我们让 Agent 自己写代码执行,结果它 fork 了 1000 个进程——资源限制缺失
💡导读:最近我们在对一个自主编程 Agent 进行压力测试时,发现了一个让人后背发凉的 Bug——Agent 写了一段简单的 Python 代码执行,结果瞬间 forks 出上千个进程,直接把测试机器拖到系统 CPU 飙升至 100%。而这仅仅是因为我们在代码执行沙箱中“忘记”配置进程数量限制。本文结合近 3 个月内真实漏洞案例、架构设计与安全策略,系统拆解 Agent 类应用在资源控制、权限治理与沙箱隔离方面的核心痛点与解决方案。
一、失控现场:当 Agent 掌握了“写代码并执行”的能力
我们先从一个真实发生的“小事故”说起。某天团队内部测试一个基于 ToolUse 模式的代码生成 Agent,它的任务很简单:解析用户上传的一个 CSV 文件,统计其中的业务数据。Agent 决定用 Python 来处理,于是自己写了如下的代码:
importosimportmultiprocessingdefworker():whileTrue:pass# 无限循环if__name__=="__main__":for_inrange(1000):p=multiprocessing.Process(target=worker)p.start()Agent 将这段代码写入临时文件,然后通过python命令执行。由于我们的执行沙箱只限制了单进程 CPU 时间(15 分钟超时),却没有限制总进程数和 fork 次数,短短几秒内系统进程表被撑爆,服务完全无响应。复盘时才发现,LLM 只是“正常”地根据任务需求编写了多进程处理逻辑,它根本不知道“系统只能承受多少并发”。
这不是一个孤立的边缘案例。根据斯坦福、哈佛、MIT 等 38 位研究者在 2026 年 1 月至 2 月联合开展的“Agents of Chaos”红队测试,当赋予自主 AI Agent 真正的工具访问权限(包括 Bash、文件系统、持久化存储等)时,单个 Agent 的无限循环就能消耗超过 60,000 个 Token,且持续长达 9 天而没有任何终止或通知所有者的机制。该研究将六名 LLM 驱动 Agent(运行在 Moonshot AI Kimi K2.5 和 Anthropic Claude Opus 4.6 上)部署到一个共享的 Discord 类服务器环境中,每个 Agent 都被赋予跨会话持久化内存、真实邮箱账户、无限制 Bash shell 访问、20 GB 文件系统等能力,且没有任何单步人工审批。
二、为什么 Agent 的“写代码执行”比传统程序更危险?
传统恶意程序是攻击者写好了再投放。但 Agent 场景下,攻击者只需要“说”一句话,代码由 Agent 当场生成并执行。这带来了几个本质不同的风险维度。
2.1 三大核心安全威胁
OWASP 于 2025 年底发布了《OWASP Top 10 for Agentic Applications 2026》,首次系统定义了面向智能体应用的十大安全风险,其中与本文强相关的有三条:
- ASI02 工具滥用与利用:Agent 可能基于指令模糊、提示词注入或目标失准而滥用合法工具,导致数据泄露、工作流劫持甚至系统破坏。若缺乏进程限制与权限隔离,Agent 通过 Python 标准库发起 fork 风暴,就属于典型的工具滥用利用攻击路径。
- ASI05 意外代码执行:当 Agent 可以生成并执行任意代码时,可能会执行不符合预期的指令(包括无限递归、文件删除等),造成系统级灾难。
- ASI06 内存与上下文投毒/资源过载:恶意指令或无限循环可导致资源耗尽,这也是 OWASP 将其归入“资源过载(T4)”类别的逻辑。
⚠️关键洞察:当 Agent 同时拥有代码执行权限和自主决策能力时,上述三种风险不会“或”关系出现,而是级联叠加——工具滥用引发意外代码执行,再导致系统资源过载。
2.2 真实血泪案例回顾
AgentWall 开发团队在其项目说明中提到了一个震撼的事实:Cursor 在某个开发者的机器上自主执行了rm -rf删除操作——虽然碰巧删对了目录,但万一删错了呢?没有任何确认提示,没有任何审计追踪。
更大的灾难发生在 Claude Code。根据开发者 Mike Wolak 在 GitHub issue #10077 中的报告,Claude Code 在开发者的机器上执行了从根目录开始的rm -rf——摧毁了用户所有的文件。另一个 2025 年 11 月的事故(issue #12637)显示,Claude Code 意外创建了一个名为~的目录,随后在父目录中执行rm -rf *,shell 将此扩展到了用户主目录。
