為你的AI代理分配專屬計算機

大型語言模型擅長推理，但僅靠推理無法完成實際工作。AI代理執行代碼時面臨巨大挑戰：它們需要真實的計算機環境，包括文件系統、Shell、包管理器和持久化狀態，但直接讓其訪問你的基礎設施極其危險。

思考一下：你使用一台筆記本電腦，規模為“1”。但代理需要運行數百萬個任務，每個任務都需要獨立的計算機。這正是當前正在發生的基礎設施變革。薩提亞·納德拉（Satya Nadella）明確表示：“每個代理都需要一台計算機。”問題在於這台計算機應該是什麼樣的，以及如何安全地提供它。LangSmith Sandboxes便是LangChain給出的答案。

當代理擁有一台計算機時，能實現什麼？以Cursor、Claude Code或ChatGPT的代碼解釋器為例，它們不僅能回答問題，還能運行代碼、查看錯誤、修復並再次運行，最終交付可用的成果。這種反饋循環正是生產級代理的關鍵。一旦代理能夠執行代碼，一系列任務便成為可能：編程助手可自動應用修復並運行測試；數據分析師可拉取CSV並生成報告；CI代理可克隆倉庫、安裝依賴並提交PR；研究代理可瀏覽、抓取、合成並撰寫內容；內容管道可生成、渲染並導出成品；強化學習或評估框架可並行啓動數千個環境，並在完成後立即銷燬。這些代理需要的不僅是令牌流，而是一個可以工作的“場所”。

為什麼不能直接把筆記本電腦交給代理？首先，代理默認運行不受信任的代碼。代碼可能來自模型、用户提示、克隆的倉庫或安裝的包，你無法完全審查。例如，2025年9月，名為Shai-Hulud的自我複製npm蠕蟲後門感染了500多個包，其代碼在安裝前即執行。其次，容器不足以隔離。容器適用於隔離已知、經過驗證的應用代碼，但不適合代理安裝任意依賴、運行模型生成的腳本並跨會話持久化狀態。更關鍵的是，容器與宿主機共享內核，內核漏洞可穿透容器。例如，Copy Fail（CVE-2026-31431）是一個732字節的Python腳本，可通過內核加密API影響到2017年以來的所有主流Linux發行版。對於模型生成的不受信任代碼，需要硬件級隔離。

LangSmith Sandboxes的設計理念是：沙箱需同時具備無服務器函數的快速啓動（避免代理等待VM啓動）和完整機器的狀態持久性（代理不是無狀態請求處理器，而是需要安裝依賴、編輯文件的持續工作器）。每個沙箱是一個硬件虛擬化的微VM，擁有獨立內核，而非容器。代理獲得完整的計算機：文件系統、Shell、包管理器、網絡訪問、代碼執行和持久化狀態。它可安裝包、運行腳本、編輯文件、啓動本地服務器，並在長期會話中持續工作，同時不觸及生產基礎設施或其他代理的沙箱。工作完成後，沙箱即刻消失。

通過LangSmith SDK即可輕鬆創建沙箱：一行代碼即可讓代理擁有一台計算機。對於運行GPU工作負載的團隊，快速啓動的沙箱還可防止GPU閒置等待CPU計算，成為GPU效率的倍增器。

除了基本執行，GA版本還提供多種生產級原語：快照與分支（捕獲沙箱狀態並從中啓動新沙箱，使用寫時複製技術並行分支成本趨近於零）；藍圖（預定義基礎鏡像，幾秒內啓動沙箱）；服務URL（代理啓動本地Web服務器時，可生成帶認證的URL供瀏覽器訪問或共享）；認證代理（沙箱出站請求通過代理注入網絡層憑據，秘密不觸及代理運行時）；創建者私有（默認僅啓動用户和工作區管理員可訪問）。

沙箱適用於以下場景：代理生成代碼並需驗證其運行結果；構建編程助手、CI代理或操作真實文件的數據管道；多步驟工作流需跨工具調用持久化狀態；需要爆發式並行環境（如RL訓練或評估）；接受任何可能被執行的用户輸入。若代理僅調用固定模式的API且從不執行動態代碼，則無需沙箱。

實際應用案例：monday.com的Sidekick AI助手利用Sandboxes獲得安全環境，為高級用户工作流程編寫和運行代碼，包括數據分析和多媒體生成。

未來趨勢：過去幾年，提升代理能力主要通過提供更好的工具（搜索API、計算器等），但預定義工具的天花板很低。能夠真正取代工作流的代理是那些可以隨時選取所需工具、運行、觀察結果並適應的代理。這正是擁有一台計算機所能實現的——它不再是基礎設施細節，而是區分“能思考的代理”與“能行動的代理”的關鍵。你使用一台筆記本電腦，而你的每個代理都需要自己的計算機。LangSmith Sandboxes便是提供它的方式。