microsandbox

microsandbox 是一个面向 AI Agent 的安全沙箱运行时，通过 microVM 技术实现硬件级隔离，每个沙箱拥有独立 Linux 内核，防范 namespace escape 类漏洞，同时将启动时间控制在 100 毫秒以内。

核心隔离与安全机制

• 基于 libkrun 的 microVM 虚拟化，每个沙箱独立内核，与宿主机内核完全隔离
• 不可泄露密钥机制：密钥值从不进入 VM，内部使用随机占位符，仅在请求发往允许的目标主机时由宿主侧替换真实值，自动阻止 DNS rebinding 和云元数据端点（169.254.169.254）访问
• 可编程网络层：基于 smoltcp 在用户态实现，每个离开沙箱的数据包经过宿主侧可控网络栈，支持 IP/DNS/HTTP 级别的策略控制

镜像与文件系统

• OCI 兼容：支持 Docker Hub、GHCR、ECR、GCR 等任何 OCI 兼容 registry 的标准容器镜像，共享层自动去重
• 镜像存储采用 VMDK + EROFS fsmeta 实现块设备后备的 rootfs
• 支持宿主目录挂载、托管卷和自定义文件系统后端
• 快照与复用：可捕获已停止沙箱的可写上层为可移植 artifact，后续从快照启动跳过安装阶段

部署模型

• 运行时作为子进程直接嵌入宿主应用，无 daemon 架构、无需 root 权限、无需后台服务
• 支持 Linux（KVM）和 macOS（Apple Silicon）
• 提供长期运行的分离模式（detached mode）

开发者体验

• 多语言 SDK（Rust、TypeScript、Python）API 一致
• 完整的 CLI 工具 msb，覆盖沙箱/镜像/卷全生命周期管理
• AI Agent 集成：提供 MCP Server（microsandbox-mcp）和 Agent Skills，兼容 Claude Code、Cursor、Codex、Gemini CLI、GitHub Copilot 等主流 AI 编码助手

典型应用场景

• AI Agent 代码执行沙箱：在隔离 VM 中运行不受信任代码，防止 prompt injection 导致宿主机被破坏
• 零泄露凭证管理：Agent 调用外部 API 时密钥绝不暴露给沙箱内部代码
• 本地隔离开发测试：用 OCI 镜像快速启动隔离环境
• CI/CD 轻量级并行构建：毫秒级启动 microVM 用于并行化构建任务
• 多 Agent 协作：每个 Agent 获得独立环境，通过快照复用已配置环境

当前状态：Beta（v0.4.5），可编程网络层与可扩展文件系统后端文档标注为 coming soon，Windows 支持状态待确认。