- O que é um sandbox de agente de codificação?
- Arquitetura de sandbox para agente de codificação
- Como o acesso ao terminal deve funcionar em um sandbox de agente de codificação?
- Isolamento de repositório e controle de branch para alterações do agente
- Políticas de comando, pacote e rede para agentes de codificação em sandbox
- Segredos, logs e trilhas de auditoria para workspaces de agente
- Diffs, previews e portões de revisão antes do merge
- Estratégia de limpeza e reinicialização para sessões longas de agente
- Onde o Novita Agent Sandbox se encaixa neste fluxo de trabalho
- Checklist de implementação de sandbox para agente de codificação
- FAQ
Execute um agente de codificação em um sandbox fornecendo a ele um espaço de trabalho de repositório com escopo definido, um caminho de execução de terminal controlado, permissões explícitas de arquivos, políticas de rede e instalação de pacotes, segredos isolados, logs de comandos, artefatos e um caminho de aprovação claro para alterações de alto risco antes do merge ou deployment. Esse padrão funciona independentemente de o agente ser estilo Codex, conectado à IDE, acionado por CI ou incorporado à sua própria plataforma de desenvolvedor: o modelo pode planejar e editar, mas o sandbox decide o que ele pode tocar, o que pode executar, o que pode buscar e quais evidências um revisor recebe.
O que é um sandbox de agente de codificação?
Um sandbox de agente de codificação é um runtime isolado onde um sistema de IA pode inspecionar código, editar arquivos, executar comandos de terminal, instalar dependências quando a política permitir, executar testes, iniciar servidores de preview e retornar um diff revisável sem obter acesso amplo à máquina do desenvolvedor ou ao ambiente de produção.
A mudança importante é que o sandbox não é apenas um wrapper de chat em torno de um modelo. Ele é o limite operacional para o trabalho. O modelo propõe ações; o sandbox impõe o espaço de trabalho, as ferramentas, as permissões e o rastro de evidências.
Para um assistente de código simples, um checkout local e copiar-colar manual pode ser suficiente. Para um agente que pode executar comandos ou continuar por muitas etapas, você precisa de limites mais fortes:
- Um espaço de trabalho dedicado para cada tarefa ou sessão.
- Um estado de repositório e branch conhecidos.
- Uma interface de execução de comandos com aprovações para operações arriscadas.
- Uma política de instalação de pacotes para
npm,pip,cargo,apte ferramentas similares. - Regras de egresso de rede para registries, documentações, APIs e acesso a previews.
- Segredos com escopo na tarefa e ocultados dos logs sempre que possível.
- Saída padrão capturada (stdout, stderr), códigos de saída, alterações de arquivos, artefatos gerados e URLs de preview.
- Um portão de revisão antes de merge, deployment ou lançamento externo.
É por isso que “executar o Codex em um sandbox” deve ser entendido como um padrão de infraestrutura, não uma única flag de CLI ou integração de um fornecedor. O próprio Codex CLI é documentado como um agente de codificação que roda localmente no seu computador, e a documentação do Codex da OpenAI descreve um fluxo de trabalho orientado a terminal. Se você opera esse tipo de agente para uma equipe, sistema de CI ou fluxo de produto, o ambiente de execução ao redor se torna o plano de controle.
