如果你在过去一个月关注过 AI Agent 开发,会注意到一个反复出现的词:沙箱。
不是 Docker 容器那种传统意义上的沙箱,而是专门为 AI Agent 设计的执行环境——要能跑 LLM 生成的代码,要有文件系统隔离、网络限制、权限控制,还要能跟外部工具和服务对接。
这个赛道正在快速成型。
为什么沙箱突然变得重要
Agent 能写代码了,但在哪里执行成了最大的工程问题。
Claude Code、Codex、Cursor 都有自己的沙箱层,但它们不对外提供。如果你想构建一个面向用户的 Agent 产品——比如让用户用自然语言描述需求、Agent 自动完成开发——你需要一个安全、可控的执行环境来跑 Agent 生成的代码。
这就是沙箱基础设施存在的理由。
当前生态分层
粗略看,这个赛道分三层:
底层:云沙箱提供商
- E2B:最早的 Agent 沙箱即服务,提供隔离的代码执行环境
- Modal:以 serverless 方式提供计算资源,被大量 Agent 框架用作执行后端
- Daytona:专注开发环境沙箱,最近也在向 Agent 方向转型
中层:框架级沙箱
- flue(withastro):Astro 联合创始人 Fred K. Schott 新开源的 TypeScript Agent 沙箱框架,刚发布 0.4.1
- AgentScope Runtime:面向生产级的 Agent 运行时,内置沙箱生命周期管理
- Anthropic Managed Agents:Anthropic 自家的托管 Agent 基础设施,包含沙箱执行
上层:集成方案
- Claude Code:内置沙箱,不对外提供但定义了行业标准
- OpenAI Codex:同样内置沙箱,近期更新了技能目录
- Cursor:编辑器内置 Agent 执行环境
核心挑战
安全是第一位的。LLM 生成的代码不可预测,沙箱必须能防御容器逃逸、权限提升、数据外泄。2024-2025 年已经有多个公开的容器逃逸 CVE(比如 CVE-2024-21626 runc 逃逸),AWS、Google、Azure 在 2025-2026 年密集推出的 AI 沙箱产品,无一例外都采用了高于标准 Docker 的隔离级别。
标准缺失。目前没有一个统一的 Agent 沙箱 API。E2B 有自己的一套,Modal 有自己的一套,Anthropic 又是一套。flue 试图做标准化,但刚起步。
成本。沙箱不是免费午餐。每次 Agent 执行都要启动隔离环境、分配资源、执行后销毁,这些成本直接反映在产品价格上。对高频 Agent 应用来说,沙箱开销可能比模型 API 调用还贵。
判断
沙箱层正在从"Agent 框架的一个组件"变成"独立的基础设施层"。这个趋势在 2026 年上半年已经很明显了。
对开发者的建议:如果你在做 Agent 产品,不要自己搞沙箱。要么用 E2B、Modal 这类现成服务,要么用 flue 这种开源框架。自己从 Docker 搞隔离边界的风险和成本都不值得。
对投资者的信号:Agent 沙箱正在复制 2020 年代初期"数据库即服务"的路径——从项目内置组件变成独立的基础设施层。这个层的赢家会是谁,取决于谁能提供最好的安全保证和最低的延迟。
下一步观察点:E2B 的下一轮融资(如果有),以及 flue 能否在开源社区建立起连接器生态。沙箱的价值不在沙箱本身,在它能连多少服务。
主要来源:
- GitHub withastro/flue 项目
- AI Agent 沙箱架构深度分析(今日头条)
- AgentScope Runtime 文档
- Anthropic Managed Agents 官方文档