什么是 Sandbox 安全性？| Docker

什么是沙箱安全？| Docker

跳转至内容

来自800多名构建者和领导者的AI代理现状洞察。下载您的副本

✕

[](https://www.docker.com/)

• 产品

人工智能与代理

• Docker 沙箱 新的隔离环境用于编码代理
• AI 治理 新功能：跨团队管理代理和Claws
• Gordon 新功能：在 Docker 中运行您的 AI 代理
• Docker Model Runner 本地优先的LLM推理，轻松实现
• Docker MCP 目录与工具包 连接并管理 MCP 工具

应用安全

• Docker 加固镜像 使用安全、企业级就绪的镜像发布
• Docker Scout 简化软件供应链

应用开发

• Docker Desktop 容器化您的应用程序
• Docker Hub 发现和共享容器镜像
• Docker Offload 摆脱本地限制
• Docker Build Cloud 加速镜像构建
• Testcontainers Desktop 使用真实依赖进行本地测试

• 支持

开发者

• 文档 查找 Docker 产品的指南
• 入门 学习 Docker 基础知识
• 资源 搜索有用材料库
• 培训 提升您的 Docker 技能
• 扩展 SDK 创建并分享您自己的扩展
• 社区 与其他 Docker 开发者连接
• 开源 探索开源项目
• 预览计划 参与塑造 Docker 的未来
• 客户故事 从客户案例中获得灵感

获取最新的 Docker 新闻

• 定价- [x] 年付 月付 Docker 个人版 $0 $0 面向需要构建和部署容器所需基础工具的个人开发者。 立即开始 立即开始 包含内容： #### Docker Desktop #### Docker Engine + Kubernetes #### Docker Hub #### Docker Scout #### Docker Debug 包含使用额度： #### 1 名用户 #### 1 个启用 Docker Scout 的仓库* #### 每小时 100 次 Docker Hub 拉取* #### 1 个私有 Docker Hub 仓库 #### Docker Build Cloud 和 Testcontainers Cloud 免费试用 Docker Pro $11 $9 每用户/每月 面向需要更高级功能和额外资源的个人专业人士。 立即购买 立即购买 包含内容： #### Docker Build Cloud #### Testcontainers Cloud #### 同步文件共享 #### Docker Scout 健康评分可见性 #### 5 个工作日支持响应 包含使用额度： #### 1 名用户 #### 2 个启用 Docker Scout 的仓库 #### 无限 Docker Hub 拉取速率 #### 200 分钟 Docker Build Cloud 构建时长 #### 100 分钟 Testcontainers Cloud 运行时长 最受欢迎 Docker 团队版 $16 $15 每用户/每月 面向需要协作工具以提高团队效率的小型团队。 立即购买 立即购买 包含内容： #### 批量添加用户 #### 审计日志 #### Docker Hub 基于角色的访问控制 #### 2 个工作日支持响应 包含使用额度： #### 最多 100 名用户 #### 无限启用 Docker Scout 的仓库 #### 无限 Docker Hub 拉取速率 #### 无限私有 Docker Hub 仓库 #### 500 分钟 Docker Build Cloud 构建时长 #### 500 分钟 Testcontainers Cloud 运行时长 #### 10 个组织访问令牌 #### 1 个 Docker Hub 组织 Docker 企业版 $24 $24 每用户/每月 面向希望获得强大安全、控制和合规功能的企业。 立即购买 立即购买 联系销售 联系销售 包含内容： #### 加固版 Docker Desktop #### 单点登录 (SSO) #### SCIM 用户配置 #### 镜像和注册表访问管理 #### Desktop Insights 仪表盘 #### 增强型容器隔离 (ECI) #### 发票购买方式 #### 1 个工作日支持响应 包含使用额度： #### 无用户上限 #### 无限启用 Docker Scout 的仓库 #### 无限 Docker Hub 拉取速率 #### 无限私有 Docker Hub 仓库 #### 1,500 分钟 Docker Build Cloud 构建时长 #### 1,500 分钟 Testcontainers Cloud 运行时长 #### 100 个组织访问令牌 #### 无限 Docker Hub 组织*** ## Docker 加固镜像 (DHI)