Arquitetura de sandbox para agente de codificação
A arquitetura mais limpa separa o loop do modelo do limite de execução:
| Camada | Responsabilidade | Perguntas a responder |
|---|---|---|
| Interface do agente | Transforma a intenção do usuário em planos, edições de arquivos, chamadas de ferramentas e resumos de revisão | Qual modelo ou agente de codificação é usado? Como os prompts, contexto e esquemas de ferramentas são gerenciados? |
| Gerenciador do espaço de trabalho | Cria o sandbox, faz checkout do repositório, define o branch e monta os arquivos permitidos | Cada tarefa está isolada? O commit base é conhecido? O espaço de trabalho pode ser reiniciado? |
| Executor de terminal | Executa comandos aprovados e transmite os resultados de volta ao agente | Quais comandos são permitidos automaticamente, exigem aprovação ou são bloqueados? |
| Camada de política | Controla escopo do sistema de arquivos, segredos, egresso de rede, instalação de pacotes, limites de runtime e limpeza | O agente pode buscar pacotes? Ele pode acessar a internet pública? Ele pode ler credenciais? |
| Camada de evidências | Armazena logs, diffs, resultados de testes, previews e artefatos | Um revisor pode reconstruir o que aconteceu sem confiar no resumo do modelo? |
| Portão de revisão | Exige uma etapa humana ou de automação confiável antes de merge, publicação ou deployment | Quem aprova mudanças arriscadas? Quais verificações devem passar primeiro? |
Na prática, uma única plataforma pode combinar várias dessas camadas. A arquitetura ainda importa porque mantém as escolhas de produto honestas. Se uma ferramenta dá a um agente um terminal mas não consegue mostrar logs de comandos, diffs de arquivos ou política de egresso, ela pode ser conveniente para prototipagem, mas insuficiente para revisão em produção.
Como o acesso ao terminal deve funcionar em um sandbox de agente de codificação?
O terminal é onde um agente de codificação se torna operacionalmente útil e operacionalmente arriscado. Ele pode executar testes, compilar assets, inspecionar arquivos gerados, iniciar servidores locais e diagnosticar falhas. Ele também pode excluir arquivos, vazar variáveis de ambiente, executar scripts de instalação inesperados ou consumir grandes recursos de computação.
Um bom modelo de terminal tem três partes.
Primeiro, defina classes de comando. Comandos seguros somente leitura, como ls, sed, rg, git diff e comandos de status de teste, podem geralmente ser executados automaticamente. Comandos de build e teste, como npm test, pytest, cargo test e npm run build, podem ser permitidos com timeouts. Comandos destrutivos ou com impacto externo, como rm -rf, git push, gh pr merge, CLIs de deployment, publicação de pacotes, migração de banco de dados ou mutação de recursos em nuvem, devem exigir aprovação explícita ou ser bloqueados completamente.
Segundo, transmita resultados com estrutura. O agente e o revisor devem ver comando, diretório de trabalho, hora de início, código de saída, stdout, stderr, estado de timeout e política de saída truncada. Uma captura de tela de terminal não é suficiente; o sistema deve preservar logs legíveis por máquina.
Terceiro, lide com sessões de longa duração deliberadamente. Agentes de codificação frequentemente precisam de um servidor de desenvolvimento em segundo plano, watcher, processo de automação de navegador ou stack de teste de integração. Trate processos de longa duração como recursos com handles: inicie-os, transmita logs, exponha apenas a porta de preview necessária e pare-os durante a limpeza. Não deixe que um processo em segundo plano se torne um efeito colateral não rastreado de uma sessão de chat.
Isolamento de repositório e controle de branch para alterações do agente
O estado do repositório é a espinha dorsal de um fluxo de trabalho revisável de agente de codificação. O agente não deve trabalhar em uma pasta ambígua com edições locais desconhecidas, a menos que o usuário tenha escolhido explicitamente esse modo.
Para fluxos de trabalho em equipe, comece cada tarefa a partir de uma URL de repositório, branch base e SHA de commit conhecidos. Crie um branch de tarefa ou workspace destacado. Mantenha as alterações do usuário separadas das alterações do agente e capture o diff exato antes da revisão. Se o sandbox suportar sessões persistentes, persista o workspace intencionalmente; não dependa do estado acidental do processo.
