发现 LangChain 9.3 分漏洞的人，做了一个零基础设施的 WASM Agent 沙箱

GitHub: https://github.com/amlalabs/amla-sandbox

一句话总结

「Let AI Agents Think in Code」——唯一零基础设施（无 Docker/VM）的 WASM Agent 代码沙箱，13MB 单二进制 + <10ms 冷启动 + capability-based security，由操作系统/HFT 工程师打造。

值得关注的理由

1. 零基础设施沙箱是独特定位：不需要 Docker/VM/云服务，13MB WASM 二进制直接进程内隔离，冷启动 <10ms（预编译后 ~0.5ms），在 E2B/Modal/Daytona 等竞品中独一无二
2. Capability-based security 设计精良：不是「给 Agent 一个 Linux 容器随便跑」，而是通过 capability token 精确控制 Agent 可访问的文件/网络/环境变量，yield-to-host 架构让所有 I/O 都经过宿主验证
3. 信息差标的：320 stars 但创始人发现了 LangChain CVE-2025-68664（CVSS 9.3），具有操作系统/HFT 工程背景——技术深度远超 star 数暗示的水平

项目画像

作者视角：为什么存在这个项目

创始人/作者背景

Souvik Banerjee (@souvik1997)，SF Bay Area，自述「Operating Systems / HFT engineer」。Amla Labs 另有一个仓库 daxfs（CXL 共享内存分布式文件系统），证明团队有深厚的系统内核工程背景。发现并披露了 LangChain CVE-2025-68664（CVSS 9.3 远程代码执行），展示了对 AI Agent 安全架构的深入理解。

问题判断

当前主流 AI Agent 框架（LangChain/AutoGen/SWE-Agent）直接使用 exec()/subprocess 执行 LLM 生成的代码，没有任何隔离。现有沙箱方案（E2B/Modal）需要云服务或 Docker，增加延迟和基础设施成本。Souvik 从 OS 安全工程的角度看到：WASM 可以在进程内提供接近零开销的隔离，不需要任何外部基础设施。

解法哲学

「最小权限 + 零基础设施」：

• 用 WASM（wasmtime）实现进程内内存隔离，不依赖 Docker/VM/云
• Capability-based security：Agent 只能做被显式授权的操作（文件/网络/环境变量），所有 I/O 通过 yield-to-host 回到宿主程序验证
• 支持确定性重放（Deterministic Replay）用于审计和调试
• 明确不做的：不支持原生模块（NumPy/Pandas）、不支持 GPU、不提供完整 Linux 环境——这些场景应该用 E2B/Modal

战略意图

Amla Labs 定位为「AI Agent 的安全层」（The Missing Layer for AI Agent Actions），sandbox 只是第一个产品。公司有 early access 计划和另一个未公开的「ax」产品，可能走开源+商业化安全平台路线。

核心价值提炼

创新之处

1. WASM 进程内沙箱用于 AI Agent（新颖度 5/5 × 实用性 4/5） - 13MB 单二进制，无 Docker/VM/云依赖 - 冷启动 <10ms，预编译后 ~0.5ms（E2B ~150ms，Modal ~1s） - 进程内隔离意味着无网络往返、无容器启动开销
2. Capability Token 精确权限控制（新颖度 4/5 × 实用性 5/5） - 不是「给 Agent 一个 root 容器」，而是用 DSL 定义精确的能力边界 - 文件系统（虚拟 VFS + 路径白名单）、网络（域名白名单）、环境变量（显式声明） - 每次 I/O 操作通过 yield-to-host 回到 Python 宿主验证
3. Yield-to-host 架构（新颖度 4/5 × 实用性 4/5） - WASM 沙箱不直接执行 I/O，而是「yield」回宿主程序，由宿主决定是否允许并执行 - 这使得宿主程序可以拦截、审计、甚至修改每一个 Agent 操作
4. 确定性重放（Deterministic Replay）（新颖度 4/5 × 实用性 3/5） - 记录所有 yield 操作，可在事后完全重放 Agent 的执行路径 - 适用于审计和调试 Agent 行为

可复用的模式与技巧

关键设计决策

1. WASM 而非 Docker/gVisor：牺牲了原生模块支持（无 NumPy/Pandas/GPU），换来了零基础设施和亚毫秒冷启动
2. WASM 二进制 proprietary：Python 包装层 MIT 但核心 WASM 运行时闭源，HN 社区对此有强烈批评（Simon Willison 指出这阻碍开源工具链集成）
3. 仅 2 个运行时依赖：wasmtime + cryptography，极致轻量

竞品格局与定位

竞品对比矩阵

差异化护城河

• 唯一的零基础设施方案：不需要 Docker/VM/云，13MB 二进制 pip install 即用
• Capability-based security：比容器级隔离更精细的权限控制
• OS 内核工程背景：创始人的系统安全深度（CVE 发现 + daxfs 分布式文件系统）是技术信任基础

竞争风险

• E2B 的生态优势：10K+ stars，完整 Linux 环境，支持原生模块和 GPU
• WASM 二进制闭源：HN 社区批评强烈，可能阻碍开源社区采纳
• 功能局限性：不支持 NumPy/Pandas/GPU，限制了在 data science/ML 场景的适用性

生态定位

amla-sandbox 填补了「零基础设施轻量 Agent 沙箱」的空白——在 E2B（云 microVM）和裸 exec()（无隔离）之间提供了一个中间方案。适合不需要完整 Linux 环境、但需要安全隔离执行 LLM 生成代码的场景。

套利机会分析

• 信息差: 典型的高质量低关注度项目——320 stars 但创始人有 OS/HFT 背景、发现了 CVSS 9.3 漏洞。WASM Agent 沙箱的概念在赛道中独一无二
• 技术借鉴: Capability token DSL、yield-to-host 架构、WASM 进程内隔离——这些安全模式可迁移到任何需要执行不受信任代码的系统
• 生态位: 「零基础设施 Agent 沙箱」，介于 E2B 和裸 exec() 之间
• 趋势判断: AI Agent 代码执行安全是 2025-2026 的热门话题（LangChain CVE、Anthropic Sandbox Runtime、Google Agent Sandbox），但 amla-sandbox 自身开发已停滞近 2 个月

风险与不足

1. 开发停滞：最后一次 commit 在 2026-01-30，近 2 个月无更新
2. WASM 二进制闭源：核心运行时 proprietary，HN 社区批评强烈
3. 单人项目，bus factor = 1：仅 Souvik Banerjee 一人开发
4. 社区参与为零：仅 1 个 issue、0 个 PR、0 个外部贡献者
5. 功能局限：不支持原生模块（NumPy/Pandas）、GPU、无限循环保护
6. 未上 PyPI：安装需要从 GitHub 直接安装，增加使用摩擦
7. Alpha 阶段：v0.1.7，不建议用于生产环境

行动建议

• 如果你要用它: 适合「Agent 执行简单脚本 + 受控工具访问」的轻量场景。如果需要完整 Linux 环境/原生模块/GPU 选 E2B 或 Modal。注意 WASM 二进制闭源的许可证风险
• 如果你要学它: 重点阅读 src/amla_sandbox/sandbox.py（核心沙箱 API）、src/amla_sandbox/wasm.py（WASM 运行时包装）、src/amla_sandbox/capabilities.py（Capability token DSL）、examples/ 目录（9.5K 行示例，覆盖 LangGraph/CrewAI 集成）
• 如果你要 fork 它: 最大改进方向是开源 WASM 运行时（或用开源替代品重写）、添加无限循环保护（wasmtime fuel/epoch）、发布到 PyPI、补充 CI/CD

知识入口