AIエージェントに専用のコンピュータを

大規模言語モデルは推論が得意ですが、それだけでは実際の作業をこなせません。AIエージェントがコードを実行する際には、ファイルシステム、シェル、パッケージマネージャ、永続状態といった実際のコンピュータ環境が必要ですが、インフラへの直接アクセスは非常に危険です。

考えてみてください：あなたは1台のラップトップを使っています。スケールは「1」です。しかし、エージェントは数百万ものタスクを実行する必要があり、それぞれが独立したコンピュータを必要とします。これこそが今起きているインフラシフトです。サティア・ナデラ（Satya Nadella）は「すべてのエージェントにコンピュータが必要だ」と明確に述べています。問題は、そのコンピュータがどのようなもので、どのように安全に提供するかです。LangSmith Sandboxesは、その答えです。

エージェントがコンピュータを持つと何が可能になるか？Cursor、Claude Code、ChatGPTのコードインタプリタを考えてみてください。これらは質問に答えるだけでなく、コードを実行し、エラーを確認し、修正して再実行し、動作する成果物を届けます。このフィードバックループこそが、デモエージェントと本番エージェントを分けるものです。エージェントが実行できるようになると、次のような作業が可能になります：コーディングアシスタントは修正を適用してテストを実行；データアナリストはCSVを取得してレポートを作成；CIエージェントはリポジトリをクローンし、依存関係をインストールしてPRを開く；研究エージェントはブラウジング、スクレイピング、合成、執筆を実行；コンテンツパイプラインは生成、レンダリング、出力；強化学習や評価フレームワークは並列環境をスケールアップ。これらに共通するのは、エージェントがトークンストリーム以上のもの、つまり「作業場所」を必要とすることです。

なぜエージェントにラップトップを直接渡せないのか？第一に、エージェントはデフォルトで信頼できないコードを実行します。コードはモデル、ユーザープロンプト、クローンしたリポジトリ、インストールしたパッケージから来る可能性があり、完全に検証できません。2025年9月には、自己複製型npmワーム「Shai-Hulud」が500以上のパッケージにバックドアを仕掛け、検証前にコードが実行されました。第二に、コンテナだけでは不十分です。コンテナは既知の検証済みアプリケーションコードの隔離には優れていますが、エージェントが任意の依存関係をインストールし、モデル生成スクリプトを実行し、セッションをまたいで状態を永続化するのには適していません。さらに、コンテナはホストとカーネルを共有するため、カーネルエクスプロイトが透過します。例えば、Copy Fail（CVE-2026-31431）は732バイトのPythonスクリプトで、カーネル暗号APIを介して2017年以降の主要Linuxディストリビューションをルート化します。モデル生成の信頼できないコードには、ハードウェアレベルの分離が必要です。

LangSmith Sandboxesはこのモデルに基づいています。各サンドボックスはハードウェア仮想化されたマイクロVMです。コンテナではなく、独自のカーネルを持つ完全なマシンです。エージェントはファイルシステム、シェル、パッケージマネージャ、ネットワークアクセス、コード実行、永続状態を取得します。パッケージのインストール、スクリプトの実行、ファイルの編集、ローカルサーバーの起動、長期セッションでの作業継続が可能で、他のエージェントのサンドボックスや本番インフラには一切影響しません。作業が完了するとサンドボックスは消滅します。

LangSmith SDKで1行のコードを呼び出すだけで、エージェントにコンピュータが与えられます。GPUワークロードを実行するチームにとって、サンドボックスの高速起動はGPUがCPU計算のプロビジョニングを待つアイドル時間を減らし、スケールが大きくなると大きな効率向上をもたらします。

GAリリースでは、本番ワークフローに対応する多数の機能が含まれています：スナップショットとフォーク（セッション中の状態をキャプチャし、新しいサンドボックスを起動。コピーオンライトにより並列ブランチのコストはほぼゼロ）；ブループリント（ベースイメージを事前定義し、数秒で起動）；サービスURL（エージェントがローカルWebサーバーを起動すると、認証付きURLを生成してブラウザで開いたりチームと共有可能）；認証プロキシ（サンドボックスのアウトバウンド要求はネットワークレイヤーで資格情報を注入、シークレットはエージェントランタイムに触れない）；作成者プライベート（デフォルトでは起動ユーザーとワークスペース管理者のみアクセス可能）。

サンドボックスは、エージェントが「言う」だけでなく「行う」必要がある場合に適しています。具体的には：コード生成の検証、コーディングアシスタントやCIエージェントの構築、複数ステップのワークフローでの状態永続化、並列環境のバーストスケール（RLトレーニングや評価）、ユーザー入力が実行される可能性がある場合。固定スキーマのAPI呼び出しのみで動的コードを実行しないエージェントには不要です。

実際の活用例：monday.comではSidekick AIアシスタントにSandboxesを利用し、データ分析やマルチメディア生成などの高度なユーザーワークフローを安全に実行しています。

注目すべき変化：ここ数年、エージェントの能力向上はより良いツール（検索API、計算機など）を与えることに集中していましたが、事前定義ツールの限界は低いです。本当にワークフローを代替するエージェントは、必要なツールを自ら選び、実行し、結果を観察して適応できるものです。それがコンピュータを持つことで可能になります。これはインフラの詳細ではなく、「考えるエージェント」と「行動するエージェント」の違いです。あなたは1台のラップトップを使います。あなたのエージェントはそれぞれ独自のコンピュータを必要とします。LangSmith Sandboxesはそれを提供する方法です。