O padrão padrão se parece com isto:
1. Crie um workspace isolado para a tarefa-123.
2. Faça checkout do repositório em main@<sha_base>.
3. Crie o branch agent/tarefa-123.
4. Execute a instalação de dependências de acordo com a política.
5. Deixe o agente inspecionar, editar, testar e iterar.
6. Capture o git diff, a saída dos testes, os artefatos gerados e a URL de preview.
7. Abra um pull request ou entregue o patch a um revisor humano.
8. Destrua ou arquive o workspace de acordo com a política de retenção.
O detalhe chave é o passo 6. Um agente de codificação útil não diz apenas “Eu consertei”. Ele retorna os arquivos alterados, por que cada alteração existe, qual validação foi executada, o que falhou e o que permanece não verificado.
Políticas de comando, pacote e rede para agentes de codificação em sandbox
Instalações de pacotes são uma das partes mais difíceis do sandboxing de agentes de codificação. Muitas tarefas reais precisam de dependências. Muitos incidentes na cadeia de suprimentos também começam com busca de dependências, scripts pós-instalação ou binários opacos.
Uma política prática não é “nunca instale pacotes”. É “instale pacotes apenas por caminhos conhecidos, com registro e escopo”.
| Controle | Implementação prática |
|---|---|
| Gerenciadores de pacotes | Decida quais gerenciadores de pacotes estão disponíveis por linguagem e tipo de repositório. |
| Acesso a registries | Permita registries aprovados; bloqueie fontes de pacotes arbitrárias quando a tarefa não precisar delas. |
| Lockfiles | Prefira lockfiles existentes e comandos de instalação reproduzíveis. |
| Scripts pós-instalação | Decida se scripts de ciclo de vida podem ser executados automaticamente ou exigem aprovação. |
| Pacotes do sistema | Trate instalações de apt, brew e pacotes do SO como de risco maior do que instalações de dependências de projeto. |
| Caches | Use caches de pacotes controlados quando precisar de velocidade e reprodutibilidade. |
| Logs | Armazene nomes de pacotes, versões, URLs de registries, checksums quando disponíveis e saída da instalação. |
A política de rede deve ser igualmente explícita. Um agente de codificação pode precisar ler documentação pública, chamar uma API de staging, baixar um pacote ou expor um preview local. Esses são diferentes de acesso irrestrito à internet. Separe as buscas de pacotes de saída, navegação na web, chamadas de API, entrega de webhooks e entrada de preview. Se seu produto lida com código ou dados sensíveis, pergunte se DNS, logs de proxy e mirrors de registries são cobertos pela mesma política que o tráfego HTTP.
Segredos, logs e trilhas de auditoria para workspaces de agente
Os segredos devem ter o menor escopo útil possível. Um agente de codificação normalmente não precisa de credenciais de produção. Ele pode precisar de um token Git somente leitura, um token de registry de pacotes, uma chave de API de staging ou um token de deployment de preview. Cada um deve ter escopo de tarefa, prazo limitado quando possível e não estar disponível para comandos que não o exigem.
Evite colocar segredos em arquivos que o agente possa ler, a menos que a tarefa realmente exija. Prefira acesso intermediado: o sandbox pode realizar uma operação, mas o modelo não vê a credencial bruta. Quando variáveis de ambiente forem necessárias, os logs devem ocultar padrões de segredos conhecidos, e os artefatos do revisor não devem incluir dumps completos do ambiente.
Para trilhas de auditoria, armazene mais do que o patch final:
- Solicitação do usuário e metadados da tarefa.
- URL do repositório, commit base, branch e commit final ou diff.
- Comandos solicitados, aprovados, bloqueados e executados.
- Saídas dos comandos, códigos de saída e timeouts.
- Leituras e gravações de arquivos quando a plataforma puder capturá-las.
- Registros de rede e busca de pacotes no nível que sua política suportar.
- URLs de preview e caminhos de artefatos gerados.
- Aprovações humanas e decisões de merge.
Isso não é burocracia. É como um revisor distingue uma correção real de uma história plausível.
Diffs, previews e portões de revisão antes do merge
A saída mais útil de um agente de codificação é um conjunto de alterações revisável. Isso significa que o sandbox deve produzir os mesmos artefatos que um engenheiro cuidadoso esperaria de um pull request:
- Um diff focado.
