![[智能体-364]: Deep Agents,什么样的代码是在沙箱中执行?](http://pic.xiahunao.cn/yaotu/[智能体-364]: Deep Agents,什么样的代码是在沙箱中执行?)
一、核心判定规则一句话总结凡是会调用系统接口、读写本地文件、执行脚本、发起网络请求、运行外部可执行程序的代码 / 命令一律在沙箱执行仅纯内存逻辑、文本计算、纯算法运算默认不走沙箱。结合之前的架构属于Tool外部调用的代码 / 命令 → 沙箱执行属于Skill纯 LLM 推理、文本处理的逻辑 → 不进沙箱二、必须在沙箱中执行的代码 指令1. Python 代码最常见只要是 Agent动态生成、并要求运行的 Python 代码全部走沙箱。典型场景 示例数值运算、循环、基础算法python运行# 执行类代码 → 沙箱 total 0 for i in range(1, 101): total i print(total)数据处理、第三方库调用pandas/numpy/matplotlib等python运行import pandas as pd df pd.DataFrame([1,2,3]) print(df.describe())文件读写本地物理文件非 VFSpython运行# 操作宿主机本地文件 → 沙箱 with open(test.txt, w) as f: f.write(hello)网络请求requests/urllibpython运行import requests res requests.get(https://xxx.com)子进程、系统调用python运行import os os.system(ls -l)2. Shell / 终端命令Deep Agents 内置execute工具调用的 Shell 指令强制沙箱运行文件操作ls/cat/mkdir/cp版本控制git clone/git pull包安装pip install/npm install进程查看ps/top高危命令rm -rf、sudo、useradd等会先被沙箱黑名单拦截直接拒绝执行。3. 其他脚本与可执行程序JavaScript / Node.js 代码Bash / Shell 脚本编译型程序、二进制可执行文件数据库客户端命令、运维脚本4. 补充规则子代理Subagent生成并执行的代码 / 命令同样进入独立沙箱自定义 Tool 中封装的代码执行逻辑建议手动接入沙箱只要代码具备影响宿主机环境、访问外部资源的能力一律沙箱隔离。三、不会在沙箱中执行的内容这类逻辑只在LLM 进程、LangChain 应用进程内运行无系统级风险。1. 纯文本生成 语义处理Skill 范畴只是生成代码文本不运行代码让模型 “写一段排序代码”仅输出代码字符串不调用执行器 → 不走沙箱plaintext# 模型输出纯文本代码无运行动作 def sort_list(arr): return sorted(arr)2. LLM 原生能力各类 Skill文本摘要、改写、翻译、实体抽取文案创作、逻辑分析、问答对话规则校验、格式整理 全程只有文本交互、模型推理不触发代码执行。3. VFS 虚拟文件系统操作Deep Agents内置read_file/write_file操作虚拟文件仅操作内存级 VFS不触碰宿主机真实文件系统属于框架内置能力不进入沙箱4. 普通 API 调用业务接口 / 第三方接口通过 LangChain 常规 Tool 发起的 HTTP 接口调用非代码内requests例对接内部业务接口、MCP 服务、通用查询接口这类请求由应用进程直接发起默认不进沙箱可按需配置隔离5. 纯配置、纯描述性内容配置文本、JSON、YAML、注释、方案大纲等仅字符串处理。四、易混淆场景区分重点避坑场景 1写代码 VS 运行代码写代码输出文本Skill → 不进沙箱 运行代码执行逻辑Tool → 进沙箱场景 2VFS 文件读写 VS 本地物理文件读写write_file操作虚拟文件框架内置能力 → 不进沙箱 Python 代码里open()操作本地真实文件代码执行 → 进沙箱场景 3模型内置计算 VS 代码计算 LLM 口算、简单逻辑推理不进沙箱 生成代码并用解释器运行必须进沙箱场景 4普通 Tool 网络调用 VS 代码内网络调用 自定义 Tool 调用接口应用进程直接执行 Python 代码中requests.get代码执行 → 沙箱五、Deep Agents 自动判定逻辑框架内部识别工具类型调用execute、代码执行类内置工具 → 自动路由沙箱调用 VFS、规划、纯文本工具 → 跳过沙箱内容检测动态识别内容为Python/Shell/ 脚本强制执行环境隔离黑白名单前置拦截即使进入沙箱队列命中高危关键字也会直接终止不执行。备注不对本地文件系统造成未知风险的操作都可以不再沙箱中执行。对本地文件系统造成未知风险的操作都需要在沙箱中执行。六、极简速记表表格行为是否进沙箱原因运行 Python/Shell/ 脚本✅ 是操作系统 / 资源存在风险仅让模型编写代码文本❌ 否纯文本生成无执行动作读写本地真实文件✅ 是系统文件操作读写 VFS 虚拟文件❌ 否框架内存文件无系统风险摘要、改写、分析等 Skill❌ 否纯 LLM 推理代码内发起网络请求✅ 是代码执行行为普通业务 API 调用Tool❌ 否应用层直接调用
[智能体-364]: Deep Agents,什么样的代码是在沙箱中执行?
