Agent 安全沙箱能调用工具不代表能随便调用Agent 能力越强安全边界越重要。以前聊天机器人说错话最多是体验问题现在 Agent 能读文件、查工单、触发部署、调用内部 API说错一步就可能变成事故。别把“模型会思考”当安全机制真正能保护系统的是沙箱、权限、审批和审计。Agent 安全沙箱的核心原则很简单默认无权限按任务最小授权危险动作人工确认所有行为可追踪。一、沙箱要隔离运行环境flowchart TD A[User Request] -- B[Agent Runtime] B -- C[Sandbox] C -- D[Tool Proxy] D -- E[Internal API] C -- F[Temp FS] C -- G[Network Policy] H[Audit Service] -- CAgent 不应该直接运行在拥有大量内部权限的服务进程里。工具执行、文件读写、网络访问都应该经过沙箱限制。能不给网络就不给网络能只读就只读能临时授权就不要永久授权。二、工具能力要分级不是所有工具都一样危险。查文档、读指标、生成摘要属于低风险重启服务、改配置、删除资源、发生产请求属于高风险。tool_risk_level: read_metrics: low search_docs: low create_ticket: medium restart_service: high patch_config: high delete_resource: critical低风险工具可以自动执行中风险工具需要用户确认高风险工具需要审批或双人确认。别让一个“帮我处理一下”的自然语言请求直接变成生产变更。三、输入输出都要做过滤Agent 沙箱不只防模型乱动也要防输入污染和输出泄漏。用户输入可能包含提示注入工具返回可能包含密钥、手机号、内部 URL 或敏感日志。security_filters ├── prompt injection detection ├── secret redaction ├── path traversal block ├── outbound domain allowlist ├── response data classification └── max token and max file limit过滤应该放在模型外部。不要指望模型自己永远记得“不要泄漏敏感信息”。模型是执行者不是安全边界。四、危险动作必须可回滚如果 Agent 能触发变更就要保证变更可回滚。比如创建工单可以撤销修改配置要有版本发布动作要能回滚扩容要有上限。{ action: patch_config, target: payment-service, requires_approval: true, rollback_plan: restore config version 20260703-1020, ttl_minutes: 30 }没有回滚计划的动作不应该让 Agent 执行。生产系统里能恢复比看起来聪明更重要。五、总结Agent 安全沙箱要把运行环境、工具权限、输入输出过滤、危险动作审批和审计日志一起做。能调用工具不代表能随便调用。真正可上线的 Agent是被边界约束住的 Agent。能力越大越要把权限拆细、把动作记清、把回滚路径准备好。这不是保守是让智能体真的能进生产。