我们构建了安全可扩展的 Agent 沙箱基础设施

我们构建了安全可扩展的 Agent 沙箱基础设施

基本信息

• 作者: gregpr07
• 评分: 30
• 评论数: 6
• 链接: https://browser-use.com/posts/two-ways-to-sandbox-agents
• HN 讨论: https://news.ycombinator.com/item?id=47181316

导语

构建一个既安全又具备高扩展性的 Agent 沙箱环境，是当前 AI 工程化落地中的核心挑战。本文详细介绍了我们如何通过底层架构设计，在保障系统安全性的同时，实现对高频并发请求的稳定支持。读者将从中获得关于资源隔离、环境治理及性能优化的实战经验，为构建生产级 AI 应用提供可靠的技术参考。

评论

中心观点

文章的核心观点是：为了构建安全且可扩展的 AI Agent 基础设施，必须摒弃简单的容器化方案，转而采用基于微虚拟机和 WebAssembly (Wasm) 的严格隔离架构，并结合精细化的资源管控与可观测性设计，以在保障系统安全的同时实现大规模并发。

支撑理由与边界分析

1. 安全隔离的必要性（事实陈述） 文章指出，AI Agent 代码具有高度的不可预测性，传统的容器级隔离（Docker/runc）由于共享宿主机内核，存在容器逃逸风险。作者主张采用 Firecracker 等微虚拟机技术或 Wasm 沙箱，提供内核级别的隔离，确保恶意或失控的 Agent 无法影响宿主机或其他租户。

• 反例/边界条件：微虚拟机带来了额外的启动延迟（通常为数百毫秒）和内存开销（每个 vVM 至少需要 128MB+ 内存）。对于延迟敏感的实时对话场景，或极高密度（单机数千实例）的轻量级 Agent，这种开销可能不可接受，此时传统的 gVisor 或 AppArmor 可能是更折中的选择。

2. 资源配额与防饿死机制（作者观点） 文章强调了限制 CPU、内存、网络带宽以及执行时间的重要性。不仅需要限制总量，还需要针对突发流量进行削峰填谷，防止某个 Agent 的无限循环或高并发请求耗尽整个集群资源。

• 反例/边界条件：过于严格的资源限制可能导致 Agent 在执行复杂推理任务（如加载大型模型上下文或进行长链路思考）时意外被系统杀死（OOM）。在缺乏动态资源调整机制的情况下，静态配额会显著降低 Agent 的任务成功率。

3. 可观测性与调试的挑战（你的推断） 文章提到，沙箱化使得传统的调试手段失效，因此必须构建强大的日志、追踪和指标收集系统，通过 Sidecar 或 eBPF 等方式从沙箱内部提取数据。

• 反例/边界条件：高密度的可观测性数据采集会产生巨大的网络吞吐量和存储成本。如果采样率设置不当，可能会产生“数据洪灾”，反而导致监控系统的性能下降，甚至因为 Sidecar 占用过多资源而挤占 Agent 本身的计算配额。

4. 动态扩缩容与冷启动（事实陈述） 为了应对流量波动，基础设施需要具备快速扩容的能力。文章提倡使用无状态设计，以便快速增减沙箱实例。

• 反例/边界条件：无状态设计要求 Agent 能够将所有上下文保存在外部存储（如 Redis/S3）中。这增加了每次请求的 I/O 延迟。对于需要保持长期会话状态的 Agent，频繁的外部存取会降低用户体验，且增加了分布式状态一致性的复杂度。

维度评价

1. 内容深度与论证严谨性 文章在架构层面的描述非常扎实，准确切中了当前 AI Agent 落地中的痛点——即“代码执行的安全性”与“资源消耗的不可控性”。作者没有停留在理论探讨，而是深入到了具体的实现技术选型（如 MicroVM vs Wasm），体现了较高的工程深度。论证逻辑严密，从安全出发，延伸至性能和成本，形成了闭环。

2. 实用价值 对于正在从 PoC（概念验证）转向生产环境的 AI 工程团队，这篇文章具有极高的参考价值。它提供了一份详尽的“避坑指南”，涵盖了从底层隔离到上层监控的完整技术栈。特别是关于资源限制和非阻塞式监控的建议，直接对应生产环境稳定性（SRE）的核心需求。

