2026年07月14日 ai-code

agent-run 评测 2026:不到 1MB 的沙箱,让 AI 编程代理不再越界

深入评测 agent-run——一个不到 1MB 的独立二进制工具,将 pi、opencode、codex、claude 等编程代理关进 Bubblewrap 沙箱,确保 AI 只能触碰你明确授权的文件。

用过 Claude Code 或 Codex CLI 的开发者都懂那种微妙的紧张感:你让 AI 帮你重构代码,它确实很能干,但你永远不敢完全放心——万一它幻觉发作,一个 rm -rf 把配置文件删了怎么办?或者”顺手”改了隔壁项目的依赖?agent-run 就是为这种恐惧而生的。它的解决方案简单到令人发笑:一个不到 1MB 的二进制文件,把你的编程代理关进 Bubblewrap 沙箱,主机文件系统默认只读,只有你明确允许的路径才可写。没有 Docker 守护进程,没有复杂的配置文件,甚至不需要安装任何依赖。

agent-run

agent-run 的设计哲学和 Bubblewrap 一脉相承:只做一件事,做到极致,且表面积尽可能小。它把 bwrap 可执行文件编译进自身,运行时通过内存文件描述符直接执行——所以你下载一个二进制就能用,连 apt install 都不需要。对于想让 AI 代理放手干活又不想半夜惊醒的���发者来说,这就是一张优雅的安全网。

agent-run 是什么

agent-run 是一个轻量级的 AI 编程代理沙箱运行器。它支持四种主流代理 CLI——pi、opencode、codex 和 claude——并在 Bubblewrap 容器中运行它们。主机文件系统在沙箱内默认只读,你可以通过一个简单的 TOML 配置文件,按工具分区指定哪些目录可写。代理只能看到你授权的内容,任何对未授权路径的读写操作都会被沙箱拦截。bwrap 二进制本身会针对目标架构编译并嵌入 agent-run,真正做到零外部依赖。

典型应用场景

安全的 AI 辅助重构。 想让代理帮你重构一个庞大的代码库,但又怕它误改配置文件、dotfiles 或系统目录。agent-run 只给代理开放项目目录的写权限,其余一切——包括你的家目录——都保持只读甚至不可见。代理干完活后,你不需要逐个文件审计它碰过什么。

无副作用的测试运行。 AI 代理经常需要安装依赖、执行构建步骤或跑测试套件。用 agent-run 可以给它一个专用的构建目录,同时保持源码只读。代理可以在沙箱里 npm installpip install,不会污染你的全局环境。

安全评估新代理工具。 在信任一个新的编程代理之前,先用 agent-run 让它在一个临时沙箱里操作。挂载一份项目副本,给它写权限,观察它的行为——原始文件毫发无损。

CI/CD 代理集成。 在自动化流水线中让 AI 代理审查或修改代码时,agent-run 提供了比 CI 容器更细粒度的隔离层。万一代理在自动 PR 审查中失控,沙箱会把破坏范围限制在显式挂载的工作区内。

核心功能

Bubblewrap 沙箱

agent-run 的核心基于 Bubblewrap(bwrap),这是一个利用 Linux 用户命名空间创建隔离环境的轻量沙箱工具。主机文件系统以只读方式挂载进沙箱,只有你在配置文件中明确声明的路径会变为可读写。可以按工具禁用网络访问,环境变量也可以选择性地从主机继承。这不是完整的虚拟机——它是基于命名空间的容器,启动几乎瞬间完成,性能开销可忽略不计。

极简的自包含二进制

agent-run 以单个不到 1MB 的二进制文件发布。bwrap 可执行文件针对目标平台(目前支持 aarch64 和 x86_64 Linux)编译,直接嵌入 agent-run 二进制。运行时,agent-run 将 bwrap 提取到内存文件描述符中执行——无需写入文件系统,无需额外安装步骤。整个工具就是一个 curl 下载的事。

