如何在 macOS 上安全的运行有风险程序? 以哪种方式隔离更加合理呢?

自带的 sandbox-exec ，配置个沙箱文件就行

https://support.apple.com/zh-cn/guide/mac-help/mh11785/mac
使用文件保险箱保护 Mac 上的数据
外置硬盘系统 不要 解锁内置系统就可以

最新版 macmini 呗，物理隔离才是正道，你看起来最贵的方案才是最省钱的。

@max1 物理隔离确实可以, 但是需要多套环境的情况下, 还是得做虚拟化.

@Int100 三套环境呗，一套 pve 或者 esxi 为底层的虚拟化，一套 macOS ，一套开发环境。

@Int100 我的理念就是能花钱解决的就花钱去解决（承受范围内），不要因为这种非必要的问题去过多牵扯自己的精力。

提供一些新思路：要绝对安全的，M1M2 可以装大名鼎鼎的社区驱动的原生 Asahi Linux ，现在是 Fedora 官方和 Asahi 合作的版本了，Ubuntu 也有 Asahi Ubuntu 不过没有 Fedora 更新快。目前连 GPUVulkan 1.4/DX12 支持和 x86/x64 转译都有了（用的 Fex-emu 和 muvm ，不同于 rosetta 的方案）。如果一定要用 macos 的环境的话其实可以不用外接硬盘直接在本地装双系统的。因为 Apple Silicon 得安全机制 APFS 不同 container 加密后是不能互访的;；同时同一个卷宗上的不同 macOS 系统可以设置不同的 security policy ，譬如 AS 平台上允许一个 macOS 关闭 SIP 和 Kext 校验，但同意硬盘上另一个 macOS 却可以保持完整安全性不受影响