3. 创新性 虽然微虚拟机和 Wasm 并非全新技术，但文章将其系统性地应用于 AI Agent 这一特定场景，并提出“Agent Sandbox”作为独立的基础设施形态，具有前瞻性。它将 Agent 视为一种“临时的、不可信的函数”，而非传统的长期运行服务，这种视角的转变是构建下一代 AI 应用基础设施的关键。

4. 可读性 文章结构清晰，技术术语使用准确。通过分层的方式（隔离层、资源层、监控层）阐述复杂架构，易于读者消化理解。逻辑链条顺畅，从问题到解决方案的映射关系明确。

5. 行业影响 此类文章有助于推动行业从“大模型中心论”转向“AI 基础设施论”。随着 Agent 编码能力的增强，沙箱安全将成为标准配置。这篇文章的实践可能会成为未来云厂商提供“Agent Hosting Service”的标准范式。

6. 争议点或不同观点

• Wasm vs Container 的性能之争：文章倾向于 Wasm/微虚拟机，但业界对于 Wasm 在处理复杂系统依赖（如某些 Python C 扩展库）时的兼容性仍有顾虑。传统容器技术（如带有 Kata Containers 的强隔离容器）可能在兼容性和隔离性之间提供更好的平衡。
• 成本转嫁：构建如此复杂的沙箱系统本身成本高昂。对于初创公司，使用云厂商托管的无服务器函数（如 AWS Lambda）配合严格的 IAM 策略，可能比自建微虚拟机集群更具性价比，尽管牺牲了部分定制能力。

实际应用建议

1. 分层安全策略：不要试图对所有 Agent 使用同一套隔离方案。对于内部可信的 Agent，使用容器隔离即可；对于用户提交的代码或第三方插件，必须强制使用微虚拟机或 Wasm。
2. 预设资源模板：不要让用户随意填写 CPU/内存。提供“Small/Medium/Large”几种预设

代码示例

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

# 示例1：基于Docker的临时容器沙箱
import docker
import time

def create_sandbox_container(image_name="python:3.9-slim", timeout=10):
    """
    创建一个临时Docker容器作为沙箱环境
    
    参数:
        image_name: 使用的Docker镜像
        timeout: 容器自动销毁的超时时间(秒)
    
    返回:
        容器执行结果和状态
    """
    client = docker.from_env()
    
    try:
        # 创建并启动临时容器
        container = client.containers.run(
            image=image_name,
            command=["python", "-c", "print('Hello from sandbox!'); import os; print(os.getcwd())"],
            mem_limit="512m",  # 内存限制
            cpu_quota=50000,   # CPU限制
            network_disabled=True,  # 禁用网络
            remove=True,       # 自动删除容器
            timeout=timeout,
            stdout=True,
            stderr=True
        )
        return {"status": "success", "output": container.decode('utf-8')}
    except Exception as e:
        return {"status": "error", "message": str(e)}

# 测试运行
result = create_sandbox_container()
print(result)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

# 示例2：资源监控与限制
import psutil
import subprocess

def monitor_process(command, max_memory=100*1024*1024, max_time=5):
    """
    监控子进程资源使用情况
    
    参数:
        command: 要执行的命令
        max_memory: 最大允许内存(字节)
        max_time: 最大执行时间(秒)
    
    返回:
        执行结果或超时/内存超限信息
    """
    process = subprocess.Popen(command, stdout=subprocess.PIPE, stderr=subprocess.PIPE)
    start_time = time.time()
    
    try:
        while process.poll() is None:
            # 检查内存使用
            try:
                mem = psutil.Process(process.pid).memory_info().rss
                if mem > max_memory:
                    process.kill()
                    return {"status": "memory_exceeded", "used": mem}
            except psutil.NoSuchProcess:
                pass
                
            # 检查执行时间
            if time.time() - start_time > max_time:
                process.kill()
                return {"status": "timeout"}
                
            time.sleep(0.1)
            
        return {
            "status": "completed",
            "stdout": process.stdout.read(),
            "stderr": process.stderr.read()
        }
    except Exception as e:
        return {"status": "error", "message": str(e)}

# 测试运行
result = monitor_process(["python", "-c", "x = 'a'*10000000; print('Done')"])
print(result)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48

