智能体框架应置于沙箱之外：AI Agent 架构设计的安全与效率权衡

核心要点

• Agent Harness 定义：它是驱动大语言模型（LLM）的核心循环，负责管理提示发送、工具执行及结果反馈的闭环过程。
• 两种架构路径：架构设计分为“沙箱内”和“沙箱外”两种模式，两者在安全边界和执行逻辑上截然不同。
• 单用户 vs 多用户：沙箱内架构适合个人开发者，实现简单；沙箱外架构则是多用户组织环境下的必然选择，旨在解决复杂的安全挑战。
• 凭证隔离：将 Harness 置于沙箱外可以确保 LLM 密钥、用户令牌及数据库访问权限等敏感信息不进入执行环境。

详细分析

Agent Harness 的运作机制与定义

根据原文所述，Agent Harness 是每一个生产级智能体（Agent）不可或缺的底层驱动力。它本质上是一个持续运行的循环（Loop）：首先向大语言模型（LLM）发送提示词，获取模型的响应；随后，根据模型的请求执行相应的工具调用（如 bash 命令、读取或写入操作）；接着将工具执行的结果反馈给模型；这一过程会不断重复，直到模型明确表示任务已完成。Harness 的存在决定了智能体如何与外部世界交互以及如何处理任务的连续性。

架构对比：沙箱内与沙箱外的权衡

在构建智能体时，开发者面临的核心问题是：这个驱动循环（Harness）应该运行在哪里？

1. 沙箱内架构（Harness inside the sandbox）： 在这种模式下，驱动循环与智能体正在处理的代码位于同一个容器中。这意味着 LLM 的调用是从容器内部发出的，所有的工具调用（如文件读写、系统命令）都在本地执行。这种架构的优势在于其极简的执行模型：一个容器、一个进程树、一个文件系统以及统一的生命周期。开发者可以原封不动地复用现有的开源 Harness 框架。由于技能和记忆系统通常依赖本地文件系统，这种模式能够提供无缝的支持。例如，在笔记本电脑上运行 Claude 或使用远程容器部署 Claude Code 时，通常采用的就是这种架构。

2. 沙箱外架构（Harness outside the sandbox）： 在这种模式下，驱动循环运行在后端服务器上，而不再进入沙箱内部。当需要执行具体工具时，Harness 通过 API 调用进入沙箱，沙箱执行任务后返回结果。这种架构实现了驱动逻辑与执行环境的物理隔离。其核心优势在于安全性：所有的敏感凭证（包括 LLM API 密钥、用户令牌、数据库访问权限等）都保留在沙箱之外的后端环境中，从而避免了在执行不可信代码时可能产生的泄露风险。

场景适用性：单用户与多用户的分水岭

架构的选择往往取决于目标用户群体。对于单用户场景（如一名工程师在个人电脑上使用智能体），沙箱内架构因其简单性和易用性而更具吸引力，开发者可以利用现有的 SDK 快速交付功能。然而，当场景切换到多用户组织（如数十名工程师共享同一个智能体系统）时，单用户架构无法解决的安全隐患就会浮出水面。在多用户环境下，必须采用沙箱外架构来确保组织资产和用户凭证的绝对隔离，这虽然增加了系统设计的复杂性，但却是构建企业级安全智能体系统的基石。

行业影响

该新闻揭示了 AI Agent 从简单的自动化脚本向复杂企业级应用演进过程中的关键架构抉择。随着 AI 智能体在组织内部的渗透，安全边界的定义变得至关重要。将 Harness 移出沙箱的趋势，预示着未来 AI 开发框架将更加注重“权限最小化”和“环境隔离”原则。这不仅影响了开发者选择 SDK 的方式，也为安全沙箱技术和后端 API 设计提出了更高的要求，推动了 AI 基础设施向更安全、更可扩展的方向发展。

常见问题

什么是 Agent Harness？

Agent Harness 是驱动 AI 智能体运行的核心闭环系统。它负责与 LLM 通信、解析模型指令、调用外部工具（如执行 bash 命令或读写文件）并将结果反馈给模型，直到任务最终完成。

为什么多用户环境更倾向于将 Harness 放在沙箱外？

在多用户环境下，安全性是首要考量。将 Harness 放在沙箱外可以实现凭证隔离，确保 LLM API 密钥、用户令牌和数据库访问权限等敏感数据不会进入可能运行不可信代码的沙箱环境，从而降低数据泄露和系统被劫持的风险。

沙箱内架构有哪些具体优势？

沙箱内架构的主要优势在于简单性。它拥有统一的进程树和文件系统，开发者可以直接复用现有的工具和框架，无需处理复杂的跨环境 API 交互，非常适合单用户快速开发和原型构建。