mirror of
https://github.com/bytedance/deer-flow.git
synced 2026-05-22 07:56:48 +00:00
copilot-swe-agent[bot]
b62ac7672a
Agent-Logs-Url: https://github.com/bytedance/deer-flow/sessions/a5f192e7-8034-4e46-af22-60b90ee27d40 Co-authored-by: foreleven <4785594+foreleven@users.noreply.github.com>
140 lines
4.5 KiB
Plaintext
140 lines
4.5 KiB
Plaintext
import { Callout, Cards, Tabs } from "nextra/components";
|
||
|
||
# 沙箱
|
||
|
||
<Callout type="info" emoji="📦">
|
||
沙箱是 Agent 进行文件和命令操作的隔离工作区。它让 DeerFlow 能够采取真实行动,而不仅仅是对话。
|
||
</Callout>
|
||
|
||
沙箱为 Lead Agent 提供一个受控环境,在其中可以读取文件、写入输出、运行 Shell 命令并生成产出物。没有沙箱,Agent 只能生成文本;有了沙箱,它可以编写和执行代码、处理数据文件、生成图表并构建交付物。
|
||
|
||
## 沙箱模式
|
||
|
||
DeerFlow 支持三种沙箱模式,选择适合你部署的一种:
|
||
|
||
### LocalSandbox(默认)
|
||
|
||
命令直接在主机机器的文件系统上运行,没有容器隔离。
|
||
|
||
- **适合**:受信任的单用户本地开发工作流。
|
||
- **风险**:Agent 可以访问主机文件系统。默认使用 `allow_host_bash: false` 防止任意命令执行。
|
||
|
||
```yaml
|
||
sandbox:
|
||
use: deerflow.sandbox.local:LocalSandboxProvider
|
||
allow_host_bash: false # 默认;仅对完全受信任的工作流设置为 true
|
||
```
|
||
|
||
### 基于容器的 AIO 沙箱
|
||
|
||
命令在隔离容器中运行(Linux/Windows 上的 Docker,macOS 上的 Apple Container)。每个沙箱会话获得一个全新的容器环境。
|
||
|
||
- **适合**:多用户环境、生产部署,或任何需要执行隔离的场景。
|
||
|
||
```yaml
|
||
sandbox:
|
||
use: deerflow.community.aio_sandbox:AioSandboxProvider
|
||
|
||
# 可选:容器镜像(下方显示默认值)
|
||
image: enterprise-public-cn-beijing.cr.volces.com/vefaas-public/all-in-one-sandbox:latest
|
||
|
||
# 可选:最大并发容器数(默认:3,超出时 LRU 淘汰)
|
||
replicas: 3
|
||
|
||
# 可选:空闲超时(秒,默认:600)
|
||
idle_timeout: 600
|
||
|
||
# 可选:自定义挂载
|
||
mounts:
|
||
- host_path: /path/on/host
|
||
container_path: /home/user/shared
|
||
read_only: false
|
||
```
|
||
|
||
安装:`cd backend && uv add 'deerflow-harness[aio-sandbox]'`
|
||
|
||
### Provisioner 管理的沙箱(Kubernetes)
|
||
|
||
每个沙箱在 Kubernetes 集群中获得一个专用 Pod,由 Provisioner 服务管理。这提供最强的隔离性,适合有多个并发用户的生产环境。
|
||
|
||
```yaml
|
||
sandbox:
|
||
use: deerflow.community.aio_sandbox:AioSandboxProvider
|
||
provisioner_url: http://provisioner:8002
|
||
```
|
||
|
||
## 路径映射
|
||
|
||
沙箱使用路径映射来桥接主机文件系统和容器的虚拟文件系统。始终配置两个关键映射:
|
||
|
||
| 主机路径 | 容器路径 | 访问权限 |
|
||
|---|---|---|
|
||
| `skills/`(来自 `skills.path`) | `/mnt/skills`(来自 `skills.container_path`) | 只读 |
|
||
| `.deer-flow/threads/{thread_id}/user-data/` | `/mnt/user-data/` | 读写 |
|
||
|
||
技能目录始终以只读方式挂载。线程将其工作数据(上传文件、输出、中间文件)写入 `/mnt/user-data/`。
|
||
|
||
### 自定义挂载
|
||
|
||
你可以为本地沙箱使用 `mounts:` 配置添加额外挂载:
|
||
|
||
```yaml
|
||
sandbox:
|
||
use: deerflow.sandbox.local:LocalSandboxProvider
|
||
mounts:
|
||
- host_path: /home/user/my-project
|
||
container_path: /mnt/my-project
|
||
read_only: true
|
||
```
|
||
|
||
<Callout type="warning">
|
||
自定义挂载的 <code>container_path</code> 不能与保留前缀冲突:
|
||
<code>/mnt/skills</code>、<code>/mnt/acp-workspace</code> 或 <code>/mnt/user-data</code>。
|
||
</Callout>
|
||
|
||
## 输出截断
|
||
|
||
沙箱工具限制输出大小以保持 Agent 上下文可控。这些限制可配置:
|
||
|
||
```yaml
|
||
sandbox:
|
||
use: deerflow.sandbox.local:LocalSandboxProvider
|
||
|
||
# bash 使用中间截断(头部 + 尾部)
|
||
bash_output_max_chars: 20000
|
||
|
||
# read_file 使用头部截断
|
||
read_file_output_max_chars: 50000
|
||
|
||
# ls 使用头部截断
|
||
ls_output_max_chars: 20000
|
||
```
|
||
|
||
设置为 `0` 禁用截断。
|
||
|
||
## 安全性
|
||
|
||
### LocalSandbox
|
||
|
||
`LocalSandbox` 直接在主机上运行命令。默认情况下,`bash` 工具**被禁用**以防止任意主机命令执行。仅对完全受信任的单用户工作流启用它:
|
||
|
||
```yaml
|
||
sandbox:
|
||
allow_host_bash: true # 危险:授予 Agent 对你机器的 Shell 访问权限
|
||
```
|
||
|
||
即使没有 `bash`,Agent 也可以通过专用文件工具读写文件。
|
||
|
||
### 容器沙箱
|
||
|
||
基于容器的沙箱提供文件系统和进程隔离。Agent 看不到或修改主机文件系统,除非通过显式挂载。Provisioner 管理模式增加了额外一层:每个线程获得自己的隔离 Pod。
|
||
|
||
### 审计中间件
|
||
|
||
`SandboxAuditMiddleware` 在每次 Agent 轮次上运行,记录所有沙箱操作,提供会话期间访问了哪些文件、运行了哪些命令的审计跟踪。
|
||
|
||
<Cards num={2}>
|
||
<Cards.Card title="工具" href="/docs/harness/tools" />
|
||
<Cards.Card title="子 Agent" href="/docs/harness/subagents" />
|
||
</Cards>
|