為你的AI代理分配專屬計算機

大型語言模型擅長推理，但僅靠推理無法完成實際工作。AI代理執行程式碼時面臨巨大挑戰：它們需要真實的計算機環境，包括檔案系統、Shell、包管理器和持久化狀態，但直接讓其訪問你的基礎設施極其危險。

思考一下：你使用一臺筆記型電腦，規模為“1”。但代理需要執行數百萬個任務，每個任務都需要獨立的計算機。這正是當前正在發生的基礎設施變革。薩提亞·納德拉（Satya Nadella）明確表示：“每個代理都需要一臺計算機。”問題在於這臺計算機應該是什麼樣的，以及如何安全地提供它。LangSmith Sandboxes便是LangChain給出的答案。

當代理擁有一臺計算機時，能實現什麼？以Cursor、Claude Code或ChatGPT的程式碼直譯器為例，它們不僅能回答問題，還能執行程式碼、檢視錯誤、修復並再次執行，最終交付可用的成果。這種反饋迴圈正是生產級代理的關鍵。一旦代理能夠執行程式碼，一系列任務便成為可能：程式設計助手可自動應用修復並執行測試；資料分析師可拉取CSV並生成報告；CI代理可克隆倉庫、安裝依賴並提交PR；研究代理可瀏覽、抓取、合成並撰寫內容；內容管道可生成、渲染並匯出成品；強化學習或評估框架可並行啟動數千個環境，並在完成後立即銷燬。這些代理需要的不僅是令牌流，而是一個可以工作的“場所”。

為什麼不能直接把筆記型電腦交給代理？首先，代理預設執行不受信任的程式碼。程式碼可能來自模型、使用者提示、克隆的倉庫或安裝的包，你無法完全審查。例如，2025年9月，名為Shai-Hulud的自我複製npm蠕蟲後門感染了500多個包，其程式碼在安裝前即執行。其次，容器不足以隔離。容器適用於隔離已知、經過驗證的應用程式碼，但不適合代理安裝任意依賴、執行模型生成的指令碼並跨會話持久化狀態。更關鍵的是，容器與宿主機共享核心，核心漏洞可穿透容器。例如，Copy Fail（CVE-2026-31431）是一個732位元組的Python指令碼，可透過核心加密API影響到2017年以來的所有主流Linux發行版。對於模型生成的不受信任程式碼，需要硬體級隔離。

LangSmith Sandboxes的設計理念是：沙箱需同時具備無伺服器函式的快速啟動（避免代理等待VM啟動）和完整機器的狀態永續性（代理不是無狀態請求處理器，而是需要安裝依賴、編輯檔案的持續工作器）。每個沙箱是一個硬體虛擬化的微VM，擁有獨立核心，而非容器。代理獲得完整的計算機：檔案系統、Shell、包管理器、網路訪問、程式碼執行和持久化狀態。它可安裝包、執行指令碼、編輯檔案、啟動本地伺服器，並在長期會話中持續工作，同時不觸及生產基礎設施或其他代理的沙箱。工作完成後，沙箱即刻消失。

透過LangSmith SDK即可輕鬆建立沙箱：一行程式碼即可讓代理擁有一臺計算機。對於執行GPU工作負載的團隊，快速啟動的沙箱還可防止GPU閒置等待CPU計算，成為GPU效率的倍增器。

除了基本執行，GA版本還提供多種生產級原語：快照與分支（捕獲沙箱狀態並從中啟動新沙箱，使用寫時複製技術並行分支成本趨近於零）；藍圖（預定義基礎映象，幾秒內啟動沙箱）；服務URL（代理啟動本地Web伺服器時，可生成帶認證的URL供瀏覽器訪問或共享）；認證代理（沙箱出站請求透過代理注入網路層憑據，秘密不觸及代理執行時）；建立者私有（預設僅啟動使用者和工作區管理員可訪問）。

沙箱適用於以下場景：代理生成程式碼並需驗證其執行結果；構建程式設計助手、CI代理或操作真實檔案的資料管道；多步驟工作流需跨工具呼叫持久化狀態；需要爆發式並行環境（如RL訓練或評估）；接受任何可能被執行的使用者輸入。若代理僅呼叫固定模式的API且從不執行動態程式碼，則無需沙箱。

實際應用案例：monday.com的Sidekick AI助手利用Sandboxes獲得安全環境，為高階使用者工作流程編寫和執行程式碼，包括資料分析和多媒體生成。

未來趨勢：過去幾年，提升代理能力主要透過提供更好的工具（搜尋API、計算器等），但預定義工具的天花板很低。能夠真正取代工作流的代理是那些可以隨時選取所需工具、執行、觀察結果並適應的代理。這正是擁有一臺計算機所能實現的——它不再是基礎設施細節，而是區分“能思考的代理”與“能行動的代理”的關鍵。你使用一臺筆記型電腦，而你的每個代理都需要自己的計算機。LangSmith Sandboxes便是提供它的方式。