# 示例3：安全的文件系统隔离
import tempfile
import os
import shutil

def secure_file_operation(code_str):
    """
    在隔离的临时目录中执行文件操作
    
    参数:
        code_str: 要执行的代码字符串
    
    返回:
        执行结果和临时目录内容
    """
    # 创建临时目录
    temp_dir = tempfile.mkdtemp(prefix="sandbox_")
    original_dir = os.getcwd()
    
    try:
        # 切换到临时目录
        os.chdir(temp_dir)
        
        # 执行代码
        exec_globals = {"__builtins__": {}}
        exec(code_str, exec_globals)
        
        # 获取临时目录内容
        files = os.listdir(temp_dir)
        return {
            "status": "success",
            "files": files,
            "temp_dir": temp_dir
        }
    except Exception as e:
        return {"status": "error", "message": str(e)}
    finally:
        # 恢复原始目录并清理临时目录
        os.chdir(original_dir)
        shutil.rmtree(temp_dir, ignore_errors=True)

# 测试运行
code = """
with open('test.txt', 'w') as f:
    f.write('Hello from sandbox')
"""
result = secure_file_operation(code)
print(result)

案例研究

1：某大型互联网安全公司的自动化漏洞挖掘平台

1：某大型互联网安全公司的自动化漏洞挖掘平台

背景: 该公司运营着一个知名的网络安全漏洞奖励平台，需要处理每天成千上万份来自全球白帽黑客提交的漏洞报告。为了提高效率，他们开发了一套自动化Agent系统，用于初步扫描和验证提交的PoC（概念验证）代码。

问题: 在早期的测试环境中，由于缺乏严格的隔离措施，一个包含恶意代码的PoC脚本在执行时逃逸了容器限制，导致测试节点被入侵，甚至试图横向扫描内网。此外，随着并发扫描任务的激增，原有的基于虚拟机的沙箱环境启动缓慢（分钟级），无法满足高吞吐量的实时分析需求，且资源成本高昂。

解决方案: 团队构建了一套基于微虚拟机和eBPF技术的Agent沙箱基础设施。

1. 强隔离: 采用轻量级虚拟化技术，每个Agent在独立的微内核中运行，即使Agent被攻破也无法影响宿主机或其他任务。
2. 动态资源调度: 实现了无服务器架构，沙箱环境按需创建并在毫秒级内启动，任务结束后立即销毁。
3. 网络管控: 默认丢弃所有出站流量，仅允许通过特定的代理接口返回分析结果。

效果:

• 安全性提升: 彻底杜绝了逃逸风险，成功拦截了后续多次针对沙箱本身的对抗性测试。
• 效率翻倍: 沙箱启动时间从平均45秒降低至500毫秒，系统每日处理的漏洞验证数量提升了300%。
• 成本优化: 由于利用了更激进的超分比和更快的资源回收周期，基础设施运营成本降低了40%。

2：企业级AI数据分析平台

2：企业级AI数据分析平台

背景: 该SaaS平台允许企业用户上传敏感的财务和运营数据，并通过AI Agent自动生成分析报告和图表。用户主要来自金融和医疗等对数据隐私极其敏感的行业。

问题: 随着用户量的增长，多租户环境下的数据隔离成为巨大挑战。之前的系统依赖逻辑隔离，但在处理复杂的Python代码执行（用户自定义的转换逻辑）时，存在内存泄漏导致跨用户数据泄露的风险。同时，由于数据分析任务CPU密集，某些失控的Agent进程会占满宿主机资源，导致整个平台服务不可用。

解决方案: 重构了Agent执行引擎，引入了基于Firecracker的轻量级沙箱集群。

1. 多级隔离: 引入命名空间结合内核级资源隔离，确保每个租户的Agent不仅文件系统独立，CPU和内存使用也受到严格硬限制。
2. 严格的网络阻断: 实施了默认拒绝所有网络访问的策略，防止数据通过外网通道被窃取。
3. 资源限额: 为每个Agent配置了精确的cgroup限制，一旦超时或超限立即强制终止。

效果:

• 合规通过: 成功通过了SOC2和ISO27001审计，满足了金融客户对数据隔离的最高标准。
• 系统稳定性: 单个失控任务不再影响整体服务，平台SLA（服务等级协议）从99.5%提升至99.95%。
• 功能扩展: 得益于安全的沙箱环境，平台得以开放“自定义代码执行”功能，允许用户编写更复杂的分析逻辑，显著提升了产品竞争力。