- Testes ou comandos de build que foram executados.
- Falhas que permanecem.
- Capturas de tela, URLs de preview ou arquivos para download quando a interface do usuário ou assets gerados foram alterados.
- Uma breve explicação da mudança de comportamento pretendida.
Mantenha o merge ou deployment final atrás de um portão controlado por humano, a menos que sua organização tenha construído uma política de automação confiável separada para esse repositório e nível de risco exatos. A revisão humana é especialmente importante quando as alterações tocam em autenticação, faturamento, acesso a dados, chamadas de rede, infraestrutura, versões de dependências, migrações geradas ou conteúdo visível ao usuário.
O tratamento de preview merece sua própria regra: exponha apenas o serviço e a porta necessários para revisão. Um sandbox que inicia um aplicativo web deve dar aos revisores uma URL de preview com escopo, não acesso amplo de rede ao workspace.
Estratégia de limpeza e reinicialização para sessões longas de agente
Todo sandbox precisa de um ciclo de vida. Sem um, a infraestrutura de agente de codificação de longa duração se torna uma pilha de workspaces obsoletos, logs vazados e processos ainda em execução.
Para tarefas curtas, um modelo efêmero funciona bem: crie um sandbox, execute o trabalho, extraia artefatos e destrua-o. Para tarefas maiores, a persistência pode ser valiosa: o agente pode precisar pausar, aguardar revisão, retomar do mesmo branch ou manter um servidor de desenvolvimento em execução durante uma sessão de revisão. A persistência deve ser um recurso explícito do produto, com regras de expiração, proprietário e retenção.
Defina a limpeza para:
- Processos em segundo plano e portas abertas.
- Arquivos temporários e saídas de build.
- Caches de pacotes e arquivos baixados.
- Segredos com escopo de tarefa.
- Logs e artefatos.
- Branches ou worktrees que foram substituídos.
A reinicialização é igualmente importante. Um revisor deve poder reexecutar a validação do agente a partir do commit base ou do branch final. Se o resultado só funciona por causa de estado invisível dentro de uma sessão de longa duração, o fluxo de trabalho é difícil de confiar.
Onde o Novita Agent Sandbox se encaixa neste fluxo de trabalho
O Novita Agent Sandbox é projetado para infraestrutura de agente onde execução de código, automação de navegador, fluxos de trabalho estilo computer-use, análise de dados, avaliações e fluxos de agente de maior duração precisam de um runtime isolado. A documentação do Novita Agent Sandbox descreve o produto como um ambiente stateful para executar cargas de trabalho de agente, com caminhos de SDK e CLI para trabalhar com ciclo de vida do sandbox, arquivos, comandos, sessões de navegador e primitivas de fluxo de trabalho relacionadas.
Para equipes que já usam as APIs de modelo da Novita AI, uma camada de sandbox pode reduzir a lacuna entre a inferência do modelo e a execução da ação. O modelo pode raciocinar, chamar ferramentas e planejar mudanças de código; o sandbox pode fornecer o workspace isolado onde essas ações são executadas, registradas, visualizadas em preview e revisadas.
Use limites de produto conservadores ao projetar seu fluxo de trabalho:
- Trate o Novita Agent Sandbox como o ambiente de execução, não como uma garantia de segurança abrangente.
- Mantenha segredos, instalações de pacotes, egresso e ações de publicação atrás de sua própria política.
- Valide detalhes atuais de SDK, CLI, preços e limites de conta na documentação da Novita antes de codificá-los em automação de produção.
- Avalie os limites de isolamento, compatibilidade com agentes de terceiros e requisitos de conformidade em relação à sua própria política antes de confiar em qualquer sandbox em produção.
Essa separação mantém a orientação de implementação útil mesmo quando a camada do agente muda. Você pode usar agentes estilo Codex, agentes de codificação internos, agentes de navegador ou workers de avaliação, mantendo as mesmas perguntas de controle de sandbox.