为每个团队提供安全、精简的容器镜像，如需企业级功能可免费使用。开始免费试用

• 博客
• 文档

搜索

登录开始使用

切换菜单

什么是沙箱安全？

发布于 2026 年 6 月 1 日

Srini Sekaran

如果您已经熟悉沙箱作为一种隔离技术，那么沙箱安全就是下一层：确保这些隔离边界在现实压力下真正有效的策略、控制和执行机制。

根据我们的《智能体 AI 状态报告》，40% 的受访者将安全列为扩展智能体 AI 的首要挑战，43% 的人指出编排泛滥导致的安全风险增加。当代理执行代码、调用 API 并与实时基础设施交互时，一个缺乏强力执行机制的沙箱就如同一间锁着门却开着窗的房间。

本文将深入探讨沙箱安全在日常中的实际表现。我们将介绍如何选择合适的实现模型，并解释为什么随着 AI 代理开始在您的基础设施中执行代码，这一层安全变得比以往任何时候都更加重要。

## 核心要点

* 沙箱安全是指通过强制执行隔离边界和访问控制，防止威胁从沙箱环境中逃逸的实践。

* 有效的沙箱安全结合了多个层次：进程隔离、网络分段、资源限制和运行时监控。

* 随着 AI 代理越来越多地在生产环境中执行任意代码，沙箱安全已成为安全部署的关键基础设施。

沙箱安全在实践中的含义

沙箱安全是指一系列控制和强制机制，用于防止不受信任或存在风险的进程突破其隔离边界。沙箱（sandboxing）创建了边界，而沙箱安全则确保该边界能够真正生效。

正如我们之前提到的，一个缺乏强有力安全控制的沙箱，就像一间锁着门但窗户敞开的房间。虽然理论上实现了隔离，但执行上的漏洞却为逃脱留下了空间。

对于开发者和平台工程师而言，这转化为具体、日常的决策：代理程序被允许调用哪些系统调用？进程是否可以访问网络？它可以消耗多少内存或CPU？当它试图超出这些限制时会发生什么？这些问题并非抽象的策略讨论，而是你实际设置的标志位、配置的配置文件，以及你选择审计或默认接受的参数。

沙箱安全的5个核心组件

沙箱安全不是一个单一控制机制，而是多种机制协同工作的组合，共同维护隔离边界的完整性。最有效的实现方式是将多个组件叠加使用，以确保某一部分失效不会导致整个沙箱被攻破。

1. 进程隔离

进程隔离确保在沙箱内运行的代码无法看到主机或其他沙箱中的进程。在Linux中，内核命名空间（namespaces）通过将进程ID、网络接口、文件系统和用户ID划分为独立的作用域来实现这一点。命名空间内的进程只能看到你明确为其提供的资源。

_出现问题时的情况_ 如果运行容器时使用了 --pid=host 参数，那么该工作负载就获得了查看机器上所有进程的窗口。它可以枚举服务、识别目标，并尝试干扰它们。这个单一标志位会将你的沙箱变成一个共享公寓。

正确的沙箱安全措施会默认强制实施严格的命名空间边界，并标记那些削弱边界的配置。

2. 系统调用过滤

即使在命名空间内，进程仍需通过系统调用与主机内核交互。系统调用过滤（在Linux中通常通过seccomp配置文件实现）限制了沙箱进程可调用的内核函数。Docker的默认seccomp配置文件会阻止约44个可用的300多个Linux系统调用。这显著减少了攻击面，但它是一个通用默认值，而非针对特定应用定制的方案。

