• 笔记

AI Agent 的代码执行沙箱：从容器到微虚拟机的隔离之道

TL;DR AI Agent 执行代码需要隔离，但隔离意味着开销。本文拆解容器、gVisor、Firecracker、ZeroBoot、Apple container、Wasm 六种沙箱方案的原理与取舍，帮你找到匹配自己场景的选型。 一、开篇：0.79ms 启动一个 Linux VM 就在前几天，Hacker News 首页出现了一个项目：ZeroBoot。 它宣称能在 0.79ms（p50）内启动一个完整的 Linux 虚拟机。评论区炸了——这怎么可能？Firecracker 这样专为 serverless 设计的 microVM，冷启动也要 150ms 以上。0.79ms 意味着什么？意味着 1 秒内可以冷启动 1000 个相互隔离的 VM。 这不是魔法，是工程上的巧劲——Copy-on-Write KVM fork。这么厉害？ 这把 AI Agent 沙箱的核心矛盾摆上了桌面：Agent 执行代码，需要隔离；隔离意味着开销。ZeroBoot 给出了一个极端的答案。 本文从这里出发，与我一起满足好奇心，拆解五种主流沙箱方案的原理与取舍。如果表述有任何问题，欢迎提出。 二、为什么 Agent 执行代码需要沙箱？ 工具调用 vs 代码执行 传统 Agent 调用工具——搜索、查数据库、发邮件——行为可枚举、可审计。代码执行不同，它是图灵完备的：一旦 Agent 能执行任意代码，它能做的事就和一个程序员坐在终端前能做的事完全一样。