agent-run 评测 2026:不到 1MB 的沙箱,让 AI 编程代理不再越界
深入评测 agent-run——一个不到 1MB 的独立二进制工具,将 pi、opencode、codex、claude 等编程代理关进 Bubblewrap 沙箱,确保 AI 只能触碰你明确授权的文件。
用过 Claude Code 或 Codex CLI 的开发者都懂那种微妙的紧张感:你让 AI 帮你重构代码,它确实很能干,但你永远不敢完全放心——万一它幻觉发作,一个 rm -rf 把配置文件删了怎么办?或者”顺手”改了隔壁项目的依赖?agent-run 就是为这种恐惧而生的。它的解决方案简单到令人发笑:一个不到 1MB 的二进制文件,把你的编程代理关进 Bubblewrap 沙箱,主机文件系统默认只读,只有你明确允许的路径才可写。没有 Docker 守护进程,没有复杂的配置文件,甚至不需要安装任何依赖。

agent-run 的设计哲学和 Bubblewrap 一脉相承:只做一件事,做到极致,且表面积尽可能小。它把 bwrap 可执行文件编译进自身,运行时通过内存文件描述符直接执行——所以你下载一个二进制就能用,连 apt install 都不需要。对于想让 AI 代理放手干活又不想半夜惊醒的���发者来说,这就是一张优雅的安全网。
agent-run 是什么
agent-run 是一个轻量级的 AI 编程代理沙箱运行器。它支持四种主流代理 CLI——pi、opencode、codex 和 claude——并在 Bubblewrap 容器中运行它们。主机文件系统在沙箱内默认只读,你可以通过一个简单的 TOML 配置文件,按工具分区指定哪些目录可写。代理只能看到你授权的内容,任何对未授权路径的读写操作都会被沙箱拦截。bwrap 二进制本身会针对目标架构编译并嵌入 agent-run,真正做到零外部依赖。
典型应用场景
安全的 AI 辅助重构。 想让代理帮你重构一个庞大的代码库,但又怕它误改配置文件、dotfiles 或系统目录。agent-run 只给代理开放项目目录的写权限,其余一切——包括你的家目录——都保持只读甚至不可见。代理干完活后,你不需要逐个文件审计它碰过什么。
无副作用的测试运行。 AI 代理经常需要安装依赖、执行构建步骤或跑测试套件。用 agent-run 可以给它一个专用的构建目录,同时保持源码只读。代理可以在沙箱里 npm install 或 pip install,不会污染你的全局环境。
安全评估新代理工具。 在信任一个新的编程代理之前,先用 agent-run 让它在一个临时沙箱里操作。挂载一份项目副本,给它写权限,观察它的行为——原始文件毫发无损。
CI/CD 代理集成。 在自动化流水线中让 AI 代理审查或修改代码时,agent-run 提供了比 CI 容器更细粒度的隔离层。万一代理在自动 PR 审查中失控,沙箱会把破坏范围限制在显式挂载的工作区内。
核心功能
Bubblewrap 沙箱
agent-run 的核心基于 Bubblewrap(bwrap),这是一个利用 Linux 用户命名空间创建隔离环境的轻量沙箱工具。主机文件系统以只读方式挂载进沙箱,只有你在配置文件中明确声明的路径会变为可读写。可以按工具禁用网络访问,环境变量也可以选择性地从主机继承。这不是完整的虚拟机——它是基于命名空间的容器,启动几乎瞬间完成,性能开销可忽略不计。
极简的自包含二进制
agent-run 以单个不到 1MB 的二进制文件发布。bwrap 可执行文件针对目标平台(目前支持 aarch64 和 x86_64 Linux)编译,直接嵌入 agent-run 二进制。运行时,agent-run 将 bwrap 提取到内存文件描述符中执行——无需写入文件系统,无需额外安装步骤。整个工具就是一个 curl 下载的事。
按工具分区的 TOML 配置
配置集中在一个 TOML 文件中,每个支持的代理有专属分区:[tools.pi]、[tools.opencode]、[tools.codex]、[tools.claude]。每个分区控制环境变量继承、网络开关和挂载点。你可以把 Claude Code 限制为除 ./src 外全部只读,同时给 Codex CLI 完全不同的权限。配置模型刻意保持简单——没有继承链、没有合并规则、没有意外。
针对失误,而非恶意攻击
agent-run 的威胁模型明确限定为代理的失误操作,而非对抗性攻击。它能拦住 rm -rf /home/user 这种事、防止配置文件被意外覆写、阻止好心办坏事的破坏性重构。但它不是为抵御从沙箱内部发起内核漏洞利用的攻击者而设计的。这种对威胁模型的诚实态度让人放心,也让工具保持了极简风格,而非堆砌大多数用户不需要的层层加固。
