LangSmith Sandboxが一般提供開始

LangSmith Sandboxが一般提供（GA）を開始しました。これは、AIエージェントコードを安全に実行するためのセキュアでスケーラブルな環境であり、Deep Agents SDKおよびLangSmithプラットフォームと統合されています。各Sandboxはハードウェア仮想化されたマイクロVMであり、独立したカーネル、ファイルシステム、シェル、パッケージマネージャ、ネットワーク境界を持ち、エージェントコードを完全に隔離された環境で実行します。

Cursor、Claude Code、OpenSWE、Deep Agentsなどのシステムが普及するにつれ、エージェントがコード生成、依存関係のインストール、テスト実行、失敗の検査、ファイル編集などの中核ワークフローにコード実行を利用するケースが増えています。これらのエージェントにはコンピュータのような環境と強力な分離が必要です。従来のコンテナはホストとカーネルを共有するため、カーネル脆弱性（Copy Fail CVE-2026-31431など）を悪用されるとエージェントコードが脱出するリスクがあります。また、サプライチェーン攻撃（Shai-Hulud npmワームなど）により、プリインストール段階で悪意あるコードが実行される可能性があり、コンテナでは十分な防御ができません。

LangSmith Sandboxはこのような実行モデル向けに設計されています。チームは既存のLangSmith SDKとAPI Keyを使用してすぐに利用でき、ランタイムレイヤーを自前で構築する必要はありません。今回のGAリリースでは以下の新機能が追加されました。

• **スナップショットとフォーク**：実行中のSandboxの状態をキャプチャし、Dockerイメージから構築、コピーオンライトで高速にフォークを作成。間違ったパスに進んだ場合も簡単に復元可能。
• **サービスURL**：Sandbox内で実行中のサービスへの認証付きHTTPアクセス。ポートフォワーディング不要でプレビューや共有が可能。
• **Sandbox CLI**：Dockerfileからのスナップショット構築、Sandbox管理、インタラクティブコンソール、Raw TCPトンネル、標準Linuxツール（ssh、scp、rsync、sftp）をサポート。
• **認証プロキシ**：Sandboxからのアウトバウンド要求はプロキシ経由で認証情報を注入。GAではカスタムコールバックによりテナント別トークンやボールトルックアップ、監査フックなどの高度な設定が可能。ドメインホワイトリスト/ブラックリストでアクセス境界も制御。
• **自動一時停止**：アイドル状態のSandboxは自動で一時停止し、リソースを節約。
• **作成者プライベート**：デフォルトでは作成者とワークスペース管理者のみアクセス可能。必要に応じてメンバーに権限を付与。

monday.comのAIプラットフォームグループマネージャーOmri Bruchim氏は「LangSmith Sandboxにより、Sidekick AIアシスタントの能力が大幅に向上しました。セキュアな環境でコードを実行し、データ分析やマルチメディア生成など、よりリッチなワークフローを実現できます」と述べています。

今後の計画としては、ローカルからクラウドへのシームレスなエージェント開発、共有ボリュームによるエージェント間協調、ボリュームマウント（オブジェクトストレージやGitリポジトリの即時マウント）、VM内の全プロセスとネットワークコールの実行トレース（監査ログとしても利用可能）が予定されています。

開発者は既存のSDKとAPI Keyを使って、一行のコードからLangSmith Sandboxの利用を開始できます。