Docker刚刚做了一件自相矛盾的事:让开发者放手让AI智能体狂奔,却又声称这是最安全的选择。
这就是Docker新推出的Sandboxes功能所揭示的开发者生态系统的隐性交易——想要获得AI编程智能体承诺的生产力提升,你必须停止相信自己。
矛盾的焦点在于:Docker靠"隔离"起家,现在却在销售"无拘无束"的智能体执行能力。不同之处在于边界在哪里划定。在沙盒内部,智能体获得你预先设定的文件系统访问权限、网络权限和执行权限。沙盒之外,它们什么都接触不到——SSH密钥、生产环境配置、你真正负责维护的代码仓库。
这很关键,因为替代方案更糟。在开发者机器上直接运行智能体,意味着要相信"优化这个函数"这样的提示不会触发误删命令。意味着接受一个想帮忙的智能体可能会读取你的.env文件并把API密钥泄露到不该去的地方。这些不是边缘案例——它们是真实部署中记录在案的风险。
Docker的解决方案是架构层面的:每个沙盒都在独立的轻量级微虚拟机中运行,共享状态为零,跨环境不会泄漏。任务完成后,环境消失。几秒启动,执行,销毁。
这个时机也很重要。Docker Sandboxes无需Docker Desktop即可运行,消除了刚接触自主智能体开发的用户的许可门槛。它原生支持Claude Code、GitHub Copilot CLI、Gemini CLI以及OpenCode、Kiro等多个开源智能体。对于需要持续自主执行的新一代系统如NanoClaw和OpenClaw,Docker将自己定位为安全的运行环境,且不需要专用的Mac硬件。
Model Runner扩展至DGX Station则解决了另一半痛点。在本地运行前沿级模型历来意味着要么依赖云端API,要么搭建复杂的GPU环境且驱动更新时容易崩溃。DGX Station中GB300 Grace Blackwell Ultra芯片提供252GB统一GPU内存——是GB10芯片DGX Spark的两倍——带宽提升让本地迭代对以前需要云端部署的模型变得实际可行。
Docker引用的生产力数据很直接:使用智能体的开发者合并的拉取请求数量增加了约60%。但这些收益只有在有人"放手"时才能实现。如果智能体每次执行shell命令都要等你批准,它无法交付代码。Sandboxes是Docker的一次押注:瓶颈从来不是智能体的能力——而是开发者放手的意愿。
Docker本质上在将"信任"商品化。不是在智能体内部构建防护栏(这会拖慢速度并产生虚假安全感),而是在外围划定硬边界。内部,智能体快速移动。外部,爆炸半径为零。