广泛的代理兼容性
agent-run 支持目前最主流的四款开源和半开源编程代理:pi(轻量编程代理)、opencode(Open Interpreter 的后继者)、OpenAI 的 Codex CLI,以及 Anthropic 的 Claude Code。每个代理都通过各自的原生 CLI 运行,无需学习新的封装 API,也不用维护适配层。如果有新的代理 CLI 出现,添加支持并不复杂。
价格方案
agent-run 完全免费,基于 GPL-3.0 协议开源。没有付费层级、没有托管服务、没有企业授权。它是一个独立的本地工具,下载即用。欢迎在 GPL 协议条款下贡献代码或创建分支。
常见问题
agent-run 支持 macOS 或 Windows 吗? 不支持。agent-run 依赖 Bubblewrap,而 Bubblewrap 需要 Linux 用户命名空间——这是 Linux 内核特性,macOS 和 Windows 不具备。你可以在任一平台上通过 Linux 虚拟机运行,但没有原生支持。项目目前仅面向 aarch64 和 x86_64 架构的 Linux。
agent-run 和 Docker 有什么区别? Docker 提供完整的容器运行时,包含镜像管理、网络和编排——体积动辄几百 MB。agent-run 是一个不到 1MB 的单文件,零运行时依赖。如果你只是想隔离编程代理的文件系统访问,agent-run 简单得多。如果你需要网络隔离、多容器编排或跨平台支持,Docker 更合适。
可以用于自定义或自建的代理吗? 当前版本开箱即支持 pi、opencode、codex 和 claude。添加自定义代理需要修改源码来添加新的工具分区,因为代理 CLI 命令是编译进二进制的。项目是开源的,所以技术上可行,但目前还不是纯配置即可完成的操作。
综合评价
agent-run 用令人印象深刻的简洁解决了一个具体而狭窄的问题。在”用 Docker 就完了”成为隔离问题标准答案的时代,agent-run 提供了一个激进的简单替代方案:一个二进制、一个配置文件,代理就乖乖待在划定的圈子里。不到 1MB 的体积对于它所做的事情来说小得近乎荒谬,内嵌 bwrap 的做法也彻底消除了大多数沙箱工具的依赖地狱。
Linux 独占是硬伤,把一大批在 macOS 上开发的程序员挡在了门外。威胁模型明确限定为失误而非恶意代码,这种态度很诚实,但如果你运行的是不可信的第三方代理,心里还是得有数。配置模型虽然简洁可喜,但也缺少一些便利功能,比如挂载路径内的环境变量展开。
对于经常使用 Claude Code、Codex CLI 或类似工具,想要一个轻量安全网的 Linux 开发者来说,agent-run 是工具箱中极好的补充。五分钟就能配好,却能实实在在地挡住每一个 AI 编程代理早晚会犯的那种错误。
综合评分:7.6/10 —— 一款极简而优雅的 AI 编程代理沙箱。Linux 开发者获得安心的必备工具,无需 Docker 的复杂。
探索最佳 AI 编程工具 工具
相关文章
2026年最佳AI Agent工具推荐:从编程助手到自主代理
2026年AI Agent工具全景指南:Claude Code、Codex、Cursor、Manus等。哪些真的能替你干活?哪些只是噱头?
2026年最佳AI编程工具:Cursor vs GitHub Copilot
全面对比2026年五大AI编程工具:Cursor、GitHub Copilot、Claude Code、v0和Windsurf,找到最适合你的AI编程搭档。
Bolt.new 评测:浏览器中的 AI 全栈应用构建器 2026
Bolt.new 深度评测——浏览器内全栈生成、实时预览、快速原型。与 Replit Agent、Lovable 对比,AI 驱动的 Web 应用快速开发工具。
用Cursor 30分钟搭建一个完整应用:手把手教程
用Cursor的AI Composer模式从零搭建一个完整Web应用。真实案例:30分钟构建任务管理器,含拖拽排序、暗黑模式和API后端。
订阅 9bests 周报,免费领完整版
每周精选 AI 工具测评与更新;订阅即获本清单完整版 + 另外 7 个细分领域(写作 / 图像 / 视频 / 音频 / 对话模型 / 数据 / API 成本)同款速查。
免费订阅并领取 →独立测评,评分不受厂商付款影响 · 双重确认订阅 · 随时退订