Coding Agent 越能干，越不该裸跑你电脑：隔离沙箱长任务实战

Coding Agent 已经能处理复杂代码任务。读仓库、改文件、跑命令、产出 diff，都不再新鲜。真正需要重新认真看待的，是它们运行在哪里。

Agent 越自由，风险越具体。

一个没有边界的 Agent 长时间运行在本机，它不只是改你让它改的那几行代码。它可能读取 .env 文件、查看 shell 历史、扫描本地缓存；也可能执行清理命令、修改系统配置，甚至把敏感信息写进调试输出。

如果一次任务只改一两个文件，风险还比较容易观察。但当 Agent 开始连续执行十几分钟、几十分钟，甚至围绕一个目标反复读代码、改代码、跑测试、修错误时，问题就从“它会不会写代码”变成了“它到底能碰到什么”。

这就是为什么 Coding Agent 不应该长期裸跑在本机。它需要一个干净、隔离、用完即销毁的执行空间。

这次，七牛云沙箱上线了四款面向 Coding 场景的 AI Agent 模板：

每个模板都是一个开箱即用的 Agent 运行环境。对应的 Agent CLI、Node.js、Git、ripgrep、GitHub CLI 和常用开发工具已经预装好。你选择熟悉的 Agent，把任务交给它，沙箱负责创建环境、隔离执行、回收现场。

Agent 仍然按自己的原生方式工作。沙箱做的不是重新发明一个 Agent，而是给这些 Agent 一个清楚的运行边界。

01 长任务越自动，越需要边界

Coding Agent 的价值，正是在于它不只执行一步命令。

一次复杂任务里，Agent 可能会先扫描项目结构，再阅读相关模块，然后修改多个文件，接着运行测试，根据错误继续调整，最后输出结果。这个过程本身没有问题，甚至正是 Agent 最有用的地方。

问题在于，如果这一整套动作都发生在本机环境里，边界很容易变得模糊。

本机里通常有真实项目的 .env、云服务凭证、数据库连接串、shell 历史、GitHub token、各种 CLI 的登录状态。Agent 一旦误读、误写，或者执行了意料之外的命令，损失可能是不可逆的。

比如：

• 为了跑测试，Agent 读取了本地 .env
• 为了排查错误，Agent 把环境变量打印进日志
• 为了清理构建产物，Agent 删除了未提交文件
• 为了“修复”问题，Agent 修改了无关配置
• 为了提交结果，Agent 把临时文件或敏感信息带进 diff

以上是可能的风险面，并不是说现有 Agent 一定会这么做。但只要任务足够长、自动化足够深，这些路径就客观存在。沙箱的意义，是把 Agent 的活动范围收进一个临时环境里。

它可以在里面读指定仓库、执行指定任务、生成代码改动、输出日志和 diff，但不需要直接进入你的开发机。

一个典型流程很简单：

创建沙箱 -> 克隆仓库 -> 执行 Agent -> 获取 git diff -> 销毁沙箱

每次任务都从干净环境开始。Agent 在沙箱里读代码、改文件、跑命令。任务结束后，你拿到结果，沙箱被销毁，文件、缓存、依赖和进程状态一起回收。

本地环境不再承担这些长任务执行后的副作用。

也正因为是隔离环境，下文示例里使用的 --dangerously-skip-permissions、--full-auto 这类“放权”参数才成为合理选项。这些命令在本机上要谨慎使用；但在沙箱里，环境只放任务所需代码和最小凭据、用完即销毁，它们正好适合无人值守的长任务。

02 Agent 不变，只是运行位置迁到沙箱

七牛云沙箱的 AI Agent 模板，并不是把 Claude Code、Codex、OpenCode、Amp 封装成一个统一的新工具，也不是要求你改变原来的使用习惯。

你熟悉哪个 Agent，就选对应模板。不同 Agent 仍然按自己的方式工作。它们的命令、参数、输出格式和能力边界，也仍然以各自 CLI 为准。

沙箱不试图抹平这些差异。它提供的是一个统一的运行边界：让这些 Agent 都能在隔离环境中启动、执行任务、输出结果，并在结束后被回收。

换句话说，Agent 还是原来的 Agent，只是从你的电脑里，搬到了一个临时工位上。

下面以 Codex 为例展示完整流程：

import { Sandbox } from 'e2b'

const sandbox = await Sandbox.create('codex', {
  envs: {
    OPENAI_API_KEY: process.env.OPENAI_API_KEY
  }
})

try {
  // 在沙箱内克隆目标仓库
  await sandbox.git.clone('https://github.com/your-org/your-repo.git', {
    path: '/home/user/repo',
    username: 'x-access-token',
    password: process.env.GITHUB_TOKEN
  })