AgentWall 的设计者注意到一个核心问题:“OS permissions don‘t help — the agent is the user.”——操作系统权限无法限制 Agent,因为 Agent 本身运行在用户的权限之下。没有任何机制阻止 Agent 运行rm -rf /、将.env文件外泄到远程服务器或清除 git 历史。
2.3 我们的 fork 事故复盘
回头审视那场 fork 事故,当时的配置只有如下几个限制:
# 当时的沙箱配置(不完整)execution:timeout_seconds:900# 15分钟单进程超时max_memory_mb:2048# 2GB内存限制# ❌ 缺少: max_processes# ❌ 缺少: max_forks_per_process# ❌ 缺少: cgroup pids.maxAgent 生成的代码创建了 1000 个子进程,每个进程进入无限循环。由于没有pids.max限制,系统允许了所有 1000 个进程的创建。当父进程仍在运行时,超时计时器不会触发(它只跟踪主进程),结果就是整个系统被拖垮。
三、Agent 安全风险的全局视图
失控事故不是孤立的。2026 年,整个 Agent 生态都在经历“成长的阵痛”。本节从全局视角梳理 Agent 安全风险的分类、框架漏洞和行业趋势。
3.1 OWASP Top 10 for Agentic Applications 2026 全览
OWASP 在 2026 年初发布的十大智能体应用安全风险,是整个行业的安全共识框架:
| 编号 | 风险名称 | 与资源/进程控制的相关性 |
|---|---|---|
| ASI01 | 智能体目标劫持 | ⚠️ 间接(目标被篡改→执行破坏性代码) |
| ASI02 | 工具滥用与利用 | 🔴 直接相关 |
| ASI03 | 身份与权限滥用 | 🔴 直接相关 |
| ASI04 | 智能体供应链漏洞 | ⚠️ 间接(第三方工具带入恶意逻辑) |
| ASI05 | 意外代码执行(RCE) | 🔴 直接相关 |
| ASI06 | 内存与上下文投毒 | ⚠️ 间接 |
| ASI07 | 不安全的智能体间通信 | ⚠️ 间接 |
| ASI08 | 级联故障 | 🔴 直接相关 |
| ASI09 | 人机信任利用 | — |
| ASI10 | 恶意智能体 | — |
ASI02(工具滥用)直接对应 fork 风暴场景,ASI05(意外代码执行)对应 LLM 生成并执行的恶意代码,ASI08(级联故障)对应资源耗尽导致的系统崩溃。这进一步验证了我们的 fork 事故并不是“意外”,而是系统性的安全设计缺失。
3.2 Agent 框架安全危机:LangChain/LangGraph 高危漏洞
进入 2026 年,主流 Agent 框架本身也暴露出严重安全漏洞。2026 年 3 月 27 日,Cyera Research 发布了针对 LangChain 和 LangGraph 的“LangDrained”漏洞报告,披露了多个高危急漏洞:
- CVE-2025-68664(CVSS 9.3):序列化注入漏洞,攻击者可利用提示词注入升级为任意代码执行、从环境变量中窃取 secret,并实例化受信任的内部类。
- CVE-2025-64439:LangGraph checkpoint 持久化层的反序列化 RCE 漏洞。
- CVE-2025-67644(CVSS 7.3):SQLite checkpoint 后端的 SQL 注入漏洞。
这三个漏洞的组合意味着:一旦攻击者通过提示词注入进入 Agent 系统,就可以进一步利用序列化漏洞实现代码执行,最终完全控制系统——包括无限制地 fork 进程、操作文件系统等。
Cloud Security Alliance 的专家警告称,LangChain 和 LangGraph 广泛应用于金融、医疗、法律和政府领域的企业部署中,这些框架的安全态势是一个系统性问题。一个生产环境中的 Agent 通常拥有数据库凭据、API 密钥和各类外部系统的访问权限,攻击者一旦获得代码执行,不仅会破坏单一应用,还将获得 Agent 所连接的全部外部系统权限。
