2026 年，AI Agent 正在从"聊天助手"进化为"代码执行者"。当你的 Agent 需要执行第三方代码时，沙箱方案的选型直接决定了安全底线和用户体验上限。但市面上的方案从 MicroVM 到 WASM 五花八门，各有说辞——本文基于实测 benchmark 数据，帮你按场景做出正确选择。

---

一、选型的核心矛盾：安全深度 vs 运行开销

沙箱选型本质上是一个二维权衡：

综合安全 ↑
能力      │  Firecracker          Kata
         │      ●                  ●
         │
         │ SkillLite   WASM    gVisor
         │ ●            ●        ●
         │
         │                    Docker (加固)
         │                        ●
         │
         │                    Docker (默认)
         │                        ●
         └──────────────────────────────→ 运行开销
       低                               高
      (SkillLite 40ms/10MB)    (Docker daemon 200MB+)

  注：SkillLite 无内核级隔离，但三层防御（安装扫描 + 执行前授权
  + 运行时沙箱）使实测拦截率达 90%，高于 WASM (Pyodide 35%)。

没有"最好"的方案，只有最匹配你场景的方案。选型的关键在于回答三个问题：

1. 你的代码来自谁？ — 自研代码 vs 不可信第三方

2. 你的 Agent 跑在哪里？ — 本地笔记本 vs 多租户云

3. 你能接受多大的延迟？ — 毫秒级 vs 秒级

---

二、五类方案逐一拆解

2.1 微虚拟机 (MicroVM) — 安全性的天花板

代表技术：Firecracker (AWS Lambda/Fargate 底层)、Kata Containers、Cloud Hypervisor

每个沙箱运行在独立的轻量虚拟机中，拥有独立的 Linux 内核。即使攻击者突破了用户态沙箱，仍然被困在虚拟机的内核中。

维度	表现
隔离级别	内核级隔离（独立 Guest 内核）
防内核逃逸	✅ 是（攻击面仅限 VMM 接口）
启动速度	~125ms (Firecracker)
资源开销	每个实例数 MB 到数十 MB 内存
部署复杂度	中等（需要 KVM/Hypervisor）
系统调用兼容	完整 Linux

什么时候选它：

• 你在做多租户 SaaS，用户会上传完全不可信的代码

• 一次内核逃逸 = 全平台沦陷，安全合规是硬性要求

• 你的场景能接受 100ms+ 的启动延迟和 MB 级的内存开销

什么时候不选：

• 本地 AI Agent — 用户无法忍受每次执行脚本都等 100ms+

• 资源受限环境 — 跑不起几十个 VM

典型用户：E2B (Firecracker)、AWS Lambda、Google Cloud Run

2.2 用户态内核 (User-mode Kernel) — 安全与兼容的折中

代表技术：gVisor (Google 开源)

用 Go 编写的用户态内核（Sentry）拦截系统调用，不直接透传到宿主内核，而是在用户态重新实现。

维度	表现
隔离级别	用户态内核（Sentry 拦截）
防内核逃逸	✅ 是
启动速度	亚秒级（有 runsc 池时更快）
I/O 性能	30-50% 损耗（I/O 密集场景）
系统调用兼容	部分（~70-80%）
部署复杂度	中等（需要 containerd/K8s）

什么时候选它：

• 你已经有 Kubernetes 集群，想在不引入 VM 的情况下获得更强隔离

• 你的工作负载不是 I/O 密集型

• 你的团队有容器化运维经验

什么时候不选：

• I/O 密集型任务 — 30-50% 的性能损耗可能不可接受

• 本地轻量部署 — 它依赖 containerd/K8s 生态

• 需要 100% 系统调用兼容 — 有些调用没实现

2.3 WebAssembly (WASM) — 正确的未来方向，但现在还不够

代表技术：WasmEdge、Wasmtime、Wasmer、Pyodide (浏览器端)

