Python 代码执行方案学习总结_{"scope":"langchain","name":"pyodide-sandbox","lat-优快云博客

前言

随着大语言模型（LLM）驱动的 AI Agent 广泛用于代码生成、数据分析和自动化任务，安全执行不可信代码成为关键挑战。本文系统梳理 Python 生态中主流的沙箱（Sandbox）实现方案，从高风险的轻量工具到生产级隔离平台。

PythonREPL 是 LangChain 提供的一个实验性工具，用于在 Agent 中执行 Python 代码。其本质是对 exec() 的封装，不具备安全隔离能力。

⚠️ 历史教训：该组件曾多次引发远程代码执行（RCE）漏洞（如 CVE-2023-38860、CVE-2024-38459）。

LangChain 官方推出的 @langchain/pyodide-sandbox 是一个面向 AI Agent 的安全执行环境，利用 Pyodide（Python 编译为 WebAssembly） 实现隔离。

隔离原理：
- 代码运行在 WebAssembly 虚拟机中，内存与宿主隔离；
- 无直接系统调用权限，I/O 需通过显式 JS 接口授权；
- 继承浏览器或 Deno 运行时的安全边界。
优势：
- 启动快、无需安装（可通过 Deno 直接运行）；
- 支持无状态执行，适合 Serverless 架构；
- 默认禁用危险模块，天然防逃逸。
局限：依赖 Pyodide 生态，部分 C 扩展库（如某些机器学习模型）可能不兼容。

✅ 推荐用于 Web 应用、轻量级 Agent 工具调用等场景。

项目地址：https://vndee.github.io/llm-sandbox/

llm-sandbox 是一个开源、轻量、可移植的沙箱环境，专为 LLM 生成代码设计。

核心特性：
- 基于 Docker/Podman/Kubernetes 实现容器隔离；
- 支持多语言（Python、JS、Java、Go 等）；
- 提供 Model Context Protocol (MCP) 服务，便于与 Claude、Cursor 等 AI 工具集成。
安全机制：默认禁用网络、限制文件系统、执行后自动销毁。

项目地址：https://github.com/daytonaio/daytona

Daytona 是一个完整的托管式平台（而非框架），为 AI Agent 提供弹性、安全的执行基础设施。

关键特色：
- 极速启动：沙箱创建时间低于 90 毫秒（部分宣传称 27ms）；
- 强隔离：基于 OCI/Docker 容器，支持任意镜像；
- 企业级能力：内置 Git、LSP 支持、网络出口防火墙、持久化状态管理；
- SDK 驱动：提供 Python SDK 用于程序化创建工作区、上传文件、执行代码。
定位：面向生产环境的 AI 编码助手、自动化评测流水线等高并发场景。

✅ Daytona 是目前功能最完整、性能最优的商业级 Agent 沙箱平台之一。