_应关注的内容_ 高安全等级的工作负载应使用针对特定应用程序定制的seccomp配置文件。例如，一个仅需读取文件并发起HTTP请求的沙箱进程，完全没有必要调用 mount、init_module 或 reboot 等系统调用。配置文件越严格，攻击者在获得沙箱内代码执行权限后可利用的选项就越少。这正是支撑容器安全的最小权限原则。

3. 网络隔离

一个可以自由与外部系统或内部服务通信的沙箱更难防御。网络隔离限制了沙箱进程可访问的目标，同时限制入站和出站连接。这对于处理不受信任输入或执行任意代码的工作负载尤为重要。

_对代理程序的应用_ AI代理在执行过程中调用外部工具或API时，带来了独特挑战。如果没有网络控制，被攻破的代理可能将数据泄露到外部端点，或横向移动至原本不应访问的内部服务。在沙箱环境层面强制实施出站策略，可确保代理只能与预批准的目的地通信。

4. 资源限制与配额

资源耗尽攻击并不需要逃逸沙箱，这正是它容易被忽视的原因。一个失控的进程若耗尽全部CPU或内存，可以在不突破隔离边界的情况下拖垮同一主机上的其他所有工作负载。Linux中的cgroups为每个沙箱设定了资源上限，将潜在的全局性故障转化为单个受限的失败。

难点在于校准。内存限制设置过低，合法工作负载会被OOM终止；设置过高，则又回到了共享“爆炸半径”的状态。最可靠的方法是监控实际资源消耗趋势，根据观察到的峰值加上一定余量设定限制，并将初始配置视为后续调整的基础，而非一次到位的完美方案。

5. 运行时监控与审计追踪

预防只是问题的一部分。你还必须了解沙箱内部正在发生什么。运行时监控工具实时观察系统调用、文件访问模式、网络连接和进程行为。一旦发现偏离预期基线的行为，系统可以自动发出警报或终止进程。如果你正在评估AI治理工具，你会发现许多运行时可观测性功能直接契合代理监控的需求。

审计追踪则承担着不同但同样重要的角色。当事件发生时，你需要一份完整的取证记录，精确记录沙箱进程做了什么：访问了哪些文件、调用了哪些端点、执行了哪些系统调用。这对事件响应至关重要，也是合规框架要求提供可验证隔离与访问控制证据的基础。

选择实现模型

理解不同的沙箱模型是一个良好的起点，但对沙箱安全而言，更有价值的问题是：每个模型实际上能防范哪些威胁？你需要配置什么才能确保其有效？以下是它们在安全决策关键维度上的对比。

| 模型 | 隔离边界 | 关键安全控制 | 最适合场景 | 需要注意的事项 | |----------|--------------|------------------|----------------|--------------------| | OS-level<br>（操作系统级） | _namespaces, seccomp, MAC_ | 共享内核，独立命名空间 | seccomp 配置文件、AppArmor/SELinux 策略、只读根文件系统、能力权限降级 | 容器运行时、CI/CD 任务、大多数生产工作负载 | 内核漏洞可绕过所有控制；默认设置通常较为宽松 | | VM-based<br>（虚拟机级） | _microVMs, hardware virtualization_ | 每个沙箱独立内核 | 虚拟机监控程序强制内存隔离、独立内核补丁、vTPM | 多租户平台、恶意软件分析、运行完全不可信代码 | 资源成本更高；网络和镜像管理增加运维复杂性 | | Application-level<br>（应用级） | _Wasm, browser tabs, language VMs_ | 进程内内存与 API 限制 | 内存安全执行模型、受限主机 API 接口、基于能力的权限 | 插件系统、边缘函数、嵌入式脚本 | 应用被攻破会绕过内部沙箱；绝不应作为唯一防护层 |

正确的选择取决于你的威胁模型。对于大多数容器化工作负载，结合强化的 seccomp 配置文件和强制访问控制策略的操作系统级控制，可以在最小开销下提供强大的安全性。基于虚拟机的隔离 在你确实不信任所执行代码时才合理，例如多租户环境或由代理驱动的代码生成场景。应用级沙箱在任何情况下都是有价值的补充，但它必须叠加在内核级或虚拟机监控程序级控制之上，绝不能替代它们。

