矽基前沿 [Si]gnals
AI agent 在隔離沙箱中執行程式碼的示意 (placeholder)
大百科

agent sandbox 是什麼?先關起來再讓 AI 動手

跑 coding agent 前,先看它被關在哪——四種隔離技術一次分清

本文由 AI 協助研究與起草,矽基前沿編輯部編修,總編輯廖玄同審閱定稿。 編輯方針與 AI 使用說明

2025 年 7 月,成立才兩年的新創 E2B 宣布拿到 Insight Partners 領投的 2,100 萬美元 A 輪。它賣的東西講白了只有一件事:給 AI 一台「用完即丟的隔離電腦」。官方公告裡有一個更搶眼的數字——Fortune 100 大企業中,88% 已經在它平台上註冊。

一個幫 AI 開隔離環境的工具,兩年做到美國百大企業幾乎全員報到。這背後是 2025 到 2026 年所有跑 agent 的團隊都撞上的同一個問題:AI 會自己寫程式、自己執行,你不可能在每次按 Enter 前逐行看過。

Agent sandbox(代理沙箱)是讓 AI agent 產生的程式碼與動作在一個隔離環境中執行的機制,限制它能讀寫哪些檔案、連哪些網路位址、使用多少系統資源。就算 agent 被惡意指令騙了、或單純寫錯東西,破壞也被關在沙箱裡,碰不到你的主機、憑證與內網。它管的是「做了之後傷害多大」,跟管「該不該做」的權限審批互補。

一個生活比喻:請水電工來家裡修浴室,你會開門讓他進那間浴室,但你不會給他全家鑰匙、保險箱密碼加上你的手機。沙箱就是那間「只開放浴室」的安排——檔案範圍是他能進的房間,權限模式是他動工前要不要先問你,網路出口是他能不能用你家電話打給外面的人。

沙箱從加分題變必考題的兩個推力

第一個推力是 agent 的自主性。2026 年的 coding agent 一個任務動輒跑幾十分鐘、執行上百條指令,每條都跳出來問你「可以嗎?」沒有人受得了。Anthropic 在 2025 年 10 月的工程部落格給了數字:導入沙箱後,內部使用的權限彈窗減少了 84%——先把環境關好,就可以放心讓 agent 在裡面自動執行。

第二個推力是提示注入(prompt injection)。開發者 Simon Willison 在 2025 年 6 月 16 日提出了 lethal trifecta(致命三要素)框架:一個 agent 同時具備「存取私有資料」「接觸不受信內容」「對外通訊」三種能力時,攻擊者就能用藏在網頁或文件裡的指令,叫 agent 把你的資料送出去。

這兩個框架剛好互補,2026 年談 agent 安全基本上就是這兩套並用:

框架回答的問題手段
Lethal trifecta該不該同時給 agent 這三種能力架構設計時砍掉其中一隻腳
Agent sandbox給了能力之後,出事時傷害多大用 OS/虛擬化原語物理性關住通道

沙箱的網路隔離直接對應 trifecta 的第三隻腳:agent 連不出去,偷到資料也送不出去。Anthropic 那篇工程文章特別強調,有效的沙箱要同時做檔案隔離與網路隔離——只鎖檔案不鎖網路,被入侵的 agent 還是能把讀到的東西傳出去。

「Docker 不夠」——四種隔離技術分清楚

2026 年 agent 基礎設施圈有個反覆出現的共識:拿標準 Docker 容器來跑 agent 生成的程式碼,隔離強度不夠。Northflank 在 2026 年 2 月的技術文章講得直接:容器與主機共用同一個 Linux kernel,「一個核心漏洞或設定錯誤,就可能讓攻擊者逃出容器、存取主機與其他容器」。傳統應用程式的程式碼有人寫過、審過;agent 執行的是動態生成、沒人看過的程式碼,威脅模型完全不同。

目前主流的四種隔離技術:

技術隔離原理強度代價代表使用者
容器(container)Linux namespace 加 cgroups,共用 host kernel最輕、生態最成熟一般 CI/CD
gVisor使用者空間核心,攔截所有 syscall中高部分 syscall 相容性、效能損耗Modal、Google Cloud Run
microVM(如 Firecracker)每個沙箱一個獨立 guest kernel,硬體虛擬化冷啟動較重(Firecracker 約 125 毫秒起)、GPU 支援麻煩E2B、AWS Lambda
WASM(WebAssembly)語言層線性記憶體沙箱,預設什麼都不能碰高(模型不同)生態限制大,很多既有工具跑不了Microsoft Wassette

