AI 代理現在可以執行程式碼了。Anthropic 提供沙盒運行時。OpenAI Codex 提供隔離的工作樹。E2B 和 Modal 提供專用的沙盒基礎設施。AI 代理的程式碼執行無處不在。
但這是沒有人在問的問題:誰批准你的 AI 代理執行的程式碼?
風險面
當 AI 代理執行程式碼時,它可以:
- 存取不應該存取的資料
- 消耗超出合理範圍的資源(CPU、記憶體、網路)
- 產生副作用影響生產系統
- 洩漏資訊通過網路呼叫或輸出管道
- 違反合規要求以未經批准的方式處理受監管的資料
在開發人員的沙盒中,這些風險是可管理的。在具有受監管資料、客戶 PII 和合規義務的企業生產環境中?它們是交易破壞者。
競爭對手如何處理程式碼執行
Anthropic 的沙盒運行時
Anthropic 提供 beta 版沙盒運行時——無需容器開銷的檔案系統和網路隔離。它專為開發人員工作流程設計。沒有管理員批准閘門。
OpenAI Codex
OpenAI Codex 提供具有隔離工作樹和可審查差異的平行代理。隔離在工作樹級別。沒有企業管理員批准工作流程。
E2B、Modal 和沙盒供應商
它們是基礎設施,不是治理。它們隔離程式碼執行,但不提供任何機制來批准首先執行什麼程式碼。
治理差距
所有這些解決方案回答了這個問題:「我們如何安全地執行程式碼?」沒有一個回答了更難的問題:「誰決定應該執行什麼程式碼?」
在企業環境中,答案不是「AI 代理決定」或「開發人員決定」。而是「管理員決定」。
JieGou 的方法:受治理的程式碼執行
JieGou 的程式碼步驟將程式碼執行視為受治理的工作流程步驟,而不是開發人員沙盒。
管理員程式碼批准
在任何 AI 代理可以執行程式碼範本之前,管理員必須批准它。程式碼範本經過審查、測試,然後添加到已批准的調色板中。代理只能從已批准的範本中選擇。
V8 沙盒與資源限制
程式碼在 V8 隔離中運行,具有可配置的限制:
- CPU 時間:最大執行時間(預設:5 秒)
- 記憶體:最大堆大小(預設:128 MB)
- 輸出大小:最大輸出負載
稽核記錄
每次程式碼執行都會記錄:誰批准了程式碼範本、提供了什麼輸入、產生了什麼輸出、執行花了多長時間、消耗了多少記憶體。
治理整合
程式碼步驟融入 JieGou 的 10 層治理堆疊。它尊重:畢業式自主性、RBAC,以及部門範圍限制。
這對誰重要
如果你是 CISO 或合規官,被要求批准你組織中的 AI 代理程式碼執行,請向你的平台供應商提出以下問題:
- 我可以在代理使用之前審查和批准程式碼範本嗎?
- 程式碼執行是否記錄了完整的輸入/輸出稽核軌跡?
- 我可以設定程式碼執行的資源限制嗎?
- 我可以撤銷程式碼範本的批准嗎?
- 程式碼執行是否與我現有的治理框架整合?
結論
問題不在於你的 AI 代理能否執行程式碼。現在每個平台都提供這個功能。問題是誰決定它們執行什麼程式碼。