为你的AI代理分配专属计算机

大型语言模型擅长推理，但仅靠推理无法完成实际工作。AI代理执行代码时面临巨大挑战：它们需要真实的计算机环境，包括文件系统、Shell、包管理器和持久化状态，但直接让其访问你的基础设施极其危险。

思考一下：你使用一台笔记本电脑，规模为“1”。但代理需要运行数百万个任务，每个任务都需要独立的计算机。这正是当前正在发生的基础设施变革。萨提亚·纳德拉（Satya Nadella）明确表示：“每个代理都需要一台计算机。”问题在于这台计算机应该是什么样的，以及如何安全地提供它。LangSmith Sandboxes便是LangChain给出的答案。

当代理拥有一台计算机时，能实现什么？以Cursor、Claude Code或ChatGPT的代码解释器为例，它们不仅能回答问题，还能运行代码、查看错误、修复并再次运行，最终交付可用的成果。这种反馈循环正是生产级代理的关键。一旦代理能够执行代码，一系列任务便成为可能：编程助手可自动应用修复并运行测试；数据分析师可拉取CSV并生成报告；CI代理可克隆仓库、安装依赖并提交PR；研究代理可浏览、抓取、合成并撰写内容；内容管道可生成、渲染并导出成品；强化学习或评估框架可并行启动数千个环境，并在完成后立即销毁。这些代理需要的不仅是令牌流，而是一个可以工作的“场所”。

为什么不能直接把笔记本电脑交给代理？首先，代理默认运行不受信任的代码。代码可能来自模型、用户提示、克隆的仓库或安装的包，你无法完全审查。例如，2025年9月，名为Shai-Hulud的自我复制npm蠕虫后门感染了500多个包，其代码在安装前即执行。其次，容器不足以隔离。容器适用于隔离已知、经过验证的应用代码，但不适合代理安装任意依赖、运行模型生成的脚本并跨会话持久化状态。更关键的是，容器与宿主机共享内核，内核漏洞可穿透容器。例如，Copy Fail（CVE-2026-31431）是一个732字节的Python脚本，可通过内核加密API影响到2017年以来的所有主流Linux发行版。对于模型生成的不受信任代码，需要硬件级隔离。

LangSmith Sandboxes的设计理念是：沙箱需同时具备无服务器函数的快速启动（避免代理等待VM启动）和完整机器的状态持久性（代理不是无状态请求处理器，而是需要安装依赖、编辑文件的持续工作器）。每个沙箱是一个硬件虚拟化的微VM，拥有独立内核，而非容器。代理获得完整的计算机：文件系统、Shell、包管理器、网络访问、代码执行和持久化状态。它可安装包、运行脚本、编辑文件、启动本地服务器，并在长期会话中持续工作，同时不触及生产基础设施或其他代理的沙箱。工作完成后，沙箱即刻消失。

通过LangSmith SDK即可轻松创建沙箱：一行代码即可让代理拥有一台计算机。对于运行GPU工作负载的团队，快速启动的沙箱还可防止GPU闲置等待CPU计算，成为GPU效率的倍增器。

除了基本执行，GA版本还提供多种生产级原语：快照与分支（捕获沙箱状态并从中启动新沙箱，使用写时复制技术并行分支成本趋近于零）；蓝图（预定义基础镜像，几秒内启动沙箱）；服务URL（代理启动本地Web服务器时，可生成带认证的URL供浏览器访问或共享）；认证代理（沙箱出站请求通过代理注入网络层凭据，秘密不触及代理运行时）；创建者私有（默认仅启动用户和工作区管理员可访问）。

沙箱适用于以下场景：代理生成代码并需验证其运行结果；构建编程助手、CI代理或操作真实文件的数据管道；多步骤工作流需跨工具调用持久化状态；需要爆发式并行环境（如RL训练或评估）；接受任何可能被执行的用户输入。若代理仅调用固定模式的API且从不执行动态代码，则无需沙箱。

实际应用案例：monday.com的Sidekick AI助手利用Sandboxes获得安全环境，为高级用户工作流程编写和运行代码，包括数据分析和多媒体生成。

未来趋势：过去几年，提升代理能力主要通过提供更好的工具（搜索API、计算器等），但预定义工具的天花板很低。能够真正取代工作流的代理是那些可以随时选取所需工具、运行、观察结果并适应的代理。这正是拥有一台计算机所能实现的——它不再是基础设施细节，而是区分“能思考的代理”与“能行动的代理”的关键。你使用一台笔记本电脑，而你的每个代理都需要自己的计算机。LangSmith Sandboxes便是提供它的方式。