最佳实践

最佳实践指南

实践 1：实施严格的网络隔离与微分段

说明: 为了防止恶意代码逃逸或横向移动，必须将沙箱环境与生产环境及外部互联网进行严格的逻辑或物理隔离。微分段技术确保即使一个容器被攻破，攻击者也无法访问同一主机上的其他沙箱或敏感服务。

实施步骤:

1. 为沙箱环境分配独立的私有子网（VPC/VNet）。
2. 配置防火墙规则，默认拒绝所有入站和出站流量，仅白名单必要的控制平面流量。
3. 在容器或虚拟机层面启用网络策略（如 Kubernetes Network Policies），限制 Pod 间通信。
4. 实施出口流量过滤，仅允许代理服务器或特定 API 端点访问。

注意事项:

• 避免使用 host 网络模式运行容器。
• 定期审计网络规则，确保没有因配置漂移而开放过多权限。

实践 2：采用不可变基础设施与只读文件系统

说明: 将文件系统设置为只读可以防止 Agent 在运行时修改系统配置或写入恶意文件。结合不可变基础设施，确保每次部署都是全新且干净的，避免状态污染带来的安全风险。

实施步骤:

1. 在容器启动配置中，将根文件系统挂载为只读（readOnlyRootFilesystem: true）。
2. 为需要写入临时数据的目录（如 /tmp）挂载独立的 emptyDir 卷，并设置 noexec 和 nosuid 选项。
3. 使用签名镜像并启用镜像漏洞扫描，确保基础环境无已知漏洞。
4. 强制重启策略，确保容器异常退出后不会保留状态残留。

注意事项:

• 某些 Agent 可能依赖特定的写入路径，需通过配置或代码改造适应只读环境。
• 监控并限制临时存储卷的大小，防止拒绝服务攻击。

实践 3：强化资源限制与配额管理

说明: Agent 执行的代码可能存在死循环或资源耗尽型攻击。通过严格的 CPU、内存和执行时间限制，可以防止单个失控的 Agent 拖垮整个物理节点，保证系统的可扩展性和稳定性。

实施步骤:

1. 为每个沙箱实例配置严格的 CPU 和内存限制（如 Kubernetes 的 limits）。
2. 启用 CPU 节流（Quota）策略，防止突发负载影响宿主机。
3. 设置最大执行时间超时机制，强制终止运行时间过长的进程。
4. 对并发 Agent 数量进行全局限制，保护集群资源。

注意事项:

• 建议使用 requests 和 limits 相同的配置以避免 QoS（服务质量）降级。
• 监控 OOM（内存溢出）事件，调整合理的内存基准线。

实践 4：建立最小权限与安全上下文

说明: Agent 不应以特权模式运行。通过移除不必要的 Linux 能力、放弃 root 权限并强制实施非 root 用户运行，可以显著减少潜在的安全漏洞被利用后的影响范围。

实施步骤:

1. 在容器配置中显式设置 runAsNonRoot: true，并指定一个高权（大于 1000）的 UID。
2. 移除所有 Linux Capabilities（添加 drop: ["ALL"]），仅按需添加最小必需的能力（如 NET_BIND_SERVICE）。
3. 禁用特权提升（allowPrivilegeEscalation: false）。
4. 确保 Seccomp 配置文件处于严格模式，阻断危险的系统调用（如 execve，视需求而定）。

注意事项:

• 避免在容器内使用 sudo 或类似工具。
• 审查基础镜像，确保不包含 setuid 或 setgid 二进制文件。

实践 5：实施全链路可观测性与审计日志

说明: 在隔离环境中运行不可信代码需要极高的透明度。通过收集详细的执行日志、网络流量和系统调用，可以快速检测异常行为、进行故障排查并在安全事件发生后提供取证依据。

实施步骤:

1. 集成 eBPF 或 Falco 等工具，实时监控系统调用和异常行为（如生成 Shell、敏感文件读取）。
2. 将所有 Agent 的标准输出和错误日志集中收集到安全的日志中心（如 ELK 或 Loki）。
3. 记录所有管理 API 的调用日志和审计追踪。
4. 建立告警规则，针对高频网络请求、异常 CPU 占用或文件访问行为触发通知。