代码编译为中间字节码，在沙箱虚拟机中运行。线性内存模型天然提供内存安全和指令级隔离。

维度	表现
隔离级别	内存/指令级（线性内存模型）
防内核逃逸	✅ 是
启动速度	毫秒级
资源开销	极低
系统调用兼容	低（需 WASI 适配）
生态兼容	受限（Python/Node.js 需特殊运行时）

什么时候选它：

• 插件/扩展系统 — Envoy filters、Shopify Functions

• 边缘计算 — Cloudflare Workers

• 浏览器端代码执行

什么时候不选：

• AI Agent 需要直接运行 Python/Node.js/Bash — WASI 生态还不够"无感"

• 需要访问本地文件系统和网络

• 需要跑现有工具链而不想重新编译

趋势判断：WASM 是正确的长期方向。随着 WASI Preview 2 和 Component Model 成熟，预计 2-3 年内将成为轻量沙箱的主流选择。但今天对通用 AI Agent 脚本的支持还需要额外适配工作。

2.4 传统容器 (Containers) — 熟悉但容易被高估

代表技术：Docker、Podman

维度	表现
隔离级别	命名空间级（namespace + cgroup）
防内核逃逸	❌ 否（共享宿主内核）
启动速度	秒级（含镜像拉取可达分钟级）
资源开销	运行时低，但 daemon 约 200MB+
系统调用兼容	完整 Linux
安全配置	需精细调优

有一个关键认知需要建立：Docker 的设计目标是应用部署隔离，不是防御恶意代码执行。 这是两个不同的问题域。

传统部署	AI Agent 执行
代码来自可信的开发团队	代码来自不可信的第三方
目标是资源隔离	目标是防御恶意行为
容器内网络/文件访问是功能	可能是攻击路径

在默认配置下，我们的 20 项安全测试中 Docker 仅拦截了 2 项（10%）。通过 --cap-drop ALL、自定义 seccomp profile、AppArmor 等手段可以大幅提升，但这需要深厚的安全工程经验——配置错误本身就是最大的安全风险。

什么时候选它：

• 常规开发测试，代码来自你自己的团队

• 已有完善的 Docker 安全加固流程

• 快速原型验证

什么时候不选：

• 面对恶意代码时，默认配置远远不够

• 本地 AI Agent — 启动太慢、daemon 太重

2.5 原生进程沙箱 (Native Process Sandbox) — 本地 AI Agent 的最佳平衡

代表技术：SkillLite (Rust)、Claude SRT (Seatbelt)

利用操作系统原生安全原语（macOS Seatbelt、Linux bwrap + seccomp、Windows Job Object）在进程级别实施隔离。没有单独的内核，没有 VM——直接用 OS 自身的能力。

维度	SkillLite	Claude SRT
热启动	~40ms	~596ms
冷启动	~492ms	~1s
内存占用	~10MB	~84MB
Binary 大小	~2MB	需安装
安全拦截率	100% (20/20)	32.5% (6.5/20)
防内核逃逸	❌	❌
系统调用兼容	100% 原生	100% 原生

SkillLite 和 Claude SRT 同用 Seatbelt 底层技术，但安全拦截率差异巨大（100% vs 32.5%）。原因不在运行时沙箱本身，而在于 SkillLite 的防御纵深架构——在代码进入沙箱之前就有两层过滤：

┌─────────────────────────────────────────────┐
│ Layer 1: 安装时扫描                          │
│ ├─ 静态规则引擎（模式匹配）                  │
│ ├─ LLM 分析（可疑代码 → 模型审查）           │
│ └─ 供应链审计（PyPI/OSV 漏洞库）             │
├─────────────────────────────────────────────┤
│ Layer 2: 执行前授权                          │
│ ├─ 两阶段确认（扫描 → 确认 → 执行）          │
│ └─ scan_id 一次性消费（防重放绕过）           │
├─────────────────────────────────────────────┤
│ Layer 3: 运行时沙箱                          │
│ ├─ OS 原生隔离（Seatbelt / bwrap + seccomp） │
│ ├─ 进程执行白名单（仅允许解释器）             │
│ ├─ 文件系统隔离（拒绝敏感路径 + 移动保护）    │
│ ├─ 网络隔离（deny + SOCKS5 代理白名单）      │
│ ├─ 资源限制（rlimit CPU/mem/file/nproc）     │
│ └─ IPC 阻断（deny mach-register/iokit-open） │
└─────────────────────────────────────────────┘

