LangChain 推出 LangSmith Sandboxes 以实现安全的 AI 代理代码执行

Darius Baruo 2026年3月17日 16:28

LangChain 推出私人预览版 LangSmith Sandboxes,为 AI 代理提供 microVM 隔离环境以安全执行不受信任的代码。

LangChain 已发布私人预览版 LangSmith Sandboxes,为开发者提供隔离环境,让 AI 代理可以执行代码而不会损害主机基础设施。该功能配备 microVM 隔离、持久状态管理以及与现有 LangSmith SDK 的集成。

这个时机解决了一个日益严重的痛点。从 Cursor 到 Claude Code 的编码代理已经展示了当 AI 可以编写和运行自己的代码时的可能性。但这种能力也伴随着风险——ClawSecure 的研究发现,41% 的 OpenClaw 技能包含可能在本地环境中执行破坏性或恶意操作的漏洞。

实际推出的功能

LangSmith Sandboxes 在硬件虚拟化的 microVM 上运行,而不是标准的 Linux 容器。这是一个有意义的区别:传统容器共享主机内核,而 microVM 在每个沙箱实例之间提供内核级隔离。

开发者可以通过单个 SDK 调用启动沙箱,从私有注册表引入自己的 Docker 镜像,并为 CPU 和内存配置定义可重用的模板。该系统支持池化和自动扩展——预配置的热沙箱消除了冷启动延迟,在负载下会自动启动额外的实例。

对于较长的代理任务,沙箱维护持久的 WebSocket 连接并进行实时输出流式传输。文件、已安装的包和环境状态在运行之间保持,因此代理不会在多次交互中丢失上下文。

安全性通过身份验证代理处理,该代理路由外部服务调用而不向沙箱运行时暴露凭证。机密信息永远不会接触执行环境。

LangChain 构建这个功能是为了在自己的生态系统之外工作。Python 和 JavaScript SDK 与 LangChain 的 Deep Agents 框架和 Open SWE 项目集成,但沙箱可以与其他框架一起使用,或者根本不使用框架。

多个代理可以共享沙箱访问权限,消除了在隔离环境之间传输工件的需要。隧道将沙箱端口暴露给本地机器,以便在部署前预览代理输出。

LangChain 概述了几个正在积极开发的功能:用于跨沙箱状态管理的共享卷、用于限制哪些程序可以执行的二进制授权,以及记录 VM 内每个进程和网络调用的完整执行跟踪。

二进制授权部分可能特别有价值。代理经常表现出意外行为——安装包、导出凭证、在非预期任务上消耗计算资源。在二进制级别限制执行反映了企业如何锁定公司设备。

对私人预览感兴趣的开发者可以通过 LangChain 的网站加入等待名单。该公司正在通过其 Slack 社区征求关于功能优先级的反馈。

图片来源:Shutterstock