  // 把任务交给 Agent
  const result = await sandbox.commands.run(
  `codex exec --full-auto --skip-git-repo-check -C /home/user/repo ` +
  `"给 /api/orders 创建订单接口补充参数校验和错误处理，保持最小改动，不重构无关逻辑"`,
  {
      timeoutMs: 10 * 60 * 1000,
      onStdout: (data) => process.stdout.write(data),
      onStderr: (data) => process.stderr.write(data),
    }
  )

  console.log(result.stdout)

  // 取回 diff
  const diff = await sandbox.commands.run('cd /home/user/repo && git diff')
  console.log(diff.stdout)
} finally {
  await sandbox.kill()
}

换成其他 Agent，只需替换执行命令那一行，模板名和环境变量也相应调整：

// Claude Code
await sandbox.commands.run(
  `cd /home/user/repo && ` +
  `claude --dangerously-skip-permissions -p "给 /api/orders 补充参数校验和错误处理，保持最小改动"`
)

Agent 在沙箱里完成修改后，最终看的仍然是 git diff。它有没有理解项目结构，看 diff。它有没有乱改无关文件，看 diff。它有没有保持最小改动，也看 diff。

后面要不要跑测试、做 review、提 PR，可以继续接你自己的工程流程。

03 让 Agent 能用 Key，但别轻易把真实 Key 交给它

长任务执行过程中，Agent 不只是本地改文件，它还会持续调用模型服务。API Key 绕不开，但真实 Key 不一定要直接进入沙箱。

快速测试时，直接通过环境变量传入很方便：

const sandbox = await Sandbox.create('claude', {
  envs: {
    ANTHROPIC_API_KEY: process.env.ANTHROPIC_API_KEY
  }
})

这种方式简单直接，但要意识到：真实 Key 会进入沙箱进程的环境变量。

当 Agent 开始处理真实项目时，真正麻烦的往往不是怎么让 Key 生效，而是怎么让 Key 不出现在不该出现的地方。它会不会被 Agent 读到？会不会被打印进日志？会不会残留在文件系统？会不会出现在某个调试输出里？ 这些问题平时不显眼，但只要是真实项目，就值得认真处理。

七牛云沙箱支持密钥注入规则。简单说：你把真实密钥保存在平台侧，沙箱里只放一个占位符；当 Agent 发起命中规则的 HTTPS 请求时，平台会在请求出站时把认证 header 改写为真实密钥，再转发给上游服务。

这样 Agent 可以正常调用模型服务，但真实密钥不需要进入沙箱进程环境变量。

以 Claude Code 为例，可以先在控制台创建一条 Anthropic 类型的注入规则，然后创建沙箱时只放占位符：

const sandbox = await Sandbox.create('claude', {
  envs: {
    ANTHROPIC_API_KEY: 'placeholder',
    ANTHROPIC_BASE_URL: 'https://api.example.com'
  },
  injections: [{id: 'RULE_ID'}]
})

这里有一个重要边界：密钥注入不是“所有网络请求自动替换密钥”。它只对命中规则的 HTTPS 请求生效，匹配条件和规则类型、目标域名、CLI 的 base URL 配置有关。没有命中的请求不会注入。

这件事的关键不是“让 Key 更方便地传进去”，而是“让真实 Key 不必真的进去”。

04 跑完以后，看 diff，也能看过程

Agent 执行完任务后，最重要的不是它说了什么，而是它改了什么。所以在编码任务里，最后真正有价值的结果通常是 git diff。

它有没有理解项目结构，看 diff。它有没有乱改无关文件，看 diff。它有没有保持最小改动，看 diff。后面能不能进测试、review、PR，也看 diff。

沙箱适合 Coding Agent 的地方就在这里：它允许 Agent 尝试，但不让试验现场留在你的机器里。满意，就拿着 diff 继续测试和 review；不满意，沙箱销毁，重新跑。

任务过程中的缓存、临时文件、依赖状态和进程状态，不需要长期留在本地。

同时，Claude Code、Codex、OpenCode、Amp 都有各自的结构化或流式输出能力。你可以按需拿到工具调用、错误信息、token 消耗、阶段性输出等过程数据。

只想看结果，可以只拿 diff；想接日志、审计或任务系统，也可以继续往后接。

05 给长任务一个临时工位

Coding Agent 的能力已经不只是在单点上补一段代码，而是可以围绕一个目标持续执行、反复调整、交付结果。

能力越强，越需要边界。

七牛云 AI Coding Agent 沙箱模板，做的就是这件事：环境开箱即用，Agent 原生运行，任务隔离执行，密钥按规则注入，过程可观测，结果拿 diff，用完即销毁。

Claude Code、Codex、OpenCode、Amp，你原来怎么用，现在仍然可以怎么用。只是不用再让它们直接在你的本机里跑。

不是把一个能执行复杂长任务的 Agent 直接放进你的电脑里。

而是给它一个临时工位。

让它把活干完，把结果交出来。然后清场。

更多关于 Coding Agent 隔离执行的最佳实践，欢迎到 云栈社区 交流。