幾個名字的背景:gVisor 是 Google 開源的使用者空間核心,程式碼發的系統呼叫先被它攔下來,不直接碰真的 kernel。Firecracker 是 AWS 開源的 microVM 技術,撐起 Lambda 的底層;要逃出 Firecracker 沙箱,攻擊者得先後突破 guest kernel 與 hypervisor 兩道牆。Kata Containers 則是把 microVM 包成容器介面、方便接 Kubernetes 的中間路線。WASM 走的是另一條路:微軟 2025 年 8 月開源的 Wassette 就是用 WebAssembly 元件當 agent 工具的執行層,從「預設零權限」開始往上加。

沒有哪個選項全贏。隔離越強,啟動越慢、相容性越差、GPU 越難接;所以實務上是看 workload 選工具。

Claude Code、Codex、E2B 實際怎麼關

Claude Code 在 2025 年 10 月 20 日推出沙箱功能,走「OS 原生原語」路線:Linux 用 bubblewrap、macOS 用 Seatbelt,把 Bash 指令與它生的所有子程序一起關住。檔案預設只能寫當前工作目錄,網路只能經過沙箱外的 proxy 連白名單網域。搭配權限模式使用:開沙箱後可以設定「沙箱內的指令自動放行、要碰沙箱外的才回到逐條審批」。這套 runtime 已開源(GitHub 上的 anthropic-experimental/sandbox-runtime)。

OpenAI Codex 的預設姿態更保守:沙箱內執行、網路預設關閉、寫入限工作目錄。技術上 macOS 同樣用 Seatbelt,Linux 用 bubblewrap 加 seccomp 與 Landlock;雲端版的 Codex 則直接跑在 OpenAI 代管的隔離容器裡。要開網路得自己在設定裡明確打開。

E2B 和 Modal 是給你自建 agent 用的雲端沙箱層。E2B 用 Firecracker microVM,每個 agent 任務開一台隔離的迷你電腦,客戶包括 Hugging Face、Perplexity 與 Manus;Modal 用 gVisor 隔離容器,主打大規模並行跑不受信程式碼。

看得出一個分工:本機 agent 用 OS 原生原語(輕、快、貼近你的開發環境),雲端平台用 microVM 或 gVisor(重、但多租戶下必須更強)。

沙箱擋不住的事

誠實講邊界,沙箱至少有四個管不到的地方。

擋不住「範圍內的蠢事」。 agent 在允許寫入的專案目錄裡刪錯檔案、把 API 金鑰寫進程式碼再 commit——這些動作全部合規,沙箱不會攔。沙箱管的是邊界,管不了邊界內的品質。

網路白名單本身可以變成漏洞。 你為了讓 agent 能裝套件而開放 github.com,它就多了一條把資料 push 到陌生 repo 的出路。白名單開得越寬,lethal trifecta 的第三隻腳就長回來越多。

逃逸機率低但存在。 共用 kernel 的方案吃核心漏洞,microVM 也有 hypervisor 攻擊面。隔離技術降低的是機率與爆炸半徑,沒有任何一層是絕對的。

數字要打折看。 E2B 的「Fortune 100 中 88%」是官方說的「已註冊」,公告沒有揭露其中多少是付費客戶。採用訊號是真的,但把它讀成「88% 的美國百大企業付錢用沙箱」就超譯了。

跑 coding agent 前,檢查三件事

不管你用哪家工具,開工前花五分鐘確認:

  1. 權限模式——agent 動手前會不會問你?如果有「自動放行」模式,確認它只在沙箱內生效。最危險的組合是「全自動加沒沙箱」。
  2. 網路出口——預設能不能連外?白名單在哪裡設?只開你真的需要的網域(套件庫、公司內部服務),開一個算一個。
  3. 檔案範圍——可寫入的目錄是不是只有專案資料夾?試著讓它讀 ~/.ssh 或雲端憑證檔,確認被擋下來。

再加一條判斷準則:對照 lethal trifecta 數一下——你的 agent 同時碰得到私有資料、讀得到不受信內容(網頁、issue、別人的文件)、又連得了外網嗎?三個全開,你就是教科書上的攻擊面。關掉一個,風險結構性下降。

