说实话,现在谁还敢把AI Agent放养在本地主机上,心得多大?

就在大家都还在纠结怎么让Agent更聪明、更能干的时候,NanoClaw干了一件很“硬核”的事——一键把Agent关进了Docker沙盒里的微虚拟机。

AI配图

这不仅仅是技术升级,这是一场关于“信任”的决裂。

OpenClaw还在“裸奔”,NanoClaw已经穿上了防弹衣

老实讲,看到NanoClaw这次更新的Docker Sandboxes功能,我第一反应是:终于有人把窗户纸捅破了。

现在的AI圈有一种诡异的气氛:一边疯狂给Agent授权,邮箱、日历、代码库甚至银行账户;一边又假装看不见Agent随时可能“发疯”的风险。

AI配图

素材里提到的OpenClaw就是典型的反面教材。虽然它也有沙盒模式,但那是“大锅饭”——所有Agent共享同一个环境。你的私人助理能看到工作Agent的数据,你的销售Agent能摸到你的CRM后台。这哪是隔离?这简直就是把家里的钥匙挂在大门上,还得配个牌子写着“欢迎光临”。

NanoClaw这次直接掀了桌子。一条命令,macOS和Windows都能跑:

curl -fsSL https://nanoclaw.dev/install-docker-sandboxes.sh | bash

不需要你懂复杂的Docker配置,也不需要专门买硬件。跑起来之后,每个Agent都住进了自己的“单间”。

微虚拟机+容器:给每个Agent建一座“孤岛监狱”

这事儿有意思的地方在于,NanoClaw所谓的“沙盒”,不仅仅是Docker容器那么简单。

它搞了个双层隔离架构。

第一层,每个Agent有自己的容器、文件系统、上下文。卖货的Agent看不见你聊天的Agent,干活的Agent摸不到你的私钥。这是操作系统级别的硬边界,不是靠Agent“自觉”遵守规则。

第二层,所有这些容器,都跑在一个微虚拟机里。

这招太狠了。

普通的容器隔离,万一Agent利用漏洞逃逸了,你的主机文件就暴露了。但NanoClaw加了一层MicroVM,就算Agent有三头六臂突破了容器,外面还有一堵VM的墙。你的主机、凭证、其他应用,都在墙的另一边。

这不只是隔离,这是把Agent当贼防。

最狠的安全策略:把你的AI同事当敌人

NanoClaw的开发者在博客里写了一句让我拍案叫绝的话:

当你在构建AI Agent时,应该把它们视为不可信的、潜在的恶意行为者。

这话听着刺耳,但绝对是金科玉律。

AI配图

Prompt注入、模型幻觉、还没被发现的奇怪Bug……你永远不知道你那个温顺的AI助手,下一秒会干出什么惊天动地的事。

NanoClaw的安全模型设计逻辑非常简单粗暴:假设Agent一定会作恶,然后设计架构来兜底。

别把秘密放在Agent的环境里。只给它干活需要的最少权限。其他的?一概免谈。

这种“不信任”文化,恰恰是Agent能大规模落地的基石。就像你招了个再好的财务,也得装个监控、设个审批流不是?

沙盒再硬,防得住“删库”防得住“转账”吗?

不过,我也得泼盆冷水。

文章底下的评论区里,有人指出了一个非常扎心的事实。

有个老哥说得直白:沙盒技术再牛,最薄弱的环节根本不是机器的Root权限,而是你生活的Root权限。

你把Agent关进了Docker,防住了它删你电脑里的照片。但你给了它Gmail的API权限,它照样能把你的邮件全删了;你给了它银行转账权限,它照样能把钱转走。

评论精选: “所有沙盒技术都很棒,但这些Claw设置中最薄弱的环节不是机器上的Root权限,而是你生活的Root权限(Gmail、日历等)。”

这就像是你请了个保姆,你把她锁在厨房里干活(沙盒隔离),但她手里拿着你家所有的银行卡和密码(API授权)。

所以,NanoClaw虽然解决了主机安全问题,但**“权限泛滥”**这个更深层次的坑,还得靠人自己填。

当Agent开始“生孩子”:未来的公司不需要中层管理?

虽然现在还在谈安全隔离,但NanoClaw画出的未来蓝图,确实让人兴奋。

Dario Amodei(Anthropic CEO)说过一个概念:“数据中心里的天才国度”。NanoClaw认为,要实现这个,现在的基建还不够。

未来,Agent不仅仅是执行任务的工具。

它们会组建团队。Agent能创建持久的Agent——不是那种用完即弃的临时工,而是真正的“入职”。新Agent有自己的身份、记忆,甚至能继承权限。

它们需要更精细的权限控制。只能看邮件不能发邮件,只能动A仓库的代码不能动B仓库。

最重要的是,关键操作得“人机回环”。Agent提议,人类审批,Agent执行。

这听起来,是不是有点像现在的公司管理架构?

只不过,未来的管理者,管的可能是一群硅基生物。

结语

NanoClaw这次更新,算是给狂热的Agent市场泼了一盆清醒的冷水——也是必要的冷水。

把Agent关进笼子里,不是为了限制它的能力,而是为了让我们敢放手让它去干。

毕竟,没人希望自己的AI助手,在某个深夜突然决定帮自己“清理”一下银行账户,对吧?

【glm-5锐评】:
NanoClaw把AI当贼防是对的,但只要API授权这关过不去,再厚的沙盒也防不住AI“手滑”转走你的存款。

参考链接:
https://nanoclaw.dev/blog/nanoclaw-docker-sandboxes/