沙箱化的自主性

Coding agent 已經跨過了一道門檻。一年前，大家還在問模型能不能照著提示寫出一個正確的函式；如今它可以連續跑上一個鐘頭——開分支、安裝相依套件、跑測試、讀失敗訊息、再重試一輪——而且幾乎不需要有人盯著。能力已經不再是限制，真正的問題是：這些工作裡，你願意放手讓多少在沒人看著的情況下發生？

而這份「願意」有一個前提，那就是「關得住」。你能給 agent 多少自主權，取決於你能把它犯錯後的後果，關進多小的範圍裡。一個只能動到拋棄式儲存庫副本的 agent，可以放心讓它自由行動，因為最糟也不過是丟掉一份副本；一個環境裡握有正式環境（production）憑證的 agent，無論提示寫得多謹慎都很危險，因為最壞的情況沒有邊界。沙箱化不是事後補在自主性上的安全功能——它本身，就是讓自主性「值得交出去」的那個前提。

本文說明 Tenten AI 如何為長時間運行的 coding agent 打造執行環境：我們倚賴的隔離手段（臨時的 container 與 microVM、託管式的程式碼執行 sandbox、用來平行運作的 git worktree）、用來圈住爆炸半徑的各項控制、讓整個過程可稽核的治理軌跡，以及我們設計時所針對的威脅模型。

貫穿全文的，是同一條原則：先沙箱化。從「仍能讓 agent 做出有用工作」的最緊配置開始，再依據實際觀察到的行為，逐項放寬特定限制。自主性能走多遠，剛好就走到隔離與可稽核性允許的那一步，多一步都不行。