把整个 agent loop 都塞进一个大沙箱,看起来更安全,但常见结果是把真正不危险的控制逻辑也一起拖慢、拖复杂。
更常见也更务实的切法是:
- harness / orchestration 在外层运行,负责状态、路由、预算、审批、验证
- 只有真正高风险的工具调用进入对应隔离环境
原因很简单:agent loop 本质上更像控制面,而不是执行面。真正需要强隔离的通常是 shell、浏览器、外部系统写入、数据库变更、文件系统危险操作。
如果所有东西都塞进同一个沙箱,副作用通常包括:调试更难、状态恢复更复杂、性能更差、工具接入变笨重,而且隔离边界反而不清晰。
所以关键不在“全部塞进去”,而在“把真正危险的执行点隔离出来”。