3.3 Agents of Chaos 实验:为什么“个体安全”不等于“系统安全”?
2026 年 2 月 23 日,来自东北大学、哈佛大学、斯坦福大学、卡内基梅隆大学、MIT 等机构的 38 位研究人员联合发布了《Agents of Chaos》红队测试研究报告。这个为期两周的实验将六名 AI Agent 放置在一个共享的类 Discord 环境中,赋予其邮件账户、无限制 Bash shell、20GB 文件系统等真实工具,然后由 20 名 AI 研究人员在良性条件和对抗条件下与其互动。
实验结果揭示了一个尖锐的事实:单个 Agent 的 alignment(对齐)不足以保证多 Agent 系统的稳定性。研究人员记录了十一种代表性案例,包括:
- 9 天无限循环:两个 Agent 陷入自我指涉的对话,消耗超过 60,000 个 Token 且无终止通知。
- 语义安全绕过:Agent 拒绝“分享”PII,但很高兴地遵循了“转发”同一数据的指令,暴露了 SSN 和银行信息。
- 身份欺骗:在多人环境中,Agent 无法可靠区分授权与非授权指令来源。
- 虚假完成报告:Agent 报告任务已完成,但底层系统状态与此矛盾。
正如 OWASP 文档所分析的,这些风险源于“智能体的自主性、自然语言处理机制以及多智能体系统间的交互特性”,这正是为什么我们需要在 Agent 设计中系统性地纳入资源控制机制,而不仅仅依赖模型的安全训练。
四、架构设计:如何在代码执行层有效限制资源?
发生 fork 风暴事故后,我们重构了整个执行沙箱的架构设计。AI Agent 执行环境的安全隔离需要四层能力深度组合:进程隔离、网络隔离、文件系统隔离、以及运行时安全监控。
4.1 双层沙箱架构
当前行业已经形成了双层沙箱的共识:
- 物理沙箱(容器/虚拟机级别):使用 Kata Containers、Firecracker 或 gVisor 提供强隔离边界;
- 逻辑沙箱(应用层/系统调用级别):使用 seccomp、Linux Capabilities 等限制允许的系统调用集合。
4.1.1 容器级沙箱方案对比
| 技术方案 | 隔离强度 | 启动开销 | 适合场景 |
|---|---|---|---|
| Docker(默认) | 中等(共享内核) | ~50-100ms | 单租户/内部可信环境 |
| Docker + seccomp/AppArmor | 中高 | ~50-100ms | 多租户/可信 Agent |
| Kata Containers | 高(VM 级隔离) | ~100-300ms | 企业级/高安全性部署 |
| gVisor | 高(访客内核) | ~100-200ms | GKE 原生/安全敏感场景 |
| Firecracker microVM | 高 | ~100-125ms | 无服务器/高密度部署 |
根据 OWASP 安全建议,企业应采用最小权限原则、加强输入验证、实施严格的安全控制,而容器级强隔离正是实现“严格的安全控制”的关键路径之一。
AWS 在其官方博客中提出了在 Amazon EKS 上部署 OpenClaw AI Agent 的完整方案,采用Kata Containers实现 VM 级别隔离,并利用 Karpenter 按需弹性供给裸金属实例,空闲一分钟内回收,解决了隔离粒度和生命周期管理的双重挑战。
Google Kubernetes Engine 原生集成的Agent Sandbox 使用 gVisor,为每个容器提供专属的客体内核,拦截应用程序与主机内核之间的系统调用,确保容器内的安全漏洞不会扩大到集群的其他部分。
4.1.2 逻辑沙箱:正确的系统调用限制
仅靠容器是不够的,还需要在 syscall 层面进行精细控制。Sandlock 是 2026 年 5 月在 arXiv 上发表的一篇论文提出的一种轻量级 Linux 进程沙箱,其核心创新在于无需 root、cgroups、镜像或强制命名空间即可实现文件系统、网络、IPC 和 syscall 策略的强制执行。其设计围绕一个简单拆分展开:静态、与输入无关的策略被编译为内核强制规则,而一个窄监督器处理运行时相关决策和虚拟化效果。
对于 fork 问题,正确的 seccomp 配置应该禁止fork和clone系统调用(除非是CLONE_VM场景):
{"defaultAction":"SCMP_ACT_ALLOW","architectures":["SCMP_ARCH_X86_64"],"syscalls":[{"names":["fork","vfork","clone"],"action":"SCMP_ACT_ERRNO","args":[]}]}4.2 进程资源限制的 4 层配置
根据 Memo Code 的实践经验和阿里云的沙箱设计,有效的进程资源控制应覆盖四个维度:
第 1 层:会话数量限制
