Problem
En agent, der kun skriver tekst, kan fejle med lille skade. En agent, der eksekverer kode, forespørger private systemer, installerer afhængigheder, skriver filer eller rører infrastruktur, fejler på et andet plan.
Fejlen er ikke længere et dårligt svar. Det er en sideeffekt.
Mange virksomheder prøver at løse det med prompts: “gør ikke noget farligt”. Det er ikke en kontrol. Det er et håb skrevet i naturligt sprog.
Tese
Sandboxed Work bliver det nye perimeter for agenter, der udfører rigtigt arbejde.
Pointen er ikke at spærre modellen inde. Modellen eksekverer ikke. Pointen er at spærre handlingen inde: filesystem, netværk, hemmeligheder, værktøjer, processer, tid, omkostninger og tilladelser.
Den modne arkitektur adskiller hjerne, orkestrerer, sandbox og målsystemer.
Framework
Et agentisk sandbox skal definere fem grænser:
- Filesystem: hvad den kan læse, oprette eller ændre.
- Network: hvilke endpoints den kan røre og hvorfra.
- Secrets: hvilke legitimationsoplysninger der injiceres og hvor længe.
- Tools: hvilke kommandoer, APIs eller MCP servers den kan kalde.
- Timebox: hvor længe arbejdet varer, før miljøet dræbes.
Mini-case: en supportagent reproducerer en kundebug. I et sandbox kan den klone repo, installere afhængigheder, køre tests, læse sanitiserede logs og foreslå en patch. På en delt maskine kan den contaminere miljøet, lække hemmeligheder eller efterlade levende processer.
Målbart signal: procentdel af agentiske handlinger med efemert miljø, logs og erklærede grænser.
Holdning: hvis agenten kan eksekvere, skal den også kunne inddæmmes.
Hvorfor det er vigtigt nu
Cloudflare har skubbet sandboxes til agenter som isolerede og skalerbare miljøer. Anthropic har præsenteret Managed Agents med eksterne sandboxes og MCP tunnels. AWS har bragt MCP til cloud-operationer med IAM, CloudWatch, CloudTrail og afgrænset eksekvering.
Tendensen er ikke kun “flere agenter”. Det er agenter med hænder.
Og når et system har hænder, har det brug for handsker, rent rum og bevægelseslog.
Anti-eksempel
“Vi har en delt runner til alle agenter.”
Det blander kontekster, tilladelser og eksekveringsrester. En udforskningsagent bør ikke leve i det samme perimeter som en agent, der rører produktion.
Protokol (3 trin)
- Klassificer handlinger efter risiko. Læsning, skrivning, eksekvering, privat netværk, hemmeligheder og produktion.
- Opret sandboxes pr. klasse. Brug ikke det samme miljø til research, build og følsomme systemer.
- Ødelæg som standard. Miljøet skal udløbe, logge og rydde op.
| Lag | Minimumskontrol | Operativt spørgsmål |
|---|---|---|
| filesystem | isoleret mappe | hvad den kan læse |
| netværk | allowlist | hvad den kan kalde |
| hemmeligheder | efemere tokens | hvor længe de varer |
| værktøjer | tilladelser pr. tool | hvad den kan gøre |
| tid | timeout | hvornår den dør |
Relateret
- Claude Managed Agents + Cloudflare: perimeteret bliver til produkt
- AWS MCP Server GA: når coding-agenter kommer ind i cloud med guardrails
- AI Traces: laget der gør agenter til auditerbare systemer
Konsulterede kilder
Næste skridt
Tegn et eksekveringsdiagram for din farligste agent: model, orkestrerer, sandbox, hemmeligheder, netværk, værktøjer, logs og målsystem. Hvis du ikke ved, hvor grænsen er, har du endnu ikke noget perimeter.
Oversat fra den spanske original med AI-hjælp og gennemset for nøjagtighed. Læs originalen på spansk.