关于 LangSmith Sandboxes 的简要说明：
✅ 硬件虚拟化微虚拟机
✅ 与你的服务及其他沙盒进行内核隔离
✅ 使用与 LangSmith 其余部分相同的 SDK 和 API 密钥
✅ 支持任何框架或自定义代码
✅ 现已正式发布（GA）
https://t.co/QPoLcmtixW

LangSmith Sandboxes 现已正式发布（GA）

来源：https://www.langchain.com/blog/langsmith-sandboxes-generally-available

关键要点

• LangSmith Sandboxes 现已正式发布（GA）——每个沙盒以硬件虚拟化的微虚拟机运行，与你的服务及其他沙盒完全内核隔离，使其真正安全地运行不受信任的、模型生成的代码，这是容器单独无法保证的。
• 代理需要真正的隔离，而不仅仅是“沙盒”功能——现实世界的供应链攻击和内核漏洞（如 Shai-Hulud npm 蠕虫和 Copy Fail CVE）表明，在容器或评估边界中运行代理代码对于生产工作负载而言危险且不足。
• 正式发布版为代理工作流提供了强大的新原语——快照与低成本写时复制分支、用于预预热环境的蓝图、服务 URL、沙盒 CLI 以及身份验证代理，使 LangSmith Sandboxes 成为一个完整的执行平台。

今天，LangSmith Sandboxes 已正式发布（GA）：安全、可扩展的环境，专为代理代码执行而构建，并与 Deep Agents SDK 和 LangSmith 平台集成。

每个沙盒都是一个硬件虚拟化的微虚拟机，与你的服务及其他沙盒进行内核隔离。沙盒使用与 LangSmith 其余部分相同的 SDK 和 API 密钥，并适用于任何框架或自定义代码。

试用 LangSmith Sandboxes (https://smith.langchain.com/)

.png)

为什么代理需要沙盒？

过去一年中，一类新的代理开始将代码执行作为其核心工作流的一部分。系统如 Cursor、Claude Code、OpenSWE 和 Deep Agents 不仅仅调用预定义的工具，它们还会生成代码、安装依赖项、运行测试、检查失败并编辑文件。

一些需要代码执行的常见工作负载包括：

• 编码助手：在响应前运行并验证自己的输出
• CI 风格代理：克隆仓库、安装依赖、运行测试并打开 Pull Request（如 OpenSWE (https://github.com/langchain-ai/open-swe)）
• 数据分析代理：对数据集运行 Python

这些代理需要一个类似计算机的环境，具有文件系统、包管理器、shell 和持久状态。它们还需要隔离，因为其运行的代码可能由模型生成、从外部依赖获取或由用户提供。

大多数团队最初在笔记本电脑上运行这些。这在原型阶段可行，但在生产环境中就会失效。

代理代码需要强隔离

在真实隔离边界之外运行代理代码的风险并非理论上的：

• 供应链攻击可侵入你的运行时：2025 年 9 月，自我复制的 Shai-Hulud npm 蠕虫 (https://www.cisa.gov/news-events/alerts/2025/09/23/widespread-supply-chain-compromise-impacting-npm-ecosystem) 后门了 500 多个包，包括 @ctrl/tinycolor，在任何测试运行之前于 preinstall 阶段执行。11 月的第二波攻击 (https://www.wiz.io/blog/shai-hulud-2-0-ongoing-supply-chain-attack) 在数小时内影响了 796 个包（每周超过 2000 万次下载）和 25000 多个 GitHub 仓库。
• “沙盒”功能并不总是沙盒：n8n 在一天内就有六个 RCE CVE 被披露 (https://www.upwind.io/feed/six-n8n-cves-one-day-workflow-security)，包括 CVE-2026-1470 (https://www.cyera.com/research/ni8mare-unauthenticated-remote-code-execution-in-n8n-cve-2026-21858)（CVSS 9.9，绕过 JS 表达式沙盒）和 CVE-2026-0863（逃逸出 Python 任务执行器）。一个 JS eval 边界并非隔离。
• 容器共享内核，而内核会出漏洞：Copy Fail (CVE-2026-31431) (https://www.bugcrowd.com/blog/what-we-know-about-copy-fail-cve-2026-31431/) 是一个 732 字节的 Python 脚本，通过内核加密 API 入侵了自 2017 年以来的每个主要 Linux 发行版。AI 工具在大约一小时内就发现了它。容器在这里帮不上忙，因为它们与宿主机共享内核，因此运行错误脚本的代理会逃逸。

容器并非为代理工作负载而构建。它们设计用于无状态地运行已知、经过验证的应用程序代码，例如处理固定操作后消失的 Web 服务器。代理则相反：它们需要状态化的小型计算机，可以在其中安装包、编辑文件、执行长时间运行的工作线程，并在之后返回原处。而且，它们运行的代码必然不受信任。LangSmith Sandboxes 正是针对这种执行模型而构建的。

