Agent Sandbox是一个开源的Kubernetes控制器,它提供了一个声明式 API 来管理单个具有稳定标识和持久存储的有状态 Pod。它特别适合于创建一个隔离环境,用于执行不受信任的、由大型语言模型(LLM)生成的代码,以及运行其他有状态的工作负载。
运行临时环境有助于减轻在集群中直接执行不受信任代码的风险,因为这可能会干扰其他应用程序或获得底层集群节点的访问权限。
Agent Sandbox 提供了一个隔离的安全环境来执行不受信任的代码,例如由大型语言模型(LLM)生成的代码。直接在集群中运行这类代码会带来安全风险,因为不受信任的代码可能会访问或干扰其他应用程序或底层集群节点本身。
Agent Sandbox 使用gVisor实现隔离,在应用程序和集群节点操作系统之间创建了一个安全屏障。它还可以利用其他沙箱技术,如Kata容器。
Sandbox自定义资源定义(CRD)提供了稳定的标识、跨重启持久化的存储,以及生命周期管理功能(如创建、按计划删除、暂停和恢复)。此外,它支持在网络重新连接时自动恢复沙箱、跨沙箱共享内存,并允许开发人员通过一个功能丰富的 API 从应用程序或代理控制沙箱。
除了Sandbox API,Agent Sandbox 还提供了一个模板机制,简化了定义大量类似沙箱(SandboxTemplate)并实例化这些沙箱(SandboxClaim)的过程。它还提供了一个预热的沙箱 Pod 池,用于减少启动新沙箱所需的时间。
除了隔离 AI 代理,Agent Sandbox 还适合托管需要稳定标识的单实例应用程序,如构建代理和小型数据库,以及运行像 Jupyter Notebooks 这样的持久化单容器工具会话。
OWASP 将“代理过多交互操纵”列为AI代理十大威胁之一:
当 AI 代理与可能涉及关键基础设施、IoT 设备或敏感操作系统的工具交互时,就会发生代理工具交互操纵漏洞。这种漏洞类别特别危险,因为它可能以非预期的方式操纵工具。
根据 OWASP 的说法,防止这类漏洞的主要措施是实施系统隔离、访问隔离、权限管理、命令验证以及其他安全措施。
在 HackerNook 上,安全工程师 Yassine Bargach 写道,每个AI代理都需要一个沙箱。他引用最近的一些事件和漏洞披露,展示了 AI 代理中的漏洞如何导致了远程代码漏洞(RCE),包括Horizon3发现的langflow RCS、能够自动执行的Cursor RCE漏洞、影响Replit的数据库清除等。他还强调,沙箱可能是减轻恶意提示工程风险的最佳方法:
应对这些攻击的大部分工作都集中在防护栏、分类器和扫描器上。理论上,这应该能解决大多数问题。然而,问题在于哪种方法更可取,是花时间检查每个用户输入是否恶意,还是能在不影响最终用户的安全环境中运行任何程序?
对沙箱化 AI 代理感兴趣的开发人员还可以考虑 Agent Sandbox 的替代方案,包括container-use和Lightning AI的litsandbox。
原文链接:
https://www.infoq.com/news/2025/12/agent-sandbox-kubernetes/
