AI agent 现在可以运行代码了。Anthropic 提供沙盒运行时。OpenAI Codex 提供隔离的工作树。E2B 和 Modal 提供专用沙盒基础设施。AI agent 的代码执行无处不在。
但这里有一个没人在问的问题:谁批准您的 AI agent 运行的代码?
风险面
当 AI agent 执行代码时,它可以:
- 访问数据——它不应该访问的数据
- 消耗资源——超出合理范围(CPU、内存、网络)
- 产生副作用——影响生产系统
- 外泄信息——通过网络调用或输出渠道
- 违反合规要求——以未批准的方式处理受监管数据
在开发者的沙盒中,这些风险是可管理的。在具有受监管数据、客户 PII 和合规义务的企业生产环境中?它们是致命的。
竞争对手如何处理代码执行
Anthropic 的沙盒运行时
Anthropic 提供处于 beta 阶段的沙盒运行时——文件系统和网络隔离,无容器开销。它为开发者工作流设计:运行代码、查看结果、迭代。没有管理员审批门。运行沙盒的开发者就是决定运行什么代码的人。
OpenAI Codex
OpenAI Codex 提供带隔离工作树和可审核差异的并行 agent。它是用于代码生成和审查的开发者工具。隔离在工作树级别——每个 agent 获得自己的工作目录。没有企业管理员审批工作流。
E2B、Modal 和沙盒提供商
E2B、Modal 和类似服务提供通用沙盒执行环境。它们是基础设施,不是治理。它们将代码执行与宿主系统隔离,但不提供任何批准首先运行什么代码的机制。
治理差距
所有这些解决方案回答的问题是:“我们如何安全地执行代码?“没有一个回答更难的问题:“谁决定应该执行什么代码?”
在企业环境中,答案不是”AI agent 决定”或”开发者决定”。而是”管理员决定”。负责合规、安全和运营风险的人需要:
- 审核哪些代码模板对 AI agent 可用
- 批准新代码模板,然后 agent 才能使用
- 审计每次代码执行的完整输入/输出日志
- 限制资源消耗(CPU 时间、内存、输出大小)
- 撤销如果代码模板导致问题则撤销批准
JieGou 的方法:受治理的代码执行
JieGou 的 Code Step 将代码执行视为受治理的工作流步骤,而不是开发者沙盒。以下是它的工作方式:
管理员代码批准
在任何 AI agent 可以执行代码模板之前,管理员必须批准它。代码模板经过审核、测试,然后添加到已批准的工具面板中。Agent 只能从已批准的模板中选择——它们不能编写和执行任意代码。
带资源限制的 V8 沙盒
代码在具有可配置限制的 V8 隔离环境中运行:
- CPU 时间:最大执行时间(默认:5 秒)
- 内存:最大堆大小(默认:128 MB)
- 输出大小:最大输出载荷
如果代码模板超过任何限制,执行立即终止。
审计日志
每次代码执行都记录:
- 谁批准了代码模板
- 提供了什么输入
- 产生了什么输出
- 执行花了多长时间
- 消耗了多少内存
这为合规审查创建了完整的审计追踪。
治理集成
Code Step 融入 JieGou 的 10 层治理体系。它遵循:
- 渐进式自主权:在”监督”模式下,代码步骤需要每次执行的批准
- RBAC:只有拥有适当权限的用户才能创建或批准代码模板
- 部门范围:代码模板可以限定到特定部门
这对谁重要
如果您是被要求批准组织中 AI agent 代码执行的 CISO 或合规官,请向您的平台供应商提出这些问题:
- 我可以在 agent 使用代码模板之前审核和批准吗?
- 代码执行是否记录了完整的输入/输出审计追踪?
- 我可以对代码执行设置资源限制吗?
- 我可以撤销对代码模板的批准吗?
- 代码执行是否与我现有的治理框架集成?
如果这些问题中的任何一个答案是”否”,您没有受治理的代码执行。您有的是一个有人试图放到生产环境中的开发者沙盒。
底线
问题不在于您的 AI agent 能否运行代码。现在每个平台都提供这个功能。问题在于谁决定它们运行什么代码——以及您是否有治理控制来负责任地做出这个决定。
了解更多关于 JieGou 的治理体系 或 参加治理评估 看看您当前的设置如何。