nous utilisons pacstrap pour installer un système ArchLinux minimal ainsi que les outils de développement essentiels dans notre répertoire /home/opencode/lab. Si pacstrap n’est pas installé (courant sur Manjaro), il faut d’abord installer arch-install-scripts.
```
pamac install arch-install-scripts
```
Ensuite, nous peuplons la jail avec les paquets nécessaires.
```
sudo pacstrap -c /home/opencode/lab base linux base-devel \
    git make go python zsh gcc cmake vim \
    nodejs npm tree jq yq man-db unzip \
    logrotate iproute2 net-tools pacman
```

👤 Configuration de l’utilisateur dans la Jail

Le système isolé est prêt, mais il nous faut y créer l’utilisateur opencode qui exécutera l’agent. Cette opération se fait en lançant une commande directement dans la jail.

Note : Il n’est peut-être pas strictement nécessaire de créer l’utilisateur sur l’hôte au préalable, mais cela aide à maintenir la cohérence des permissions.

sudo systemd-nspawn -D /home/opencode/lab /bin/sh -c 'groupadd --gid 1001 ai-agents; useradd --uid 1001 --gid ai-agents -d /home/opencode -m -s /usr/bin/zsh opencode;'

🤖 Installation et Dépannage d’Opencode

Entrons maintenant dans notre environnement isolé pour la première fois et tentons d’installer l’agent.

Accéder à la jail Nous nous connectons en tant qu’utilisateur opencode avec zsh comme shell.
```
sudo systemd-nspawn -D /home/opencode/lab -u opencode /usr/bin/zsh
```

Première tentative d’installation (et premier échec) L’invite de commande lab% indique que nous sommes bien dans la jail. Tentons l’installation via le script curl.

lab% curl -fsSL [https://opencode.ai/install](https://opencode.ai/install) | zsh

Cela échoue avec une erreur liée au shell :

Downloading opencode version: 0.15.8 ...
######################################################################## 100.0%
zsh: SHELL: parameter not set

Tentatives de correction L’erreur suggère que la variable d’environnement SHELL n’est pas définie. Essayons de la positionner manuellement et de créer un fichier de configuration Zsh minimal.
```
lab% export SHELL=/usr/bin/zsh
lab% mkdir -p /home/opencode/.config/zsh
lab% touch /home/opencode/.config/zsh/.zshrc 
```
Malgré ces ajustements, l’installation via le script curl ne fonctionnait toujours pas.
Plan B : Installation via Go Puisque nous avons installé Go, nous pouvons compiler et installer l’outil directement depuis la source.
```
lab% go install [github.com/opencode-ai/opencode@latest](https://github.com/opencode-ai/opencode@latest)
```

✅ Analyse Post-Installation et Résolution

Après investigation, la véritable cause du problème avec le script d’installation curl a été identifiée. Il ne s’agissait pas de la configuration de Zsh, mais du fait que le répertoire d’installation d’Opencode n’était pas dans le PATH.

Le script installe le binaire dans $HOME/.opencode/bin. Pour que le shell le trouve, il faut mettre à jour la variable PATH.

lab% export PATH="$HOME/.opencode/bin:$PATH"

En ajoutant cette ligne à votre .zshrc, la commande opencode sera disponible à chaque connexion.

🚀 Configuration et Première Utilisation

Maintenant que l’outil est correctement installé et accessible, nous pouvons finaliser la configuration.

Authentification Connectez votre client opencode à votre compte en ajoutant vos clés API.
```
lab% opencode auth login
```
Lancer une tâche Utilisons l’agent BUILD avec le modèle GLM-4.6 (de Z.AI) pour lui demander de construire ses propres commandes.
```
lab% opencode "/theme etc..."
```

👀 Observations Initiales

Une première observation intéressante : lorsqu’on lui demande de créer des outils, l’agent génère du code Python, ce qui n’était pas forcément l’attendu. Cela souligne l’importance de formuler des prompts précis pour guider le comportement de l’agent.

📝 Annexe et Prochaines Étapes

Quelques points à considérer pour améliorer et fiabiliser cet environnement.

Polices d’écriture : Installer des polices comme noto-fonts-emoji, car les LLM modernes les utilisent fréquemment, apparemment pour améliorer l’ancrage contextuel.
Timeouts : Des TIMEOUT ont été observés. Une investigation est nécessaire pour en déterminer la cause (réseau dans la jail, limitations des API, etc.).
Utilisation de Tmux : Pour gérer plusieurs shells simultanément au sein de l’environnement nspawn, l’installation et l’utilisation de tmux sont fortement recommandées.