大多数沙箱方案只覆盖 Layer 3。SkillLite 的安装时扫描和供应链审计是目前 AI Agent 沙箱领域的独有能力：

安全能力	SkillLite	E2B	Docker	Claude SRT	Pyodide
安装时恶意代码检测	✅	—	—	—	—
静态代码扫描	✅	—	—	—	—
供应链审计	✅	—	—	—	—
运行时沙箱	✅	✅	✅	✅	✅
审计日志	✅	—	—	—	—
零依赖安装	✅	—	—	—	—
离线可用	✅	—	部分	✅	✅

---

三、按场景选型：决策树

你的 AI Agent 运行在哪里？
│
├── 公有云 / 多租户 SaaS
│   ├── 用户上传完全不可信的代码？
│   │   ├── 是 → Firecracker MicroVM（或 E2B/Modal 托管）
│   │   └── 否 → gVisor + Kubernetes
│   └── 不想自建基础设施？
│       └── E2B / Modal 托管方案
│
├── 本地个人电脑 / AI 助手
│   ├── 需要毫秒级响应 + 零依赖？
│   │   └── SkillLite（40ms 热启动，2MB binary）
│   ├── 已有 Docker 且能做安全加固？
│   │   └── Docker + seccomp + cap-drop
│   └── 需要离线 + 隐私不出域？
│       └── SkillLite
│
├── 边缘计算 / 嵌入式
│   └── WASM（WasmEdge / Wasmtime）
│
└── 企业 K8s 集群
    ├── 安全合规要求高？
    │   └── Kata Containers（VM 级隔离 + K8s）
    └── 性能优先？
        └── gVisor runsc

场景一：本地 AI Agent / 个人助手

典型产品：OpenCode、Claude Desktop 本地版、本地 Copilot

核心诉求：毫秒级响应、低内存、离线可用、防止 AI 幻觉导致的意外破坏

推荐：SkillLite

为什么选	数据支撑
启动无感	40ms 热启动，用户体验等同原生
几乎零开销	10MB 内存，2MB binary
安全覆盖本地威胁模型	90% 拦截率，三层防御
离线隐私	单 binary，无云端依赖

场景二：多租户 AI 代码执行平台

典型产品：Replit、E2B、Code Interpreter as a Service

核心诉求：绝对隔离、防内核逃逸、安全合规

推荐：Firecracker MicroVM（或 E2B/Modal 托管）

为什么选	理由
真正的安全边界	独立内核，攻击面极小
可接受的延迟	125ms，云端场景足够
行业验证	AWS Lambda 底层即 Firecracker

场景三：K8s 集群安全容器

推荐：gVisor 或 Kata Containers

选择因素	gVisor	Kata Containers
I/O 性能	30-50% 损耗	接近原生
隔离强度	用户态内核	VM 级
K8s 集成	原生 OCI	原生 OCI
资源开销	中	中高
适合	CPU 密集型	I/O 密集型

场景四：插件系统 / 边缘计算

推荐：WASM（WasmEdge / Wasmtime）

天然的内存安全和指令级隔离，非常适合插件架构和资源受限环境。

场景五：开发测试 / 快速原型

推荐：Docker（加安全加固）

如果代码来自你自己的团队，Docker 的默认配置对常规开发测试已经够用。如果涉及不可信代码，务必配置 seccomp profile 和 --cap-drop ALL。

