Agent-Sandbox：为AI代理代码执行打造的企业级“诺克斯堡”

技术深度剖析

Agent-Sandbox的架构围绕临时性、硬件级隔离这一原则构建。与简单的基于容器的沙箱（例如带有seccomp配置文件的Docker）不同，Agent-Sandbox利用微VM技术——很可能基于Firecracker（AWS开源的虚拟化技术，为Lambda和Fargate提供支持）或类似的轻量级hypervisor。每个代理会话都会生成一个专用的微VM，拥有自己的内核、文件系统和网络栈。这确保了即使LLM生成的代码执行了内核漏洞利用，也无法逃逸到宿主机或影响其他会话。

该平台暴露了一个与E2B Sandbox API完全兼容的REST API。这意味着任何已经支持E2B的代理框架——例如LangChain的`E2BSandbox`工具、AutoGPT的代码执行模块或CrewAI的沙箱化任务——只需更改端点URL和API密钥，即可切换到Agent-Sandbox。该API支持：

- 代码执行：在隔离环境中运行Python、JavaScript、Shell脚本和其他语言。沙箱强制执行CPU/内存限制（每个会话可配置），并杀死任何超出限制的进程。
- 浏览器使用：在沙箱内生成一个无头Chromium实例。代理可以导航到URL、点击元素、填写表单并提取数据。浏览器在单独的命名空间中运行，除了通过受控代理外，无法访问宿主机的网络。
- 计算机使用：使用Xvfb（虚拟帧缓冲区）和xdotool等工具模拟鼠标移动、键盘输入和屏幕捕获。这对于需要与遗留桌面应用程序或基于GUI的工具交互的代理至关重要。
- 网站部署：启动一个临时HTTP服务器（例如，使用Python的`http.server`或Node.js Express），可通过随机生成的URL访问。该服务器是隔离的，并在可配置的超时后自动拆除。

安全模型是多层的：
1. 网络出口过滤：默认情况下，沙箱会阻止所有出站连接，除了列入白名单的域名（例如代理的控制服务器、PyPI或npm等包注册表）。这可以防止数据泄露。
2. 文件系统隔离：每个微VM从只读基础映像获得一个全新的根文件系统。会话结束时，所有写入都会被丢弃。除非通过安全卷显式挂载，否则不允许持久化存储。
3. 内核加固：微VM内核使用最少的模块编译，不支持加载内核模块，并通过seccomp-bpf进行严格的系统调用过滤。常见的攻击向量如`ptrace`、`mount`和`namespace`操作被阻止。
4. 资源配额：每个会话的CPU、内存、磁盘I/O和网络带宽都有上限。失控的循环或内存炸弹不会影响其他会话或宿主机。

该项目是开源的（GitHub: agent-sandbox/agent-sandbox），但目前社区参与度有限（123颗星，近期无提交）。README表明它已可用于生产环境，但缺乏活动引发了关于维护和支持的疑问。核心技术栈似乎是Go用于API服务器，Rust用于微VM管理器（可能使用`rust-vmm`生态系统），以及TypeScript用于SDK/客户端库。

| 特性 | Agent-Sandbox | E2B (云端) | Modal Sandbox |
|---|---|---|---|
| 隔离级别 | 微VM (Firecracker) | 微VM (Firecracker) | 容器 (gVisor) |
| 部署方式 | 自托管 (本地/VPC) | 仅云端 | 仅云端 |
| E2B API兼容 | 是 (完全) | 原生 | 否 |
| 浏览器支持 | 无头Chromium | 无头Chromium | 有限 (通过Playwright) |
| 计算机使用 (GUI) | 是 (Xvfb + xdotool) | 是 | 否 |
| 定价 | 免费 (自托管) | 按秒付费 ($0.003/s) | 按秒付费 ($0.002/s) |
| 开源 | 是 (MIT) | 否 | 否 |
| 最大会话时长 | 可配置 (默认1小时) | 24小时 | 24小时 |

数据要点： Agent-Sandbox的关键优势在于自托管和E2B兼容性，但在会话时长限制和社区成熟度方面有所欠缺。对于需要气隙部署的企业（例如国防、金融），这种权衡是值得的。

关键参与者与案例研究

Agent-Sandbox进入了一个目前由两大主要参与者主导的市场：E2B和Modal。E2B由Vojtech和Honza创立，已成为AI代理框架的默认沙箱。它被LangChain、AutoGPT和Superagent使用。E2B的云服务每月处理数百万个沙箱会话，客户包括运行自动化交易策略的对冲基金和测试LLM生成的结账流程的电商平台。然而，E2B是一个闭源、仅限云端的服务。这为受监管行业设置了一个硬性障碍，这些行业无法将专有代码或敏感数据发送到第三方云端。

Modal提供类似的沙箱产品，但专注于无服务器GPU计算和通用代码执行。其沙箱功能对代理工作流的专业化程度较低——