Checklist de implementação de sandbox para agente de codificação
Use este checklist antes de mover um sandbox de agente de codificação além de um protótipo.
| Área | Pergunta mínima para produção |
|---|---|
| Workspace | Cada tarefa recebe um sistema de arquivos com escopo e um commit base de repositório conhecido? |
| Branching | As alterações do agente estão isoladas em um branch ou patch que os revisores podem inspecionar? |
| Terminal | Os comandos são registrados com diretório de trabalho, saída, código de saída e timeout? |
| Aprovação | Quais comandos são executados automaticamente, exigem aprovação ou são bloqueados? |
| Pacotes | As instalações de dependências são reproduzíveis e registradas? |
| Rede | O egresso é separado entre buscas de pacotes, navegação em documentação, chamadas de API e acesso a previews? |
| Segredos | As credenciais têm escopo de tarefa e são ocultadas dos logs? |
| Previews | As portas de preview são explícitas e fáceis de desligar? |
| Artefatos | Arquivos gerados, capturas de tela, relatórios e logs são anexados à revisão? |
| Persistência | A pausa/retomada da sessão é intencional, com proprietário e expiração? |
| Limpeza | Processos, portas, arquivos temporários, segredos e workspaces obsoletos são removidos? |
| Revisão | Um humano aprova merge, publicação ou deployment para alterações arriscadas? |
Se sua configuração atual não conseguir responder a várias dessas perguntas, mantenha o fluxo de trabalho em uma faixa de protótipo. O agente ainda pode ser útil, mas não deve receber acesso amplo a repositório, rede ou credenciais.
FAQ
Posso executar o próprio Codex dentro de um sandbox na nuvem?
Conceitualmente, sim: um agente de codificação de terminal pode ser executado dentro de um workspace isolado se o ambiente suportar o sistema operacional, o caminho de autenticação, o I/O do terminal, o acesso ao sistema de arquivos e o acesso de rede que o agente exige. Não presuma uma integração oficial ou compatibilidade total a menos que o provedor de sandbox e o provedor do agente documentem isso para sua configuração exata.
O Docker é suficiente para um sandbox de agente de codificação?
O Docker pode ser útil para desenvolvimento local, trabalhos de CI e ambientes reproduzíveis, mas “suficiente” depende do seu modelo de ameaça. Pergunte o que compartilha um kernel, quais montagens de arquivo existem, como o egresso de rede é controlado, se os segredos são expostos ao contêiner e como fugas ou comprometimento de dependências seriam tratados. Para cargas de trabalho sensíveis, as equipes de segurança geralmente avaliam limites de isolamento mais fortes e controles de egresso mais rigorosos.
Um agente de codificação deve ter acesso à internet?
Somente quando a tarefa precisar, e apenas através de uma política que você possa explicar. Consulta de documentação, acesso a registries de pacotes, chamadas de API de staging e navegação arbitrária são permissões diferentes. Registre o que o agente buscou, mantenha as instalações de pacotes reproduzíveis e evite dar acesso à rede de produção para uma sessão de codificação de uso geral.
O que um revisor deve examinar antes de fazer merge do código gerado pelo agente?
Revise o diff, os comandos que foram executados, a saída de teste/build, as alterações de dependências, os artefatos gerados, o comportamento do preview e qualquer validação ignorada. Preste atenção extra a autenticação, permissões, manipulação de dados, chamadas de rede, migrações, scripts de instalação e segredos.
Como a Novita ajuda com sandboxes para agentes de codificação?
O Novita Agent Sandbox fornece um runtime de agente isolado para cargas de trabalho como execução de código, automação de navegador, tarefas estilo computer-use, análise de dados, avaliações e fluxos de trabalho de maior duração. Combine-o com políticas explícitas de repositório, comando, pacote, rede, segredos e revisão ao construir um fluxo de trabalho de agente de codificação.
Artigos recomendados