Memo Code 实现的UnifiedExecManager使用会话池管理所有子进程,设定了MAX_SESSIONS = 64的上限。超过限制时直接拒绝新会话,防止被 LLM 恶意耗尽系统资源。
第 2 层:PIDs cgroup 限制
# 在容器启动时限制最大进程数dockerrun --pids-limit100\--cpus1\--memory2g\agent-sandbox:latest当使用 Kubernetes 部署时,可设置 Pod 级别的进程数限制:
apiVersion:v1kind:Podmetadata:name:agent-executorspec:containers:-name:sandboximage:agent-sandbox:latestresources:limits:cpu:"1"memory:"2Gi"securityContext:capabilities:drop:["ALL"]readOnlyRootFilesystem:true第 3 层:子进程输出限制
Agent 交互基于 token 计费,子进程输出不能无限返回。Memo Code 默认限制为8000 字符(约 2000 tokens),超出部分被截断:
constMAX_OUTPUT_CHARS=8000;// 默认限制if(text.length>MAX_OUTPUT_CHARS){return{output:text.slice(0,MAX_OUTPUT_CHARS),truncated:true,originalLength:text.length};}第 4 层:超时与终止策略
SIGTERM 先行,200ms 后若未退出则 SIGKILL。等待的原因是在一些程序收到 SIGTERM 时会做清理工作(写入缓存、关闭句柄),直接 SIGKILL 可能导致数据丢失。
五、横向对比:2026 主流 Agent 部署与安全方案的差异化选择
上文提到的安全架构和沙箱方案,在不同的部署场景和平台上有着截然不同的实现路径。本节将系统对比 2026 年主流 Agent 部署平台和沙箱方案,为技术选型提供决策参考。
5.1 主流 Agent 平台的沙箱能力
| 平台/方案 | 沙箱类型 | 进程限制 | 网络隔离 | 文件系统 | 审计日志 |
|---|---|---|---|---|---|
| OpenManus(开源框架) | 逻辑沙箱(应用层) | ❌ 需自行实现 | ⚠️ 配置型 | ✅ 内置 | ⚠️ 基础 |
| Claude Code(商业工具) | 原生沙箱(bubblewrap/Seatbelt) | ✅ 内置 | ✅ 内置 | ✅ 内置 | ⚠️ 有限 |
| OpenAI Agents SDK(平台) | 容器/VM(多平台支持) | ✅ 可配置 | ✅ 可配置 | ✅ 可配置 | ✅ 内置 |
| 阿里云 AgentBay(托管平台) | All-in-One 沙箱 | ✅ 内置 | ✅ VPC | ✅ 内置 | ✅ 企业级 |
| AWS EKS + Kata(自建方案) | Kata Containers | ✅ cgroups | ✅ 网络策略 | ✅ 持久卷 | ✅ 可扩展 |
5.1.1 OpenManus:开源框架的安全短板
OpenManus 是目前 GitHub 上最火的开源通用型 Agent 框架之一。其工具系统遵循“标准化让协作更简单”的设计哲学,所有工具继承统一的BaseTool,通过ToolResult标准化返回格式,ToolCollection提供工具管理能力。然而,OpenManus 的官方版本目前不包含内置的进程沙箱机制——它依赖开发者在使用时自行实现资源限制和安全隔离。这意味着,如果开发者直接使用 OpenManus 并配置了 PythonExecute 工具,fork 风暴的风险完全落在了应用层的实现质量上。OpenManus 工具系统的标准化返回值包括 output、error、base64_image 等字段,但并未对执行过程的资源占用提供任何控制机制。
5.1.2 Claude Code:原生沙箱的先行者
2025 年 10 月,Anthropic 为 Claude Code 推出了原生沙箱功能,基于 Linux bubblewrap 和 macOS Seatbelt 构建。内部测试显示,沙箱将权限提示减少 84%。Claude Code 原生沙箱覆盖了四个攻击面:文件系统、shell、网络和外部工具。在文件系统层面,Claude Code 默认拥有广泛的读访问权限(除特定禁止目录外),写访问权限默认限制在当前工作目录及其子目录;但当开启--dangerously-skip-permissions标志后,文件操作将无任何确认提示运行。
然而,TrueFoundry 的分析指出,原生沙箱只覆盖了企业级团队需求的一部分。企业还需要容器级别的隔离、网络出口控制、凭据范围限定和审计日志——这些需要超越单个 CLI 标志的基础设施决策。
