— это изолированная и строго контролируемая среда, в которой AI-агент может выполнять действия без риска навредить реальной системе, серверу или данным пользователя.
Технически песочница чаще всего реализуется с помощью:
- Контейнеры (например, Docker)
- Легковесные микровиртуальные машины (например, AWS Firecracker).
- Агент может перепутать команды и вместо сортировки файлов попытаться удалить корневой каталог (
rm -rf /). - Пользователь может обманом заставить агента написать и выполнить вредоносный код на вашем сервере.
- Агент может случайно написать бесконечный цикл или попытаться загрузить файл размером в терабайт. Песочница ограничивает потребление CPU, оперативной памяти и времени выполнения.
- В изолированной среде агент не сможет получить доступ к переменным окружения хоста (например, к секретным ключам API других сервисов).
Когда агенту нужно выполнить действие, система мгновенно поднимает изолированный контейнер.
Контейнер не имеет доступа к основной операционной системе, сети (или сеть ограничена) и реальным базам данных.
Если агенту нужно потренироваться работать с API, ему дают заглушки, которые имитируют ответы реальных сервисов, но ничего не меняют в реальном мире.
Как только задача выполнена или истек тайм-аут, контейнер полностью уничтожается вместе со всеми временными файлами.
- Если LLM просто генерирует текст и не умеет в Tool calling или Function calling, песочница будет пустой тратой вычислительных ресурсов.
- Поднятие даже самой быстрой изолированной среды занимает миллисекунды или секунды. Если агенту нужно реагировать мгновенно, накладные расходы на Sandbox могут быть слишком велики.
- Если задача агента — произвести действия в "реальном" мире, песочница ему помешает. Вместо этого используется Role-Based Access Control и подход Human-in-the-loop.