发布时间:2026/6/11 22:35:00
一、核心判定规则一句话总结凡是会调用系统接口、读写本地文件、执行脚本、发起网络请求、运行外部可执行程序的代码 / 命令一律在沙箱执行仅纯内存逻辑、文本计算、纯算法运算默认不走沙箱。结合之前的架构属于Tool外部调用的代码 / 命令 → 沙箱执行属于Skill纯 LLM 推理、文本处理的逻辑 → 不进沙箱二、必须在沙箱中执行的代码 指令1. Python 代码最常见只要是 Agent动态生成、并要求运行的 Python 代码全部走沙箱。典型场景 示例数值运算、循环、基础算法python运行# 执行类代码 → 沙箱 total 0 for i in range(1, 101): total i print(total)数据处理、第三方库调用pandas/numpy/matplotlib等python运行import pandas as pd df pd.DataFrame([1,2,3]) print(df.describe())文件读写本地物理文件非 VFSpython运行# 操作宿主机本地文件 → 沙箱 with open(test.txt, w) as f: f.write(hello)网络请求requests/urllibpython运行import requests res requests.get(https://xxx.com)子进程、系统调用python运行import os os.system(ls -l)2. Shell / 终端命令Deep Agents 内置execute工具调用的 Shell 指令强制沙箱运行文件操作ls/cat/mkdir/cp版本控制git clone/git pull包安装pip install/npm install进程查看ps/top高危命令rm -rf、sudo、useradd等会先被沙箱黑名单拦截直接拒绝执行。3. 其他脚本与可执行程序JavaScript / Node.js 代码Bash / Shell 脚本编译型程序、二进制可执行文件数据库客户端命令、运维脚本4. 补充规则子代理Subagent生成并执行的代码 / 命令同样进入独立沙箱自定义 Tool 中封装的代码执行逻辑建议手动接入沙箱只要代码具备影响宿主机环境、访问外部资源的能力一律沙箱隔离。三、不会在沙箱中执行的内容这类逻辑只在LLM 进程、LangChain 应用进程内运行无系统级风险。1. 纯文本生成 语义处理Skill 范畴只是生成代码文本不运行代码让模型 “写一段排序代码”仅输出代码字符串不调用执行器 → 不走沙箱plaintext# 模型输出纯文本代码无运行动作 def sort_list(arr): return sorted(arr)2. LLM 原生能力各类 Skill文本摘要、改写、翻译、实体抽取文案创作、逻辑分析、问答对话规则校验、格式整理 全程只有文本交互、模型推理不触发代码执行。3. VFS 虚拟文件系统操作Deep Agents内置read_file/write_file操作虚拟文件仅操作内存级 VFS不触碰宿主机真实文件系统属于框架内置能力不进入沙箱4. 普通 API 调用业务接口 / 第三方接口通过 LangChain 常规 Tool 发起的 HTTP 接口调用非代码内requests例对接内部业务接口、MCP 服务、通用查询接口这类请求由应用进程直接发起默认不进沙箱可按需配置隔离5. 纯配置、纯描述性内容配置文本、JSON、YAML、注释、方案大纲等仅字符串处理。四、易混淆场景区分重点避坑场景 1写代码 VS 运行代码写代码输出文本Skill → 不进沙箱 运行代码执行逻辑Tool → 进沙箱场景 2VFS 文件读写 VS 本地物理文件读写write_file操作虚拟文件框架内置能力 → 不进沙箱 Python 代码里open()操作本地真实文件代码执行 → 进沙箱场景 3模型内置计算 VS 代码计算 LLM 口算、简单逻辑推理不进沙箱 生成代码并用解释器运行必须进沙箱场景 4普通 Tool 网络调用 VS 代码内网络调用 自定义 Tool 调用接口应用进程直接执行 Python 代码中requests.get代码执行 → 沙箱五、Deep Agents 自动判定逻辑框架内部识别工具类型调用execute、代码执行类内置工具 → 自动路由沙箱调用 VFS、规划、纯文本工具 → 跳过沙箱内容检测动态识别内容为Python/Shell/ 脚本强制执行环境隔离黑白名单前置拦截即使进入沙箱队列命中高危关键字也会直接终止不执行。备注不对本地文件系统造成未知风险的操作都可以不再沙箱中执行。对本地文件系统造成未知风险的操作都需要在沙箱中执行。六、极简速记表表格行为是否进沙箱原因运行 Python/Shell/ 脚本✅ 是操作系统 / 资源存在风险仅让模型编写代码文本❌ 否纯文本生成无执行动作读写本地真实文件✅ 是系统文件操作读写 VFS 虚拟文件❌ 否框架内存文件无系统风险摘要、改写、分析等 Skill❌ 否纯 LLM 推理代码内发起网络请求✅ 是代码执行行为普通业务 API 调用Tool❌ 否应用层直接调用
:Compose 中的动画 —— 从简单过渡到复杂交互引言:动画让应用活起来在之前的教程中,我们零散地使用过动画:点击按钮的缩放效果、列表项进入的淡入淡出)
