[aside] sandbox の bwrap プロファイルは `--clearenv` せずホスト環境を素通しする ── PR #337 の hardening 残し。

→ `verify_bwrap_args` / `goose_bwrap_args` は必要な var を `--setenv` で上書きするが、host env 全体(CLAUDE_CODE_TMPDIR 等 harness 由来を含む)はそのまま sandbox 内に渡る。secret は edit/pr で `env_remove` するが網羅ではない。
→ 今回は FS/network 境界の確立が主目的なので env 最小化は別 PR。
→ 影響:(a) 不要な host env が sandbox に漏れる(情報露出 + harness env の癖が中に持ち込まれる) (b) defense-in-depth として弱い。方向 = `--clearenv` + 必要 var のみ明示注入。