无论选择哪种模型，都应将默认配置视为起点。任何沙箱的安全性确实依赖于隔离技术，但真正关键的是是否有人实际审计了这些设置。这与堆栈每一层都需要遵循的软件供应链安全规范相同：信任，但要验证配置。

AI 代理的沙箱安全

传统应用程序遵循可预测的执行路径。你可以阅读代码、追踪逻辑并预判行为。AI 代理则完全不同。它们在运行时做出决策，动态生成并执行代码，调用外部工具，并产生连开发者自己都未曾预料到的输出。这种自主性正是代理的核心价值所在，但也正是它让沙箱安全变得不可或缺。

在这种情境下，仅靠边界安全是不够的。你需要在执行层面约束代理的行为，无论代理决定做什么。这是一个根本性的安全挑战。构建 AI 代理沙箱的团队正在收敛于几种应对代理引入的独特风险的模式。

工具使用的隔离

当 AI 代理调用工具（如代码解释器、文件管理器、API 客户端）时，每次工具执行都应在独立的沙箱中运行，并仅授予所需的最低权限。如果代理的工具调用层被攻破，沙箱安全可防止该攻击蔓延至主机或其他服务。

数据访问控制

代理通常在其推理过程中处理敏感数据。沙箱安全控制着代理执行环境中可见的文件、数据库和环境变量。一个配置良好的安全沙箱仅暴露代理当前任务所需的数据，不多也不少。

网络边界的强制

若不加控制，拥有网络访问权限的代理可能发起任意 HTTP 请求，从而可能导致数据泄露或与非预期服务交互。网络层面的沙箱安全通过白名单机制限制出站流量，仅允许访问批准的端点。

开始实践沙箱安全

从你的威胁模型入手。哪些工作负载处理不可信输入？哪些执行任意代码或处理敏感数据？这些是你优先考虑加固沙箱安全的候选对象。

在此基础上，采用分层控制，而非依赖单一机制。将进程隔离与系统调用过滤结合，添加网络分段，设置资源限制，并启用运行时监控。每一层针对不同类别的风险。共同作用下，即使某一层失效，影响也能被限制在局部。

如果你已经在运行容器，大部分基础已就绪。容器运行时默认提供命名空间隔离、seccomp 配置文件和 cgroup 资源限制。下一步是实际审计这些默认设置是否符合你的需求，并收紧必要的部分。Docker Sandboxes 在此基础上进一步提供专为代理工作负载设计的 microVM 隔离。

立即开始使用 Docker Sandboxes，将沙箱安全付诸实践。

**常见问题**

沙箱与沙箱安全有何区别？

沙箱是指在隔离环境中运行代码的技术。而沙箱安全则是更广泛的学科，旨在确保这种隔离真正有效。它包括策略、配置、监控和强制机制，使沙箱能够抵御逃逸、资源滥用和未经授权的访问。你可以拥有沙箱，但如果没有强有力的安全措施，其提供的隔离将是不可靠的。

沙箱安全能否防止所有容器逃逸？

没有任何单一的安全措施能够保证完全防护。沙箱安全通过叠加多种控制机制（命名空间、seccomp、网络策略、资源限制、运行时监控）显著提升了安全门槛，使得攻击者必须绕过多个独立的防御层才能成功入侵。这种纵深防御方法将风险降低到大多数组织认为可接受的水平，尤其是在结合定期补丁更新和配置审计的情况下。

沙箱安全如何影响应用程序性能？

性能影响因具体实现方式而异。操作系统级别的控制（如命名空间和 seccomp）带来的开销几乎可以忽略不计。网络策略和资源限制仅引入极小的延迟。基于虚拟机的沙箱安全由于硬件虚拟化的原因开销较高，但微虚拟机（microVMs）等技术已显著缩小了这一差距。对于大多数工作负载而言，这种安全与性能之间的权衡明显倾向于选择安全性。

