AI Agent的最大问题不是能不能干活,是敢不敢让它干
过去一年里,AI Agent”失控”的故事没少见:帮你发了不该发的邮件,删了不该删的文件,把一个小任务滚成了一堆副作用。
这不是模型不够聪明,而是执行环境没有安全边界。
OpenAI在4月15日更新的Agents SDK,针对的就是这个问题:引入了沙箱(sandbox)机制,让Agent在一个隔离的计算环境里运行,接触不到它不应该碰的文件和工具。
沙箱是怎么工作的
简单说:Agent被限制在一个”工作区”里,只能访问被明确允许的文件和代码路径,无法操作宿主系统的其他部分。
SDK现在支持多家第三方沙箱服务商,企业可以自带基础设施或直接接入以下平台:
| 沙箱服务商 | 特点 |
|---|---|
| Cloudflare | 边缘计算,低延迟 |
| Vercel | 前端友好,函数沙箱 |
| E2B | 专注AI代码执行 |
| Modal | 弹性算力 |
| Daytona | 开发环境隔离 |
| Runloop | 企业级工作流 |
| Blaxel | AI Agent专用 |
选哪家看你现有的技术栈,大部分团队应该能找到匹配的。
还有什么新东西
除了沙箱,这次更新还带来了:
- 模型原生Harness:支持Agent在文件、代码、工具之间做跨步骤的长链路任务,不再只是单轮交互
- 子Agent支持(roadmap):未来可以让Agent拆分成多个子任务并发执行
- 代码模式(roadmap):更适合代码执行的特殊Agent行为模式
OpenAI产品团队的Karan Sharma说,他们想让开发者”用我们的harness和他们自己的基础设施来搭建长视野Agent”。
有什么限制
目前只有Python版本,TypeScript支持在路上但没给具体时间。
这对前端主导的团队是个不便,但对后端和数据工程来说问题不大。
价格方面按标准API计费,不加收额外费用。
为什么这件事值得关注
在Agent这条赛道上,Anthropic有Managed Agents,微软有AutoGen框架,OpenAI之前的SDK相对原始。
这次更新之后,OpenAI的Agent基础设施终于有了基本的企业级安全能力——沙箱机制是生产部署的必要条件,没有它企业根本不敢把Agent放进关键流程。
时间节点也挺有意思:就在Anthropic把Claude托管Agent推向企业的同一时期,OpenAI这个动作更像是一次防守性更新,而不是进攻。但对开发者来说,两家都在认真做Agent基础设施,总归是好事。
参考来源:OpenAI updates its Agents SDK to help enterprises build safer, more capable agents(TechCrunch)