LangSmith Sandboxes

LangSmith Sandboxes 为代理提供类似计算机的环境，而不会危及你的基础设施。每个沙盒作为一个临时的微虚拟机运行，拥有自己的文件系统、shell、包管理器和网络边界。代理可以编写代码、安装依赖、运行测试，并跨长时间运行的会话继续工作，同时沙盒与你的服务及其他沙盒保持隔离。

它们通过团队已使用的相同 LangSmith SDK 和 API 密钥进行管理，因此你可以将安全的代码执行附加到代理工作流中，而无需自己构建运行时层。沙盒适用于 Deep Agents、Open SWE、LangSmith Deployment、LangSmith Fleet 以及自定义代码。它们还包括团队围绕凭证、资源限制、生命周期和访问权限所需的生产控制功能，正式版新增了并行工作负载、快照和企业安全等功能。

.png)

正式版新增功能

• 快照与低成本分支 (https://docs.langchain.com/langsmith/sandbox-snapshots)：捕获运行中的沙盒，或从 Docker 镜像构建一个沙盒，然后从中启动新的沙盒。分支通过写时复制共享状态，因此启动十个并行分支的成本大约相当于一个。当你的代理走错方向时，你可以恢复并尝试不同的分支。
• 空闲时暂停 (https://docs.langchain.com/langsmith/sandboxes)：空闲沙盒自动暂停，因此你不必为不执行任何操作的资源付费。
• 服务 URL (https://docs.langchain.com/langsmith/sandbox-service-urls)：通过身份验证的 HTTP 访问沙盒内运行的任何内容。在浏览器中打开沙盒托管的预览，通过脚本访问，或与队友分享 URL。无需端口转发。
• 沙盒 CLI (https://docs.langchain.com/langsmith/sandbox-cli)：从 Dockerfile 构建快照、管理沙盒、打开交互式控制台、隧道原始 TCP，并使用标准工具（ssh、scp、rsync、sftp）像操作任何 Linux 机器一样操作沙盒。
• 默认创建者私有 (https://docs.langchain.com/langsmith/sandbox-permissions)：沙盒附带创建者特定的身份验证，因此只有启动沙盒的用户（以及工作区管理员）可以通过 shell 进入或打开其服务 URL。准备分享时，可授予其他工作区成员访问权限。
• 带有自定义回调的身份验证代理 (https://docs.langchain.com/langsmith/sandbox-auth-proxy)：来自沙盒的出站请求通过一个在网络层注入凭证的代理，因此秘密永远不会触及运行时。正式版新增：回调允许你插入自定义的秘密解析以用于高级设置（每租户令牌、保险库查找、审计钩子）。同时提供域名白名单/黑名单以控制访问边界。

团队如何使用沙盒

沙盒已经在帮助团队从能够回答问题的代理转变为能够安全执行工作的代理。在 monday.com (http://monday.com/)，这意味着为 Sidekick 提供一个安全环境来编写和运行代码，以实现更高级的用户工作流。

“LangSmith Sandboxes 正在帮助我们让 Sidekick（我们的 AI 助手）对 monday.com (http://monday.com/) 用户更加强大。借助安全环境，Sidekick 可以编写和运行代码，并利用结果为用户创造更丰富的工作流，例如运行数据分析和生成多媒体。”
—— Omri Bruchim，monday.com AI 平台组经理

下一步计划

• 本地到云端代理：在笔记本电脑上针对沙盒开发代理，然后将相同的代理提升到云端托管的沙盒，无需更改代码。
• 共享卷，使代理能够协作。代理 1 写入卷，然后代理 2 从上次离开的地方继续。
• 卷挂载：挂载你自己的 blob 存储或 git 仓库，以便在启动时立即访问。
• 完整的执行追踪：追踪 VM 内的每个进程和网络调用，同时作为审计日志。

加入我们的 Slack 社区 (https://www.langchain.com/join-community)，分享对你工作流最重要的事项。

开始使用

你可以使用现有的 SDK 和 API 密钥，通过一行代码开始使用 LangSmith Sandboxes。

试用 LangSmith Sandboxes (https://smith.langchain.com/) 或阅读文档 (https://docs.langchain.com/langsmith/sandboxes)。

相关文章

Lyft 如何使用 LangGraph 和 LangSmith 构建自助式 AI 代理客户支持平台

Mission Control：在 Kubernetes 上运行自托管 LangSmith

身份验证代理如何保护 LangSmith 代理沙盒的网络访问

了解你的代理实际上在做什么

LangSmith 是我们的代理工程平台，帮助开发者调试每个代理决策、评估变更，并一键部署。