沙箱安全对人工智能和机器学习工作负载是否相关？

绝对相关。AI 工作负载，尤其是那些动态执行代码的代理（agents），是沙箱安全最优先的应用场景之一。这些工作负载本质上具有不可预测性，而这恰恰正是需要强隔离边界的根本原因。沙箱安全确保即使某个代理产生意外行为，其影响也仅限于自身的执行环境之内，不会扩散到系统其他部分。

哪些合规框架要求沙箱安全？

多个合规框架提到了隔离和访问控制，这些要求直接对应沙箱安全实践。SOC 2 要求逻辑访问控制和监控；PCI DSS 规定处理支付数据的系统必须进行网络分段；FedRAMP 和 NIST 800-53 包含关于进程隔离和边界保护的具体控制项。追求这些认证的组织通常发现，基于容器的沙箱安全方案，配合结构化的 AI 治理框架，能提供坚实的技术实施基础。

关于作者

Srini Sekaran

Docker AI 产品市场总监

Srini Sekaran 是 Docker 的 AI 产品市场总监，专注于 Docker AI 治理、Docker 沙箱以及代理基础设施和开发者工作流的未来发展方向。

ConceptsDocker SandboxessecurityProducts

目录

[](https://www.linkedin.com/sharing/share-offsite/?url=https%3A%2F%2Fwww.docker.com%2Fblog%2Fwhat-is-sandbox-security%2F "Visit this Linkedin profile")[](https://twitter.com/intent/tweet?url=https%3A%2F%2Fwww.docker.com%2Fblog%2Fwhat-is-sandbox-security%2F "Visit this X profile")[](https://www.facebook.com/sharer/sharer.php?u=https%3A%2F%2Fwww.docker.com%2Fblog%2Fwhat-is-sandbox-security%2F "Visit this Facebook profile")

相关文章

• 2026年5月12日 #### Docker AI 治理：安全释放代理自主性 引入 Docker AI 治理：集中控制代理如何执行、可访问哪些网络资源、可使用哪些凭据、可调用哪些 MCP 工具，从而让公司内每位开发者无论在何处工作，都能安全地运行 AI 代理。你的笔记本电脑就是新的生产环境。代理是生产力的最大突破…… 
• 2026年6月1日 #### 编码代理恐怖故事：rm -rf ~/ 事件 了解一条由 AI 生成的 rm -rf ~/ 命令如何清空了开发者的 Mac，以及 Docker 沙箱如何帮助遏制破坏性 AI 代理故障。 
• 2026年5月27日 #### 在未打补丁的 Linux 内核上缓解 CVE-2026-31431（“Copy Fail”） 了解 Docker Engine 如何通过 seccomp、AppArmor 和 SELinux 加固来缓解容器中 CVE-2026-31431 “Copy Fail” 漏洞。立即阅读
• Docker Captain 2026年5月26日 #### 不可信的自主工作负载：AI 编码代理如何重塑隔离的需求 了解为何 AI 编码代理需要更强的隔离，Docker 沙箱如何利用微虚拟机，以及安全自主工作负载所需的关键要素。 

产品

• 产品概览
• Docker Desktop
• Docker Hub
• Docker Scout
• Docker Build Cloud
• Testcontainers Desktop
• Testcontainers Cloud
• Docker MCP Catalog and Toolkit
• Docker Hardened Images

功能

• 命令行界面
• IDE 扩展
• 容器运行时
• Docker 扩展
• 可信开源内容
• 安全软件供应链

开发者

• 文档
• 入门指南
• 培训课程
• 扩展 SDK
• 社区
• 开源项目
• 预览计划
• 新闻通讯

定价

• 个人版
• 专业版
• 团队版
• 企业版
• 高级支持与 TAM
• 定价常见问题
• 联系销售

公司

• 关于我们
• 什么是容器
• 博客
• 为什么选择 Docker
• 信任
• 客户成功
• 合作伙伴
• 活动
• Docker 系统状态
• 新闻中心
• 周边商店
• 品牌指南
• 商标使用指南
• 职业机会
• 联系我们

