LangChain 在 2026 年 5 月 13 日宣布 LangSmith Sandboxes Generally Available。這個更新的重點,是提供給 agent code execution 使用的安全執行環境。
Agent 越來越不只是回答問題。Coding agent、data analysis agent、CI-style agent 都需要寫程式、跑測試、安裝 dependencies、讀寫檔案。這些能力很有用,但也讓安全邊界變得更重要。
為什麼 agent 需要 sandbox?
會執行程式的 agent 可能處理:
- 模型產生的 code。
- 使用者上傳的 code。
- 第三方 package。
- repo 裡的 scripts。
- shell command。
- data analysis notebook。
這些內容都不能預設可信。如果直接在公司基礎設施或共享 container 裡跑,風險會很高。
LangSmith Sandboxes 的定位
LangSmith Sandboxes 使用 hardware-virtualized microVM,每個 sandbox 都和服務與其他 sandboxes 做 kernel isolation。
這和單純 container 隔離不同。Container 共享 host kernel,如果 kernel exploit 或 sandbox escape 發生,風險會擴大。MicroVM 的隔離邊界更強,適合不可信 code execution。
GA 新能力
LangChain 提到 GA 包含:
- Snapshots。
- Cheap copy-on-write forks。
- Pause when inactive。
- Service URLs。
- Sandbox CLI。
- Creator-private by default。
- Auth Proxy with custom callbacks。
- Domain allowlist/denylist。
這些能力代表 sandbox 不只是安全隔離,也開始變成 agent workflow 的 execution platform。
哪些 agent 需要這種 sandbox?
適合:
- Coding assistant:寫 code 後自己跑測試。
- CI-style agent:clone repo、安裝 dependency、跑測試、開 PR。
- Data analysis agent:對 dataset 跑 Python 或產出圖表。
- Browser or app automation agent:需要隔離執行環境。
- Long-running research agent:需要保存中間 artifacts。
不一定需要:
- 單純問答 bot。
- 單次 retrieval chain。
- 只呼叫固定 API 的簡單 workflow。
導入時的安全清單
企業導入 agent sandbox 時,至少要看:
- Sandbox 是否和 production network 隔離?
- Secrets 是否進入 runtime,還是由 proxy 注入?
- 是否限制 outbound domains?
- 是否能設定 CPU、memory、time limits?
- 是否有 process 和 network audit log?
- Idle sandbox 何時 pause 或 destroy?
- Snapshot 是否可能保存敏感檔案?
- 誰能開 Service URL 或 shell console?
Sandbox 的價值不只是「能跑 code」,而是讓 agent 跑 code 時不把整個環境一起暴露出去。
官方來源
結論
LangSmith Sandboxes GA 反映一個趨勢:agent code execution 會成為主流,但安全邊界不能事後補。
未來 coding agent 和 data agent 是否能進 production,很大程度取決於 sandbox 是否具備真隔離、可觀測、可控 credentials、可復原和可審核。只有容器名稱叫 sandbox,已經不夠。