按工具分区的 TOML 配置

配置集中在一个 TOML 文件中,每个支持的代理有专属分区:[tools.pi][tools.opencode][tools.codex][tools.claude]。每个分区控制环境变量继承、网络开关和挂载点。你可以把 Claude Code 限制为除 ./src 外全部只读,同时给 Codex CLI 完全不同的权限。配置模型刻意保持简单——没有继承链、没有合并规则、没有意外。

针对失误,而非恶意攻击

agent-run 的威胁模型明确限定为代理的失误操作,而非对抗性攻击。它能拦住 rm -rf /home/user 这种事、防止配置文件被意外覆写、阻止好心办坏事的破坏性重构。但它不是为抵御从沙箱内部发起内核漏洞利用的攻击者而设计的。这种对威胁模型的诚实态度让人放心,也让工具保持了极简风格,而非堆砌大多数用户不需要的层层加固。

广泛的代理兼容性

agent-run 支持目前最主流的四款开源和半开源编程代理:pi(轻量编程代理)、opencode(Open Interpreter 的后继者)、OpenAI 的 Codex CLI,以及 Anthropic 的 Claude Code。每个代理都通过各自的原生 CLI 运行,无需学习新的封装 API,也不用维护适配层。如果有新的代理 CLI 出现,添加支持并不复杂。

价格方案

agent-run 完全免费,基于 GPL-3.0 协议开源。没有付费层级、没有托管服务、没有企业授权。它是一个独立的本地工具,下载即用。欢迎在 GPL 协议条款下贡献代码或创建分支。

常见问题

agent-run 支持 macOS 或 Windows 吗? 不支持。agent-run 依赖 Bubblewrap,而 Bubblewrap 需要 Linux 用户命名空间——这是 Linux 内核特性,macOS 和 Windows 不具备。你可以在任一平台上通过 Linux 虚拟机运行,但没有原生支持。项目目前仅面向 aarch64 和 x86_64 架构的 Linux。

agent-run 和 Docker 有什么区别? Docker 提供完整的容器运行时,包含镜像管理、网络和编排——体积动辄几百 MB。agent-run 是一个不到 1MB 的单文件,零运行时依赖。如果你只是想隔离编程代理的文件系统访问,agent-run 简单得多。如果你需要网络隔离、多容器编排或跨平台支持,Docker 更合适。

可以用于自定义或自建的代理吗? 当前版本开箱即支持 pi、opencode、codex 和 claude。添加自定义代理需要修改源码来添加新的工具分区,因为代理 CLI 命令是编译进二进制的。项目是开源的,所以技术上可行,但目前还不是纯配置即可完成的操作。

综合评价

agent-run 用令人印象深刻的简洁解决了一个具体而狭窄的问题。在”用 Docker 就完了”成为隔离问题标准答案的时代,agent-run 提供了一个激进的简单替代方案:一个二进制、一个配置文件,代理就乖乖待在划定的圈子里。不到 1MB 的体积对于它所做的事情来说小得近乎荒谬,内嵌 bwrap 的做法也彻底消除了大多数沙箱工具的依赖地狱。

Linux 独占是硬伤,把一大批在 macOS 上开发的程序员挡在了门外。威胁模型明确限定为失误而非恶意代码,这种态度很诚实,但如果你运行的是不可信的第三方代理,心里还是得有数。配置模型虽然简洁可喜,但也缺少一些便利功能,比如挂载路径内的环境变量展开。

对于经常使用 Claude Code、Codex CLI 或类似工具,想要一个轻量安全网的 Linux 开发者来说,agent-run 是工具箱中极好的补充。五分钟就能配好,却能实实在在地挡住每一个 AI 编程代理早晚会犯的那种错误。

综合评分:7.6/10 —— 一款极简而优雅的 AI 编程代理沙箱。Linux 开发者获得安心的必备工具,无需 Docker 的复杂。

探索最佳 AI 编程工具 工具

相关文章

订阅 9bests 周报,免费领完整版

每周精选 AI 工具测评与更新;订阅即获本清单完整版 + 另外 7 个细分领域(写作 / 图像 / 视频 / 音频 / 对话模型 / 数据 / API 成本)同款速查。

免费订阅并领取 →

独立测评,评分不受厂商付款影响 · 双重确认订阅 · 随时退订