一句话看懂:微软发布Azure Container Apps Sandboxes公开预览版,用硬件隔离microVM在不到一秒内启动智能体代码执行环境,直接降低LLM生成代码被提示词注入后窃取密钥或加载恶意负载的风险。该产品同时捆绑了AST扫描和工具白名单两层强制策略,已在GitHub Copilot、Foundry Hosted Agents和Azure Container Apps Express中实际使用。
事件核心:发生了什么
微软宣布Azure Container Apps Sandboxes(资源类型Microsoft.App/SandboxGroups)进入公开预览阶段。每个沙箱在独立的microVM中运行,与宿主、平台及其他沙箱硬件隔离;从预热池冷启动耗时不到1秒,支持瞬时扩展到数千实例,空闲时不产生计算费用。沙箱按Sandbox Group进行生命周期管理,共享网络出口策略、托管标识分配和生命周期规则。网络层面默认拒绝出站流量,仅允许显式配置的主机,通过沙箱内代理层强制实施。同时,微软配套发布了Agent Governance Toolkit,包含AST扫描和工具白名单两层前置拦截机制,拒绝的调用在代码运行前即被阻断。
该产品直接对标2026年4月Cloudflare的Sandboxes(按需CPU计费+基于快照的会话恢复)、E2B基于Firecracker的专用沙箱(冷启动低于200ms,提供BYOC方案)以及Fly.io在2026年1月推出的Sprites(持久化100GB NVMe存储)。ACA Sandboxes的核心差异在于深度绑定Azure生态:支持系统分配或用户分配的Entra托管标识,避免凭据写入镜像或环境变量;ARM原生管理允许开发者用现有工具链调度沙箱。
为什么重要
当LLM生成代码并由智能体在宿主进程内执行时,执行面直接变为攻击面。比如一个“安全”的Python规划器仅用标准库的exec()、urlopen或os.environ就能窃取API密钥或加载远程Payload。此前构建多租户平台、CI/CD自动化或LLM代码解释器的团队需要自行配置seccomp profile或维护Kata Containers的Kubernetes集群,运维成本极高。微软此次提供的不是新的信任抽象,而是直接开放支撑GitHub Copilot Cloud Sandboxes、Foundry Hosted Agents的同层隔离基础设施,意味着开发者能在不自行管理编排层的情况下获得生产级隔离。
对AI agent生态而言,硬件级隔离配合基于快照的挂起/恢复(保留完整内存+磁盘状态)解决了两个关键问题:一是agent进行多步骤调查或安装依赖的持续环境可以缩至零副本再恢复,无需重建状态;二是网络出口白名单与托管标识的结合,使agent自然获得对Azure服务的安全认证,而不依赖镜像或环境变量中存放凭据。
对用户/开发者/创作者的影响
对于使用Azure的团队,ACA Sandboxes允许他们在现有ARM资源管理、Entra标识和出口策略框架下直接运行非信任agent代码,无需额外引入第三方沙箱或管理自建隔离集群。对于需要短时突发任务的开发者(例如LLM代码解释器、动态脚本执行平台),空闲不计费的计费模型直接降低了成本。对于GitHub Copilot的Cloud Sandboxes等高级用户,该项能力已在底层生效,但更广泛的开发者可通过公开预览API自行构建类似隔离方案。
AI 工具推荐
想把多个 AI 模型放在一个入口?
GamsGo AI 集成 ChatGPT、DeepSeek、Gemini、Claude、Midjourney、Veo 等常用模型,适合写作、绘图、视频和日常 AI 工作流。
推广链接:通过此链接购买,我可能获得佣金,不影响你的价格。
对于不在Azure上的团队,或需要GPU密集型工作负载、BYOC方案、偏好开源工具的团队(如使用Firecracker的E2B、Fly.io的Sprites),仍需考虑专用提供商。目前ACA Sandboxes不支持GPU,也未公开BYOC迁移方案。
值得关注的后续
- GPU支持与BYOC时间线:目前ACA Sandboxes不提供GPU加速,AI推理或训练场景仍依赖专用云实例。若微软后续补齐GPU,将对E2B等专有沙箱构成直接竞争。
- 价格细节与配额限制:微软尚未明确公开ACA Sandboxes的计费单价(特别是预热水池、挂起/恢复、网络出口的费用),以及免费层配额。价格透明度将直接影响多租户平台和CI/CD重度用户是否迁移。
- Agent Governance Toolkit的扩展性:目前AST扫描和工具白名单仅通过Python包发布,未来是否会支持更多语言(JavaScript/Rust)或与第三方编排框架(LangChain、CrewAI)集成,将决定其被纳入agent开发工作流的深度。
来源:InfoQ CN