语言

• 英语
• 日语

• [](http://twitter.com/docker)
• [](https://www.linkedin.com/company/docker)
• [](https://www.instagram.com/dockerinc/)
• [](http://www.youtube.com/user/dockerrun)
• [](https://www.facebook.com/docker.run)
• [](https://www.docker.com/blog/feed)

© 2026 Docker Inc. 保留所有权利

服务条款隐私政策法律声明

不要出售我的个人信息

本网站使用 Cookie 来提升用户体验，并分析网站性能和流量。我们也会将您使用本网站的信息与我们的社交媒体、广告及分析合作伙伴共享。

不要出售我的个人信息 接受 Cookie

不要出售我的个人信息

当您访问我们的网站时，我们会在您的浏览器中存储 Cookie 以收集信息。所收集的信息可能与您本人、您的偏好或您的设备相关，主要用于确保网站按预期运行，并为您提供更个性化的网络体验。不过，您可以选择不允许某些类型的 Cookie，这可能会对您在网站上的体验以及我们能够提供的服务产生影响。点击不同的类别标题以了解更多信息，并根据您的偏好更改默认设置。您无法退出我们的第一方严格必要 Cookie，因为它们是为了确保网站正常运行而部署的（例如显示 Cookie 提示横幅、记住您的设置、登录账户、登出后重定向等）。有关第一方和第三方 Cookie 的更多信息，请点击此处。

更多信息

允许全部

管理同意偏好

#### 严格必要的 Cookie

始终激活

这些 Cookie 是网站正常运行所必需的，在我们的系统中无法关闭。它们通常仅在您执行请求服务的操作时设置，例如设置隐私偏好、登录或填写表单。您可以设置浏览器以阻止或提醒您这些 Cookie，但网站的部分功能将无法正常使用。这些 Cookie 不会存储任何可识别个人身份的信息。

#### 个人数据销售

• [x] 个人数据销售

根据《加州消费者隐私法案》，您有权选择退出向第三方出售您的个人信息。这些 Cookie 用于收集分析数据并个性化您的体验，通过定向广告呈现相关内容。您可以通过此切换开关行使退出个人数据销售的权利。如果您选择退出，我们将无法为您提供个性化广告，也不会将您的个人信息转交给任何第三方。此外，您还可以通过以下“行使我的权利”链接联系我们的法务部门，以获取关于您作为加州消费者权利的进一步说明。

如果您已在浏览器中启用了隐私控制功能（如插件），我们将视其为有效的退出请求。因此，我们将无法追踪您在网页上的活动。这可能会影响我们根据您的偏好个性化广告的能力。

• ##### 性能 Cookie

• [x] 开关标签

这些 Cookie 允许我们统计访问量和流量来源，以便衡量并提升网站的性能。它们帮助我们了解哪些页面最受欢迎或最不受欢迎，并观察访客在网站内的浏览路径。这些 Cookie 收集的所有信息均为汇总数据，因此是匿名的。如果您不允许这些 Cookie，我们将无法知晓您何时访问过我们的网站，也无法监控其性能表现。

• ##### 定向 Cookie

• [x] 开关标签

这些 Cookie 可能通过我们的网站由广告合作伙伴设置。这些公司可能会利用它们建立您的兴趣档案，并在其他网站上向您展示相关的广告。它们不会直接存储个人信息，而是基于唯一识别您的浏览器和互联网设备。如果您不允许这些 Cookie，您将看到较少针对性的广告。

Cookie 列表

清除

• [x] 复选框标签

应用 取消

同意 合法利益

• [x] 复选框标签
• [x] 复选框标签
• [x] 复选框标签

确认我的选择