收尾

Agent sandbox 這個詞在 2026 年的分量,來自一個簡單的事實轉變:AI 從「給建議」變成「直接動手」,而動手的程式碼沒有人逐行審過。E2B 兩年拿下 Fortune 100 的 88% 註冊、Anthropic 與 OpenAI 把沙箱直接做進 coding agent 預設值,都在說同一件事——先關起來再讓 AI 動手,已經從最佳實踐變成出廠設定

你可以現在就做的一件事:打開你正在用的 coding agent,把上面三個檢查跑一遍。五分鐘,換一個確定的答案:它到底被關在哪。

資料來源:Anthropic Engineering、Claude Code Docs、OpenAI Codex Docs、Simon Willison、E2B Blog、Northflank、VentureBeat、Microsoft Open Source Blog

LEARN

想系統性學會,不只看這一則?

Claude Code 教學:用終端 AI Agent 完成真正的工作

讓 Claude Code 在你的專案裡完成一個真實任務,而且控得住權限、驗得了 diff、管得住成本。

從第 0 課開始 →

SOURCES

  1. A Anthropic Engineering — Making Claude Code more secure and autonomous with sandboxing
  2. A Claude Code Docs — Configure the sandboxed Bash tool
  3. A OpenAI Developers — Codex Sandboxing
  4. A Simon Willison — The lethal trifecta for AI agents
  5. A E2B Blog — We Raised $21M to Give Fortune 100 Cloud for AI Agents
  6. B Northflank — How to sandbox AI agents
  7. B VentureBeat — How E2B became essential to 88% of Fortune 100 companies
  8. B Microsoft Open Source Blog — Introducing Wassette: WebAssembly-based tools for AI agents

來源分級:A = 一手公告/論文/官方文件 · B = 可信媒體 · C = 可參考但需脈絡 · D = 觀察用,不可當事實。

MACHINE-READABLE SUMMARY

Topic
大百科
Key claims
  • Agent sandbox 是讓 AI agent 產生的程式碼與指令在隔離環境中執行的機制,用 OS 或虛擬化原語限制檔案、網路與系統資源存取,控制的是「出錯之後傷害多大」。
  • 2025 年 10 月 Anthropic 為 Claude Code 推出沙箱功能,用 Linux bubblewrap 與 macOS Seatbelt 做檔案加網路雙重隔離,內部測試讓權限彈窗減少 84%,並開源了 sandbox-runtime。
  • OpenAI Codex 預設在沙箱中執行,網路預設關閉、寫入限工作目錄;macOS 用 Seatbelt,Linux 用 bubblewrap 加 seccomp 與 Landlock。
  • 沙箱新創 E2B 於 2025 年 7 月宣布獲 Insight Partners 領投的 2,100 萬美元 A 輪,官方稱 Fortune 100 企業中 88% 已在其平台註冊;其底層用 Firecracker microVM。
  • 2026 年業界共識是標準容器共用 host kernel、單一核心漏洞即可能讓不受信程式碼逃逸,因此跑 agent 程式碼的隔離層多改用 gVisor、microVM 或 WASM。
Entities
Agent Sandbox · E2B · Firecracker · gVisor · WebAssembly · Claude Code · OpenAI Codex · Modal · Anthropic · Simon Willison
Taiwan relevance
low
Confidence
high
Last updated
2026-07-05
Canonical URL
https://signals.tw/articles/what-is-agent-sandbox/

SUGGESTED CITATION

如果 AI agent / 研究 / 報導要引用本文,建議格式如下:

矽基前沿 · 大百科線(編輯:廖玄同),《agent sandbox 是什麼?先關起來再讓 AI 動手》,矽基前沿 [Si]gnals,2026-07-05。https://signals.tw/articles/what-is-agent-sandbox/

AI agents / search engines may quote, summarize, and cite with attribution and a link back to the canonical URL above. See /for-ai-agents for full policy.

WEEKLY [SI]GNALS

訂閱《矽基前沿週報》

每週五早上,總編輯親自寫的本週 AI 重要訊號 + 台灣視角。

5 個值得知道的訊號 · 1 個產品/模型動態 · 1 個總編判斷 · 5 分鐘讀完。

免費 · 隨時取消 · 不轉售你的 email。