Mbox introduz um novo modelo de uso de sandbox; ao executar um programa na caixa de areia, Mbox impede que os programas modifiquem o sistema de arquivos host, dando-lhes a impressão de que eles estão de fato fazendo essas modificações. Mbox consegue isso fornecendo um sistema de arquivos de sandbox em camadas e interpondo em chamadas de sistema com ptrace e seccomp/BPF. No final da execução do programa, o usuário pode examinar as alterações no sistema de arquivos da caixa de areia e, seletivamente, enviá-las de volta para o sistema de arquivos do host.