---

四、综合对比表

特性	SkillLite	Firecracker	gVisor	Docker	WASM
隔离级别	进程/系统调用	内核级	用户态内核	命名空间	内存/指令级
安全拦截率	90%	N/A	N/A	10% (默认)	35% (Pyodide)
防内核逃逸	❌	✅	✅	❌	✅
热启动	~40ms	~125ms	亚秒级	秒级	毫秒级
内存开销	~10MB	数十 MB	中高	~100MB (daemon)	极低
安装大小	~3MB	需 KVM	需 containerd	200MB+ daemon	需 Runtime
系统调用兼容	100%	100%	~70-80%	100%	需 WASI
供应链安全	✅ 三层防御	—	—	—	—
本地离线	✅	可以但重	不适合	可以	✅
最佳场景	本地 AI Agent	多租户云	K8s 安全容器	开发测试	插件/边缘

---

五、关于"共享内核"的风险——客观评估

SkillLite 和 Docker 都共享宿主内核，理论上存在内核逃逸风险。但这个风险需要放在具体场景中评估：

内核逃逸的门槛极高：需要未公开的内核 0-day + 绕过 KASLR/SMEP/SMAP + 绕过 seccomp 过滤。SkillLite 已经通过 seccomp 阻止了 ptrace、mount、kexec_load 等高危系统调用，进程白名单（仅允许解释器）进一步缩小攻击面。

信任模型决定选择：

威胁等级	典型攻击者	推荐方案
防意外错误	AI 幻觉输出	SkillLite 足够
防初级恶意	Script kiddie、供应链攻击	SkillLite 足够（三层防御）
防高级攻击	APT 组织	Firecracker + SkillLite 前置扫描
防国家级攻击	国家级黑客	硬件隔离 + 物理气隙

对于本地 AI Agent 场景，用户运行的是自己选择的 AI 模型，主要风险是"意外错误"和"初级恶意 Prompt"——这恰好是进程沙箱 + 供应链审计最擅长的区间。

---

六、进阶思路：混合架构

实际生产中，最佳实践往往是组合使用——按风险等级路由到不同强度的沙箱：

                    ┌──────────────────────────────┐
                    │     SkillLite 前置扫描         │
                    │  (安装时扫描 + 静态扫描 +      │
                    │   供应链审计 → 风险评级)        │
                    └──────────┬───────────────────┘
                               │
              ┌────────────────┼────────────────┐
              │                │                │
    ┌─────────▼──────┐  ┌─────▼──────┐  ┌──────▼─────┐
    │  低风险          │  │ 中等风险     │  │ 高风险      │
    │  SkillLite 沙箱  │  │ Docker 加固  │  │ Firecracker │
    │  (40ms, 10MB)   │  │ (秒级启动)   │  │ (125ms)    │
    └────────────────┘  └────────────┘  └────────────┘

SkillLite 的供应链安全层可以作为任何运行时沙箱的前置过滤器——先评估风险，再决定隔离强度。

---

七、总结

场景	推荐方案	一句话理由
本地 AI Agent、隐私优先	SkillLite	40ms 启动 + 90% 拦截 + 三层防御 + 零依赖
多租户云、执行不可信代码	Firecracker	内核级隔离，安全天花板
K8s 集群安全容器	gVisor / Kata	原生 K8s 集成，无需改工作流
插件系统、边缘计算	WASM	天然内存安全 + 极低开销
开发测试	Docker	生态成熟，注意安全加固
省心托管	E2B / Modal	不用自建基础设施

最后一句：在 AI Agent 安全领域，最大的风险不是选错了沙箱方案，而是根本没有沙箱。目前大多数 AI Agent 框架默认配置下几乎没有沙箱保护。无论你选哪种方案，先用起来。

---

SkillLite: https://github.com/EXboys/skilllite 安全 benchmark 测试脚本和数据均已开源，欢迎复现验证。

如果这篇文章对你有帮助，欢迎点赞收藏。也欢迎在评论区分享你在 AI Agent 沙箱选型方面的实践经验。