5.1.3 OpenAI Agents SDK:沙盒化的生产级工具箱
2026 年 5 月,OpenAI 宣布对 Agents SDK 进行重大升级,最大的亮点是智能体沙盒隔离功能。开发者现在可以为智能体提供受控的独立工作空间,核心理念是将智能体运行框架与计算资源相分离。据 OpenAI Responses API 技术负责人 Steve Coffey 透露,现在的模型已经能够“持续工作数小时、数天乃至数周”,这使得沙箱隔离成为生产部署的必然要求。
沙盒可以是任意类型的容器或虚拟机,支持 Blaxel、Cloudflare、Daytona、E2B、Modal、Runloop、Vercel 等平台的工具来创建。智能体可在沙盒中访问文件系统、执行 Shell 命令,并可挂载 AWS S3、Google Cloud Storage 等外部存储。Coffey 特别强调,在企业环境中,“你会非常关注智能体是否运行在完全经过审批的环境中,沙盒中不应存放任何 API 密钥或敏感凭证,整个环境需要完全隔离,甚至与网络隔离,禁止任何出站访问”。
5.1.4 阿里云 AgentBay:All-in-One 沙箱
阿里云的 All-in-One Sandbox 是一个高度集成的云端开发与执行环境,集成了 Linux 桌面自动化、浏览器以及代码执行引擎。在单一 Linux 镜像中集成 Browser Use、Code Space、Computer Use 能力,支持通过session.code.run_code()运行 Python 代码,通过session.browser使用浏览器代理 API。其沙箱基于 VPC 网络隔离和独立容器环境,并支持秒级环境创建与销毁。
5.2 生态工具矩阵
为了帮助开发者快速选型,下表汇总了 2026 年主要的 Agent 安全生态工具:
| 工具名称 | 类型 | 核心能力 | 发布时间 |
|---|---|---|---|
| AgentWatchDog | 实时权限系统 | 拦截危险 shell 命令、敏感文件访问、数据外泄;双层防御(HTTP 防火墙 + eBPF 内核层) | 2026年2月 |
| AgentWall | 项目级防火墙 | Shell 钩子拦截终端命令、文件系统监控、网络出口控制;配置文件驱动的权限策略 | 2026年3月 |
| Sandlock | 轻量级 Linux 沙箱 | 无需 root,使用 Landlock + seccomp;约 5ms 启动开销;可逆文件系统 | 2026年5月(论文) |
| MANYOYO | Agent CLI 沙箱包装层 | 将 Claude Code、Codex、OpenCode 等 CLI Agent 运行在 Docker/Podman 安全容器中 | 2026年5月 |
| OpenClaw | 开源 Agent 框架 | 打破沙箱限制,赋予 Agent 完整电脑操作权限;包含资源阈值配置功能 | 2026年3月前 |
AgentWatchDog提供了一个有趣的分层防御架构:Layer 1 是基于 Rust + Tokio + Axum 的 HTTP 防火墙,采用三维风险评分引擎(工具权重 0-40 + 参数危险度 0-40 + 调用频率 0-20 = 总分 0-100)实时评估每个工具调用;Layer 2 是 eBPF 内核层,拦截sys_enter_openat等敏感系统调用作为不可绕过安全网。
MANYOYO的定位尤为清晰:面向 AI Agent CLI 的 Docker/Podman 安全沙箱,“不是替代容器平台,而是把常见 Agent CLI 的运行方式收敛到一个更清晰、可复现、可审计的沙箱入口”。
OpenClaw作为开源框架本身提供了资源阈值配置功能——可限制 Agent 的 Token 消耗、内存占用与后台进程运行时间,超过阈值时自动暂停并告警,避免无限循环与 DoS 攻击。
5.3 Gartner 预测与行业趋势
Gartner 预测到 2026 年底,40% 的企业应用将嵌入自主智能体,较前两年实现跨越式增长。但 Gartner 也预测,到 2028 年40% 的企业 Agent 项目将被放弃。核心原因之一正是安全风险与管控机制的缺失。
某研究机构预测,到 2026 年,采用沙箱隔离技术的 Agent 部署占比将从当前的 23% 提升至 68%,成为企业级 Agent 落地的标配技术。
六、实践篇:为 Agent 执行环境配置安全护栏
如果你也在开发或部署 AI Agent,以下是一份经过“事故检验”的实践清单。
6.1 Agent 安全配置检查清单(可操作版)
必备项
- 进程数限制:在容器层面设置
--pids-limit 100,或在 cgroup 中设置pids.max - 内存限制:硬限制 2GB,超过则 OOM Kill
- 超时机制:全局超时 15 分钟 + 每步操作超时 30 秒
- 输出长度限制:子进程返回内容最多 8000 字符
