Sandlock — 轻量 Agent 沙箱：5ms 启动，HTTP ACL，可逆文件系统

1. 解决的问题

为什么容器/microVM 不适合短命令 Agent：Docker 容器启动需 500ms-2s，microVM（Firecracker）需 125ms+，对于每次工具调用仅数十毫秒的 Agent 来说开销过大。Sandlock 通过 Rust 实现，启动延迟 5ms，专为短命令高频执行设计，Redis 集成零额外开销。

2. 核心算法逻辑

为什么容器/microVM 不适合短命令 Agent：Docker 容器启动需 500ms2s，microVM（Firecracker）需 125ms+，对于每次工具调用仅数十毫秒的 Agent 来说开销过大。Sandlock 通过 Rust 实现，启动延迟 5ms，专为短命令高频执行设计，Redis 集成零额外开销。

3. 业务应用场景

场景一：WF-A 补货 Agent 沙箱执行

补货 Agent 在下达采购 PO 前，需在沙箱中模拟完整执行流程： - 文件写入策略：只允许写 `/tmp/po_draft/`，写入结果可逆（失败自动回滚） - HTTP ACL：只允许 `POST /api/v1/purchase-orders` 和 `GET /api/v1/inventory`，禁止访问财务系统 - 沙箱通过后人工二次确认，才真正提交 ERP

实际价值：2024 年某 DTC 品牌因 Agent 误触发 `DELETE /orders/all` 导致 48 小时订单数据丢失。Sandlock 沙箱隔离完全规避此类风险。

4. 输入数据要求

请查看原始代码模板获取输入规格。

5. 输出结果

请查看原始代码模板获取输出规格。

6. 业务价值 / ROI

• 核心收益：Agent 工具执行完全隔离，防止 PO 误操作（删除/超额下单）和数据外泄，年化风险规避价值 20-50 万元
• 性能开销：5ms 启动 vs 容器 500ms，对 Agent 工具调用吞吐量影响 <1%
• 实施难度：⭐⭐⭐☆☆（需 Linux 环境，Rust 依赖）
• 优先级：⭐⭐⭐⭐⭐（P0 生产阻塞）
• 参考：arXiv:2605.26298 | GitHub: github.com/multikernel/sandlock

7. 代码模板

代码块数量：1 · 路径：未检测到

# paper2skills-code/llm_agent_engineering/sandlock_sandbox/model.py
# 完整实现见代码目录
from paper2skills_code.llm_agent_engineering.sandlock_sandbox.model import (
    SandboxPolicy, SandlockExecutor, ReversibleEffect, HTTPACLChecker,
    HTTPACLRule, CommandResult
)

# WF-A 补货 Agent 沙箱策略
policy = SandboxPolicy(
    readable_paths=["/tmp/inventory_data"],
    writable_paths=["/tmp/po_draft"],
    allowed_tcp_ports=[443],
    http_acl_rules=[
        HTTPACLRule(method="GET",  host="erp.company.com", path_prefix="/api/v1/inventory"),
        HTTPACLRule(method="POST", host="erp.company.com", path_prefix="/api/v1/purchase-orders"),
    ]
)
executor = SandlockExecutor(policy)
result = executor.execute("python generate_po.py --sku B001 --qty 500")
print(result.verdict, result.rollback_applied)  # ALLOW False

8. 论文来源

• 2605.26298