Mbox présente un nouveau modèle d'utilisation de sandbox;lors de l'exécution d'un programme dans le sandbox, Mbox empêche les programmes de modifier le système de fichiers hôte tout en leur donnant l'impression qu'ils effectuent effectivement ces modifications.Mbox y parvient en fournissant un système de fichiers sandbox en couches et en interposant les appels système avec ptrace et seccomp / BPF.À la fin de l'exécution du programme, l'utilisateur peut examiner les modifications apportées au système de fichiers sandbox et les valider de manière sélective dans le système de fichiers hôte.