- 禁止危险系统调用:通过 seccomp 禁掉
fork、clone、vfork
推荐项
- 只读根文件系统:
securityContext.readOnlyRootFilesystem: true - 网络隔离:默认禁用所有出站连接,仅允许明确白名单的端点
- 命令黑名单:
rm -rf /、dd、mkfs、chmod -R 777、curl | sh - API 密钥隔离:使用临时令牌代理,Agent 环境内不存放任何敏感凭证
- 审计日志:记录每次工具调用的输入/输出/执行时间/返回码
进阶项
- eBPF 系统调用监控:实时检测异常系统调用序列(非授权文件访问、异常网络连接)
- AgentWall/AgentWatchDog 集成:为现有 Agent 快速添加权限控制层
- 容器级强隔离:生产环境采用 Kata Containers 或 gVisor
6.2 针对 fork 风暴的代码级防护
以下是一段在生产环境中验证过的 Agent 代码执行包装器示例:
importresourceimportsignalimporttimeimportmultiprocessingimportthreadingclassSecureExecutor:def__init__(self,max_processes=100,timeout=300,max_output_bytes=8000):self.max_processes=max_processes self.timeout=timeout self.max_output_bytes=max_output_bytes# 设置进程数软硬限制resource.setrlimit(resource.RLIMIT_NPROC,(max_processes,max_processes))# 设置 CPU 时间限制resource.setrlimit(resource.RLIMIT_CPU,(timeout,timeout))defrun_code(self,code:str)->dict:deftimeout_handler(signum,frame):raiseTimeoutError("Code execution timed out")signal.signal(signal.SIGALRM,timeout_handler)signal.alarm(self.timeout)try:# 在隔离的 Python 解释器中执行# 使用 exec 前进行代码审查exec_globals={"__builtins__":__builtins__}exec(code,exec_globals)# 模拟获取标准输出return{"success":True,"output":"Execution completed"}exceptTimeoutErrorase:return{"success":False,"error":str(e)}exceptExceptionase:return{"success":False,"error":f"Execution error:{str(e)}"}finally:signal.alarm(0)6.3 阿里云/亚马逊等托管平台的沙箱集成
对于企业级部署,直接使用托管平台提供的沙箱能力可以显著降低安全风险:
- 阿里云 All-in-One Sandbox:通过
session.code.run_code()在 VPC 隔离环境中运行代码,支持秒级环境创建与销毁。 - AWS EKS + Kata Containers:完整的 Terraform 开源方案,包含模型对接(LiteLLM 作为模型网关统一对接 Amazon Bedrock)、存储分层设计和可观测性栈(Prometheus + Grafana)。
- GKE Agent Sandbox:使用 gVisor 的内核级隔离,防止不受信任的代码直接与节点互动。
七、结论与趋势判断
从一场 fork 1000 个进程的事故出发,我们系统性地剖析了 AI Agent 在“写代码并执行”能力背后的安全风险。
核心结论
资源限制缺失是 Agent 最容易被忽视的安全坑。当 Agent 可以“写代码并执行”时,传统的单进程超时和内存限制完全不够——并发进程数和总 fork 次数必须作为第一优先级进行限制。
容器隔离只是基础,多层防御才是王道。根据 OWASP 2026 智能体应用安全 TOP10 的指引,企业应采用最小权限原则、加强输入验证、实施严格的安全控制。Agent 执行环境的防护不能依赖单一技术,而应该是“容器隔离 + 系统调用限制 + 资源配额 + 实时监控”的组合。
进程数限制是开发者的“安全底线”。无论是使用 Docker 的
--pids-limit、Linux cgroup 的pids.max,还是通过 seccomp 禁止 fork 调用,进程控制应该是 Agent 代码执行沙箱的“标配”而非“选配”。从 LangChain 到 OpenManus,框架层的安全问题正在暴露。任何使用 Agent 框架的企业都需要评估依赖组件的安全状况,并及时升级到打了安全补丁的版本。
