Claude Code 在你电脑里撒野？有人给AI建了个"隔离监狱"

事情是这样的。

这两天在刷 GitHub Trending，发现一个项目悄悄冒起来了——Containarium。star 数还不算多，才 181 颗，但看更新时间，今天凌晨 3 点还在 push commit，一种「这玩意儿正在狂飙」的既视感，说实话挺带感的。

它是干啥的？一句话：给 AI Agent 用的沙盒，而且是自托管的。

你把 Claude Code，Cursor，OpenCode 之类的 AI 编程助手接进去，它们就能在一个隔离的 Linux 环境里折腾，不会碰到你真正的开发机。怎么说呢，这个感觉就像是——给 AI 租了个「它自己的房子」，而不是在你家里胡来。

我跟你说，这个需求是真的存在的。

不知道你们有没有这种感觉，就是 AI coding agent 越来越能干了，能帮你写代码，装依赖，跑服务，甚至帮你买云服务器……但它们是在你的笔记本上执行的。一旦它想 `rm -rf /`，或者是装了一个来路不明的 npm 包，你是拦不住的。

这不是开玩笑。我自己就踩过坑，之前让一个 agent 去帮我搭开发环境，它一上来就把我的 `~/.zshrc` 改了个稀巴烂，还把 `node_modules` 全局装了一堆不知道啥东西。那次之后我就一直在想，AI 这么能干，但这么不安全，咋整？

说实话我也不知道 Containarium 最后能不能成气候，但我是真的觉得这个方向有意思，所以想认真聊聊它。

它到底是怎么工作的

官方说它是「agent-native sandbox」，底层用的是 LXC 容器。简单说就是在一台 Linux 虚拟机上跑很多个隔离的小环境，每个 AI agent 可以有自己的一个「盒子」。这个盒子是真正完整的 Linux，有 systemd，有网络，能从外面访问。

最骚的是它的接口方式。

它暴露的是 MCP（Model Context Protocol）接口。这意味着你的 AI Agent 不是用 SSH 连接到一台机器然后「打字」，而是通过结构化的工具调用——`shell_exec`、`read_file`、`write_file`、`list_directory` 这些。AI 发的是有类型的，有边界的指令，不是裸的 shell 命令流。

就说这个区别有多大吧。SSH 连接下，AI 在 TTY 里敲命令，如果输出太长滚走了，或者是命令卡住了，AI 只能「盲操作」。但 MCP 是严格一问一答的协议，每条指令都有返回，AI 能知道到底成功了还是失败了。安全感完全不一样，你说是不是？

部署也简单，一条命令装好：

curl -fsSL https://raw.githubusercontent.com/footprintai/containarium/main/hacks/install.sh | sudo bash

然后 `containarium create alice` 就能建好一个沙盒，`containarium ssh-config sync` 把 SSH 配置搞定，接着在你的 Claude Code 或者 Cursor 的 MCP 配置里加一行就行了。整个流程 5 分钟跑完，这是官方说的。我自己还没亲自试，但如果你们想看实操，可以给我留言，我下期可以跑一遍。

这个方向为什么有意思

我认真想了想，Containarium 解决的是一个很实在的问题：AI Agent 的执行环境和你的本地环境是耦合的。

现在的 AI coding agent，本质上是「借你的手」执行操作。它跑在你本地，有权限访问你的文件系统，你的网络，你的账号。这是 AI 能够那么高效的原因，但也是风险所在。

你想让 AI 去探索，去学习，去试错，它就需要有破坏力。问题是一个有破坏力的 AI 如果没有边界，就是一颗定时炸弹。我有时候就想，能不能既让 AI 大胆干，又不让它把家拆了？

Containarium 提供的解法是：你（人类）控制基础设施，AI 在你划定的边界里自由发挥。你给它一个盒子，盒子里的东西随便折腾，出了盒子？门儿都没有。

这其实很像 Docker 在微服务里做的事——隔离，可重复，边界清晰。只不过 Docker 是给人用的，Containarium 是给 AI agent 用的。算是基础设施层的一次思路转换吧。

它能走多远

先说我觉得有意思的地方。

首先是 MCP 原生支持这件事。现在大家都在聊 MCP，但真正把它用到生产级别的开源项目还不多。Containarium 从第一天就是围绕 MCP 设计的，不是后期打补丁，这一点挺加分的。

然后是「self-hostable」这个定位。AI agent 在别人服务器上跑，你的代码，你的数据都在人家那里——很多人是有隐私顾虑的。Containarium 可以跑在自己的机器上，数据不出屋，对于在意数据安全的团队来说，这个挺重要的。

不过也得说，这东西还非常早期。才 181 颗 star，今天才大量更新，12 个 open issues，整体还处于「早期爱好者」阶段。能不能持续迭代，能不能真的在生产环境里稳定跑，还有待观察。另外 LXC 本身是有一定门槛的，不是说它难，而是需要你对 Linux 容器有基本的了解。如果你是完全不懂技术的小白，可能还是有点陡峭。

我的判断

坦率的讲，这个方向我是看好的。

AI coding agent 的能力在疯狂进化，但安全边界这件事一直没有被认真解决。大家都在追求「让 AI 干更多的事」，但「干更多的事」和「干砸了」往往是一线之隔。

Containarium 至少提供了一个思路：与其阻止 AI 乱动，不如给它一个「乱动也没关系」的环境。沙盒隔离这个概念在安全领域用了这么多年，现在终于被用到 AI agent 这个场景里，我觉得这只是时间问题。问题只是说最后哪个方案能跑出来。

你们怎么看这个方向？有没有已经在自己的 workflow 里给 AI agent 上了隔离层的朋友？想来听听你们的体验。

好，今天先聊到这里。

既然看到这里了，如果觉得不错，随手点个赞，在看，转发三连吧。如果想第一时间收到推送，也可以给我个星标。

谢谢你看我的文章，我们，下次再见。