sandwrap

核心用法

Sandwrap 是一款面向 AI Agent 生态的软沙盒防护工具，通过"包裹"方式在不信任 Skill 与主系统之间建立隔离层。用户可通过两种模式调用：手动模式（run [skill-name] in sandwrap [preset]]）直接指定防护等级；自动模式则依据配置自动识别高风险 Skill 并触发沙盒。系统提供四种预设策略——read-only（仅读文件）、web-only（仅网络访问）、audit（审计模式，允许写入隔离目录）、full-isolate（完全隔离，仅保留推理能力），覆盖从代码分析到最大安全隔离的完整光谱。

显著优点

多层纵深防御是其核心亮点：动态 128 位随机分隔符使攻击者无法预测内容边界；四级指令层级（核心/预设/用户/外部数据零信任）确保外部输入永远处于最低权限；工具白名单+三次违规即终止机制阻断越权调用；人工介入审批（HITL）为敏感操作增加最后把关；输出验证层则拦截路径遍历、数据外泄等后续攻击。这种设计将学术前沿的提示词防护研究（Hines、Nasr 等 2024-2025 年成果）转化为可落地的工程实践。

透明诚实同样值得肯定——文档明确标注"这不是真正的沙盒"、"85% 防护率"、"软执行非系统级"，有效降低用户过度信任风险。架构文档详尽公开，包含完整威胁模型、6 轮对抗测试记录和跨会话污染防护设计，体现出规范的安全开发生命周期。

潜在缺点与局限性

防护率天花板是首要约束：15% 的绕过概率意味着处理高价值目标时仍需硬隔离（VM/容器）。实现完整性存疑——架构文档中包含 Python 代码示例，但 Phase 1-5 实现状态均为 TODO，用户难以判断当前可用功能边界。供应链攻击被排除在威胁模型外，而 Skill 自身的依赖链恰是真实攻击面。人工审批疲劳是运营层面的经典难题：频繁弹窗将导致用户习惯性点击"允许"，削弱最后一道防线。

适合的目标群体

• 安全分析师：需审计第三方 Skill 行为但不愿直接暴露主系统
• 开发者/测试人员：在集成新 Skill 前进行行为预检
• 内容运营者：处理用户提交的不可信文档/URL，提取信息但阻断恶意指令
• 平台运营方：为 Skill 市场提供"试运行"环境，降低恶意上架影响

使用风险

性能开销：多层验证和人工审批将显著增加延迟，不适合高吞吐场景。依赖项风险：软沙盒的有效性高度依赖主 Agent 正确识别内容标记，若宿主系统被绕过则防护失效。误报成本：严格的工具限制可能阻断合法 Skill 的正常功能，需精细调优预设策略。心理安全风险："沙盒"一词的误导性可能导致非技术用户低估风险，需配合明确的使用培训。