该文章介绍了amla-sandbox项目，指出当前主流AI框架通过subprocess或exec()执行LLM生成代码存在安全风险，而amla-sandbox提供WASM沙箱环境，通过能力限制和虚拟文件系统确保安全，无需Docker即可运行。

GitHub项目：amla-sandbox（安全沙箱工具）

项目概述

amla-sandbox是一个基于WebAssembly（WASM）的安全沙箱工具，旨在为LLM（大语言模型）生成的代码提供安全的执行环境。与常见的代理框架（如LangChain、AutoGen等）通过subprocess或exec()执行代码不同，amla-sandbox通过WASM的隔离性和能力控制机制，确保代码执行的安全性，避免主机环境受到威胁。

核心功能

1. 安全隔离：

   • 使用WASM和WASI（WebAssembly系统接口）实现内存隔离和系统调用限制。
   • 沙箱内虚拟文件系统仅允许在/workspace和/tmp目录下写入，禁止网络访问和Shell逃逸。

2. 能力控制：

   • 工具调用需通过显式授权，支持参数约束（如金额上限、货币类型等）和调用次数限制。
   • 示例：限制Stripe API的调用金额不超过10,000，且仅允许美元或欧元交易。

3. 多语言支持：

   • 支持JavaScript和Shell脚本，允许通过代码模式（而非多次工具调用）高效执行任务。
   • 示例：通过单次脚本调用完成数据筛选和输出，减少LLM的交互次数。

安全模型

• WASM隔离：基于线性内存的边界检查，防止越界访问。
• 能力验证：每次工具调用均通过预定义的约束条件检查，遵循“最小权限原则”。
• 防御深度：结合Wasmtime运行时（经形式化验证）和沙箱设计，抵御提示注入等攻击。

快速入门

1. 安装： bash uv pip install "git+https://github.com/amlalabs/amla-sandbox"
2. 基础使用： python from amla_sandbox import create_sandbox_tool sandbox = create_sandbox_tool(tools=[get_weather]) result = sandbox.run('return await get_weather({city: "SF"});', language="javascript")

架构设计

• 沙箱层：包含异步调度器、虚拟文件系统（VFS）、Shell内置命令和能力验证模块。
• 主机层：Python宿主程序处理沙箱发起的工具调用请求，执行后返回结果。
• 运行时：基于QuickJS实现JavaScript支持，通过WASM预编译优化启动速度（首次~300ms，后续~0.5ms）。

适用场景与限制

• 优势：无需Docker或虚拟机，单二进制跨平台运行；适合需要高效、安全执行生成代码的场景。
• 限制：不支持完整Linux环境、原生模块或GPU加速；无限循环脚本可能导致挂起（需外部监控）。

许可证

• Python代码部分为MIT许可，WASM二进制暂为专有（可免费使用但不可单独分发）。

资源链接

• 官网 | 示例 | 文档

以下是评论内容的总结：

1. 对WASM沙箱安全模型的认可

• 作者westurner引用README说明其安全设计：WASM内存隔离+能力验证机制，参考seL4的能力安全模型
• 作者syrusakbary："using Wasm for sandboxing is the way for the future of containers"
• 作者turnsout："This seems like a great way to add that functionality"

2. 对工具链集成的担忧

• 作者quantummagic指出："every tool that you provide access to, is a potential escape hatch"
• 作者sd2k提问："How does Amla handle commands like grep/jq/curl which require recompilation to WASI"

3. 对轻量级方案的赞赏

• 作者asyncadventure赞赏11MB的轻量设计："The 11MB vs 173MB difference highlights an important tradeoff"
• 作者vimota提到其方案使用sqlite-backed VFS："it's very portable - making it easy to fork and resume agent workflows"

4. 对专有WASM二进制文件的批评

• 作者benatkin指出："The WASM binary is proprietary...And who is Amla Labs?"
• 作者simonw表示："I'm sad about...The WASM binary is proprietary"

5. 生态系统层面的思考

• 作者rellfy提出："Sandboxing solves execution safety, but...how do agents discover and compose tools portably"
• 作者sd2k分享相关项目：eryx(CPython WASI实现)和conch(Bash沙箱)

6. 技术替代方案讨论

• 作者messh建议："you can use bubblewrap and other equivalents"
• 作者skybrian设想："something like a pure Typescript library that can run in a browser"

7. 安全性质疑

• 作者tgtweak直接提问："is a wasm sandbox as secure as a container or vm?"

8. 其他技术限制

• 作者behnamoh指出："no local models are supported"(无GPU访问)
• 作者sibellavia提到灵活性挑战："it hasn't seemed flexible enough for all use cases"