Agent 的风险来自它真的会动手

早期代码助手的主要风险是给错建议。用户复制代码之前还要看一眼,执行权仍在人手里。Agentic coding 改变了这一点:Copilot 可以运行工具、执行命令、改文件、开 PR,甚至在后台继续工作。

一旦 AI 从建议层进入施工层,安全问题就不能只靠“请谨慎操作”解决。它需要像浏览器沙箱、CI runner、容器和移动设备管理一样,有清楚的隔离边界。

GitHub 这次推出本地和云端沙箱,正是在补这个执行层。

本地沙箱和云端沙箱解决不同问题

本地沙箱主要保护开发者机器。Copilot 发起的 shell command 被限制在更窄的文件系统、网络和系统能力范围内,开发者可以试 agent 工作流,但不把整台机器交出去。

云端沙箱主要保护组织工作流。agent 在 GitHub 托管的隔离环境里执行,身份、治理和策略更容易统一,也更适合企业把任务交给后台代理运行。

两者不是互相替代。个人探索需要低摩擦的本地隔离,团队生产需要可审计的云端环境。

安全边界会进入开发者体验

传统安全常被开发者视为外部约束。Agent 时代不同,安全边界会直接影响体验:能不能跑测试,能不能访问网络,能不能写临时文件,能不能安装依赖,都会决定 agent 是否可用。

这要求产品把策略做成可理解、可调整、可继承的工程配置,而不是一堆模糊开关。GitHub 提到企业可通过 Intune 和 MDM 平台配置本地沙箱策略,这说明 agent 安全已经进入企业端点管理。

未来每个成熟 coding agent 都会有类似问题:默认放权太大不安全,默认放权太小又不可用。谁能把这层平衡做好,谁更容易进生产。

沙箱不是终点,而是放权的前提

沙箱并不能保证 agent 一定做对事。它解决的是出错时伤害范围有多大,以及事后能不能追踪。真正的生产使用还需要权限、审计、测试、回滚和人工审批一起工作。

但没有沙箱,后面的治理几乎无从谈起。团队不可能长期让一个会执行命令的系统直接拿到完整开发机和企业网络。

Copilot 沙箱的意义就在于此:它把 agent 从“看起来聪明”推向“可以被限制地使用”。这是 AI 编程从玩具走向工程基础设施的必经步骤。