注意事项:

• 确保日志存储通道是加密且单向的，防止 Agent 向日志系统注入恶意指令。
• 注意日志脱敏，避免在日志中泄露用户的敏感数据。

实践 6：设计高可用的控制平面与动态伸缩

说明: 为了应对大规模 Agent 调度请求，控制平面必须无状态且具备弹性。这不仅能

学习要点

• 采用微虚拟机（如 Firecracker）而非容器或传统虚拟机作为执行环境，在提供毫秒级启动速度的同时，利用硬件级强隔离性确保宿主内核免受恶意代码影响。
• 利用 Linux 内核的 eBPF 技术构建非侵入式的可观测性层，在不修改 Agent 代码或 Sandbox 内核的情况下，实现对网络、文件系统及系统调用的深度监控与安全审计。
• 设计基于“容量包”的分层资源配额系统，将 CPU、内存、网络带宽和运行时长打包，不仅能有效防止资源滥用，还能通过灵活的定价策略优化成本结构。
• 实施严格的网络微隔离策略，默认阻断所有出站流量并仅允许白名单通信，结合 DNS 拦截和 IP 验证，防止 Agent 被劫持后攻击内网或外泄数据。
• 引入“冷启动”资源池和自动回收机制，在请求到来前预先初始化部分实例，并在任务结束后快速清理资源，以平衡低延迟响应与高昂的计算成本。
• 建立多级安全防御体系，包括针对 LLM 生成代码的静态分析、运行时沙箱限制以及针对高频异常行为的熔断机制，以应对 AI Agent 不可预测的执行风险。
• 采用事件驱动架构将 Sandbox 控制平面与执行平面解耦，使用消息队列处理任务分发和状态同步，从而支持高并发下的水平扩展。

常见问题

1: 什么是 Agent Sandbox（智能体沙箱），为什么它是构建 AI 应用所必需的？

1: 什么是 Agent Sandbox（智能体沙箱），为什么它是构建 AI 应用所必需的？

A: Agent Sandbox 是一种安全的隔离环境，专门用于运行自主 AI 智能体的代码。由于现代 AI 智能体通常被赋予使用工具、执行代码和访问外部 API 的能力来解决复杂任务，如果直接在生产环境或本地系统中运行，它们可能会意外删除文件、进入无限循环消耗资源，或执行恶意代码。沙箱技术通过将智能体的执行环境与主机系统隔离开来，确保了即使智能体行为不可预测，也不会对核心系统造成破坏或泄露敏感数据。

2: 该基础设施如何解决智能体运行时的安全性问题？

2: 该基础设施如何解决智能体运行时的安全性问题？

A: 该基础设施主要从三个层面解决安全问题：

1. 资源隔离：通常使用容器化技术（如 Docker）或微虚拟机，确保智能体只能访问受限的计算资源（如 CPU、内存），无法访问宿主机的文件系统或网络。
2. 网络控制：实施严格的出站网络策略。智能体通常只能通过特定的网关访问互联网，且会被阻止访问内部私有 IP 地址，防止其被利用进行内网横向移动（SSRF 攻击）。
3. 不可变基础设施：每次执行都是在一个全新的、临时的环境中启动。执行完毕后，环境会被销毁。这防止了状态残留（例如恶意软件持久化），并保证了不同任务之间的独立性。

3: “Scalable”（可扩展）在这里具体指什么？它是如何实现的？

3: “Scalable”（可扩展）在这里具体指什么？它是如何实现的？

A: “Scalable” 指的是系统能够根据负载情况，自动、高效地创建或销毁成千上万个并行的沙箱实例，以处理大量用户的智能体请求。实现这一点通常依赖于无服务器架构或容器编排技术（如 Kubernetes）。当 AI 应用接收到请求时，基础设施会动态“冷启动”一个沙箱环境；任务完成后，该环境会被快速回收。这种设计使得开发者无需为闲置资源付费，仅需为实际执行的智能体运行时间付费，从而在保证性能的同时优化了成本。