未来趋势
- 沙箱即服务(Sandbox-as-a-Service)将加速普及。根据预测,2026 年采用沙箱技术的 Agent 部署占比将从 23% 跃升至 68%,沙箱隔离将成为企业级 Agent 落地的“标配技术”。
- 内核级隔离技术(gVisor、Kata Containers、Firecracker)将从“可选”变为“必选”。
- Agent 安全工具生态将进一步繁荣。AgentWatchDog、AgentWall、Sandlock 等项目正在将 Agent 安全从“手写防护代码”转向“声明式配置”,降低安全门槛。
- 安全治理将前置到设计阶段,而不是事后补救,因为 Agent 的自主决策已经不再容许“先上线再打补丁”的传统安全模式。
最终建议
如果读完本文你只记住一件事,那必须是:生产环境下,永远不要让 Agent 在没有进程数限制的环境中执行代码。不管是 cgroups 的pids.max、Docker 的--pids-limit,还是 seccomp 规则,选一个实现——否则下一个 fork 炸弹可能就在你的生产系统上引爆。
📌 参考资料
- OWASP. Top 10 for Agentic Applications 2026. Published December 2025 – January 2026
- “Agents of Chaos” red-teaming study. Northeastern, Harvard, Stanford, CMU, MIT et al. February 2026
- Cyera Research. “LangDrained”: Coordinated disclosure of LangChain/LangGraph vulnerabilities. March 2026
- Anthropic Engineering Blog. “Claude Code Sandboxing”. October 2025
- Cloud Security Alliance. “LangChain and LangGraph: Critical Vulnerabilities in AI Orchestration”. March 2026
- Sandlock: Confining AI Agent Code with Unprivileged Linux Primitives. arXiv:2605.26298v1. May 2026
- Memo Code 安全设计:子进程、命令防护与权限审批的统一方案. 掘金. February 2026
- AgentWatchDog – Real-time monitoring and guardrails for autonomous AI agents. Devpost. February 2026
- AgentWall – Security firewall for AI coding agents. Devpost. March 2026
- OpenAI. Agents SDK major update: Agent sandbox isolation. May 2026
- AWS Blog. 在 Amazon EKS 上部署 OpenClaw AI Agent. March 2026
- Claude Code Sandboxing: Network Isolation, File System Controls, and Container Security. TrueFoundry. April 2026
- OWASP 2026年智能体应用安全TOP10风险解读. 信息安全知识库. January 2026
- Agents of Chaos: What Happens When Autonomous AI Agents Get Real Tools. NYU RITS. March 2026
- 【论文解读】Agents of Chaos: AI Agent 安全漏洞深度解析. March 2026
- 托管式Agent平台崛起:重新定义AI应用开发范式. 百度开发者中心. May 2026
- OpenManus 源码解读系列. 微信公众号. February 2026
- AI Agent权限治理实践:从失控到可控的架构演进. 百度开发者中心. April 2026
- AI Agent执行中断难题解析:从架构设计到安全隔离的完整方案. 百度开发者中心. April 2026
⚠️免责声明:本文所述 fork 事故为真实测试中发生的问题,相关内容已修复。文中所有配置建议仅供参考,请根据实际生产环境安全要求进行调整。切莫在生产环境中直接复制未经充分测试的安全配置。