LangChain、安全なAIエージェントコード実行のためのLangSmith Sandboxesをローンチ

Darius Baruo 2026/3/17 16:28

LangChainがLangSmith SandboxesをPrivate Previewで公開。AIエージェントが信頼できないコードを安全に実行できるmicroVM分離環境を提供。

LangChainはLangSmith SandboxesをPrivate Previewでリリースし、開発者にAIエージェントがホストインフラストラクチャを損なうことなくコードを実行できる分離環境を提供した。この機能にはmicroVM分離、永続的な状態管理、既存のLangSmith SDKとの統合が含まれている。

このタイミングは増大する課題に対応している。CursorからClaude Codeまでのコーディングエージェントは、AIが独自のコードを記述して実行できる可能性を実証してきた。しかし、その機能にはリスクが伴う。ClawSecureの調査によると、OpenClawスキルの41%にローカル環境で破壊的または悪意のあるアクションを実行する可能性のある脆弱性が含まれていることが判明した。

実際に提供されるもの

LangSmith Sandboxesは標準的なLinuxコンテナではなく、ハードウェア仮想化されたmicroVM上で動作する。これは意味のある違いである。従来のコンテナはホストカーネルを共有するが、microVMは各サンドボックスインスタンス間でカーネルレベルの分離を提供する。

開発者は単一のSDK呼び出しでサンドボックスを起動でき、プライベートレジストリから独自のDockerイメージを持ち込み、CPUとメモリ構成の再利用可能なテンプレートを定義できる。システムはプーリングと自動スケーリングをサポートし、事前にプロビジョニングされたウォームサンドボックスがコールドスタート遅延を排除し、負荷時に追加インスタンスが自動的に起動する。

長時間のエージェントタスクの場合、サンドボックスはリアルタイム出力ストリーミングで永続的なWebSocket接続を維持する。ファイル、インストールされたパッケージ、環境状態は実行間で引き継がれるため、エージェントは複数のインタラクション間でコンテキストを失わない。

セキュリティーは、サンドボックスランタイムに認証情報を公開することなく外部サービス呼び出しをルーティングする認証プロキシを通じて処理される。シークレットは実行環境に触れることがない。

フレームワークの柔軟性

LangChainはこれを自社のエコシステムを超えて機能するように構築した。PythonとJavaScriptのSDKはLangChainのDeep AgentsフレームワークとOpen SWEプロジェクトと統合されているが、サンドボックスは他のフレームワークまたはフレームワークなしでも機能する。

複数のエージェントがサンドボックスアクセスを共有できるため、分離された環境間でアーティファクトを転送する必要がない。トンネルはサンドボックスポートをローカルマシンに公開し、デプロイ前にエージェント出力をプレビューできる。

ロードマップ

LangChainは開発中のいくつかの機能を概説した。サンドボックス間の状態管理のための共有ボリューム、実行可能なプログラムを制限するバイナリ認証、VM内のすべてのプロセスとネットワーク呼び出しをログに記録する完全な実行トレースだ。

バイナリ認証部分は特に価値があることが証明される可能性がある。エージェントは頻繁に予期しない動作を示す。パッケージのインストール、認証情報のエクスポート、意図しないタスクでの計算リソースの消費などだ。バイナリレベルでの実行制限は、企業が企業デバイスをロックダウンする方法を反映している。

Private Previewに興味のある開発者は、LangChainのウェブサイトから待機リストに参加できる。同社は機能の優先順位付けについて、Slackコミュニティを通じてフィードバックを募集している。

• langchain
• AIエージェント
• langsmith
• コード実行
• 開発者ツール