4: 在沙箱环境中运行代码是否会增加延迟（Latency）？

4: 在沙箱环境中运行代码是否会增加延迟（Latency）？

A: 是的，引入沙箱层通常会增加一定的延迟，特别是“冷启动”时间，即从接收到请求到沙箱环境准备好并开始执行代码的时间。为了解决这个问题，现代架构通常采用以下优化策略：

1. 预热池：保持一定数量的空闲沙箱处于待命状态，以便随时分配给请求。
2. 轻量级隔离：使用更轻量的虚拟化技术（如 gVisor、Firecracker）来减少启动开销。
3. 资源复用：在严格的清理机制下，对短时间内的多次请求尝试复用同一个容器实例。

5: 这种基础设施允许智能体访问哪些类型的资源？

5: 这种基础设施允许智能体访问哪些类型的资源？

A: 这取决于具体的配置策略，但通常设计为“默认拒绝，显式允许”。智能体通常被允许：

1. 计算资源：临时性的 CPU 和内存使用。
2. 特定的 API 调用：通过预定义的 SDK 或工具接口访问外部服务（如搜索数据库、调用天气 API）。
3. 受控的文件存储：访问一个临时的、隔离的内存文件系统或受严格权限控制的云存储桶。 它通常被禁止直接访问宿主机硬盘、未经授权的内部服务或敏感的环境变量。

6: 相比于直接在服务器上运行 Python 脚本，使用这种专用基础设施的主要成本劣势是什么？

6: 相比于直接在服务器上运行 Python 脚本，使用这种专用基础设施的主要成本劣势是什么？

A: 主要的劣势在于复杂性和资源开销。直接在服务器运行脚本只需要基本的进程管理，而沙箱基础设施需要维护虚拟化层、编排系统、安全监控以及额外的网络代理。此外，虽然按需付费节省了闲置成本，但对于极高频率、极短时间的任务，频繁的冷启动和资源调度可能会产生比传统长运行服务更高的计算成本。因此，这种架构最适合处理突发性、非确定性或由用户触发的任务，而非高频的简单逻辑。

7: 该基础设施如何处理智能体执行过程中的死循环或资源耗尽？

7: 该基础设施如何处理智能体执行过程中的死循环或资源耗尽？

A: 健壮的沙箱基础设施必须实施严格的“看门狗”和资源限制机制：

1. 超时机制：每个智能体任务都有硬性的时间限制（如 30 秒或 5 分钟）。一旦超时，运行时会被强制终止。
2. 资源配额：限制内存使用量和 CPU 时间片。如果智能体尝试分配超过阈值的内存（例如陷入无限递归导致堆栈溢出），系统会触发 OOM（内存溢出）杀手并终止该进程。
3. 成本控制：某些高级沙箱还会监控 API 调用次数或 Token 使用量，以防止智能体在死循环中消耗昂贵的 LLM 配额或外部服务费用。

思考题

## 挑战与思考题

### 挑战 1: [简单]

问题**: 在构建 Agent 沙箱时，资源隔离是基础。假设你需要在一个 Linux 服务器上为不可信的代码运行环境提供隔离，且不能依赖虚拟化技术（如 KVM），你会选择哪种技术作为核心隔离机制？请说明该技术与原生进程相比，在操作系统层面提供了哪些具体的隔离边界。

提示**: 思考 Linux 命名空间和控制组这两个内核特性的组合。命名空间负责隔离什么？Cgroups 又负责限制什么？

引用

• 原文链接: https://browser-use.com/posts/two-ways-to-sandbox-agents
• HN 讨论: https://news.ycombinator.com/item?id=47181316

注：文中事实性信息以以上引用为准；观点与推断为 AI Stack 的分析。

站内链接

• 分类： 系统与基础设施 / 安全
• 标签： Agent / 沙箱 / 基础设施 / 安全隔离 / 可扩展性 / 容器化 / 微服务 / 系统架构
• 场景： Web应用开发

相关文章

• Matchlock：基于 Linux 沙箱的 AI 智能体安全隔离方案
• Amla Sandbox：面向 AI 智能体的 WASM Bash 沙箱
• Amla Sandbox：面向 AI 智能体的 WASM Bash Shell 沙箱
• Amla Sandbox：面向 AI 智能体的 WASM Bash Shell 沙箱
• Amla Sandbox：面向 AI 智能体的 WASM Bash 沙箱 本文由 AI Stack 自动生成，包含深度分析与可证伪的判断。