Agent Sandbox — Run Agents Safely on Kubernetes

简介

Agent Sandbox 提供 Kubernetes 优先的运行模式：通过资源限额、隔离与可复现环境，把 agent 工作负载关进“可控沙箱”，并用配额、策略与审计把失败影响面压到最小，长期可持续。

• 适合谁： 要跑不完全可信的 agent 代码，并需要隔离/配额/可审计执行面的团队
• 可搭配： Kubernetes 集群 + CI；适合配合策略即代码与最小权限账号
• 准备时间： 30 分钟

实战建议

• 上手约 30 分钟（apply 清单 + 跑一个沙箱任务）
• 三项硬性验收：限额生效、外联受控、运行日志留存
• GitHub stars + forks（已核验）：见「来源与感谢」

当 agent 能拿着长期凭证执行任意代码时，风险会指数级上升。Kubernetes 沙箱能把爆炸半径变小：小配额、短期身份、可审计日志。把“agent 执行”做成基础设施能力，而不是临时脚本。

FAQ

跑 agent 一定要上 Kubernetes 吗？ A: 不一定，但当你需要隔离不可信执行时，它是很强的默认方案。

第一道护栏应该加什么？ A: 资源限额 + 限制 service account；然后再加外联控制。

如何保证可复现？ A: 固定镜像/版本，把清单当代码走 PR 审核。