7.8
深览指数
科技Bestblogs·Amy Ru··AI 生成

智能体需要自己的计算机。以下是如何安全地为它们提供一台计算机的方法。

大语言模型智能体若仅能生成文本,其能力受限。它们需要一台拥有文件系统、Shell和网络访问的真实计算机来执行代码和自主迭代。文章指出,智能体生成的代码默认不可信,需通过硬件虚拟化(microVM)实现安全隔离,而非依赖容器。作者提出了智能体计算机的四项核心需求——安全执行、控制、可观测性和快速迭代,并介绍了LangSmith Sandboxes作为满足这些需求的托管方案。本文适合关注AI智能体安全、开发工具和工程实践的开发者阅读。原文 ↗

核心观点
  • AI智能体需要一台真正的计算机(文件系统、Shell、网络),而不仅仅是文本生成界面,才能闭合推理与行动的循环,实现自主迭代。
  • 智能体生成的代码无论来源如何,都应默认视为不可信,因此需要硬件级别的隔离(microVM),而非共享内核的容器。
  1. 01没有运行代码和验证结果的能力,智能体只能提出修复建议;拥有完整环境则可以自主迭代,例如在运行测试后修补代码。
  2. 02容器与主机共享内核,因此隔离性不足;具有自身内核的microVM能提供机器级别的安全隔离,是执行不可信代码的更优选择。
  3. 03智能体计算机的四项核心需求:通过microVM实现安全执行;通过凭证注入、资源限制和生命周期管理实现控制;通过审计日志实现可观测性;通过亚秒级供应、可重现环境实现快速迭代。
  4. 04LangSmith Sandboxes作为托管方案,可启动亚秒级microVM,支持快照和分叉,提供凭证注入的auth proxy,以及一行SDK集成。
  5. 05文章展示了三种使用场景:编码智能体、数据分析智能体和研究智能体,均需隔离的执行环境。
反方 / 局限
  • 沙盒并不能消除提示注入(Prompt Injection)风险,但能限制其影响范围。由于智能体读取的任何文本都可能影响其行为,沙盒的输出仍应被视为不可信。
  • 文章提到的缓解措施(非智能体读取、域白名单、输出过滤)在实际工程中并非完美方案,仍需开发者根据具体场景权衡复杂度和安全性。
4 分钟 · 4 卡片 · 11 资料
读原文 →

前置背景

平行视角

未来推演

延伸追问