AI应用安全沙盒jail-ai：基于Seccomp与Cgroups的进程隔离实战

1. 项目概述：一个为AI应用打造的“安全沙盒”

最近在折腾AI应用开发，特别是涉及到模型推理、数据处理这些环节时，一个老生常谈的问题又浮出水面：安全与隔离。你肯定不希望一个实验性的AI脚本把整个开发环境搞崩，更不希望一个需要联网获取数据的模型训练任务，因为权限问题而泄露敏感信息。这时候，一个轻量、高效且易于管理的隔离环境就显得至关重要。这不，我在GitHub上发现了一个挺有意思的项目——cyrinux/jail-ai。

顾名思义，jail-ai是一个为AI应用设计的“监狱”或“沙盒”系统。它的核心目标不是限制AI的能力，而是为AI应用的运行提供一个可控、安全且资源受限的环境。想象一下，你正在测试一个刚写好的、会调用外部API并读写文件的AI智能体，直接在你的宿主机上跑，心里总有点发毛。万一代码有bug，或者模型行为不可预测，后果难以预料。jail-ai就像是给这个智能体准备了一个专属的“单间”，它在里面可以自由活动，但破坏力被限制在这个房间内，无法影响到外面的世界（你的主机系统）。

这个项目特别适合以下几类人：AI应用开发者，需要在安全环境下测试模型或智能体；研究人员，希望复现论文中的实验而不污染本地环境；以及任何对AI应用安全性有要求的运维或产品团队。它通过底层系统调用和资源限制技术，实现了对AI进程的深度管控，让我们在享受AI强大能力的同时，也能睡个安稳觉。

2. 核心设计思路：从“为什么需要隔离”到“如何实现隔离”

2.1 AI应用特有的安全挑战

为什么传统的虚拟化或容器方案有时仍感不足，而需要jail-ai这样的专门工具？这得从AI应用的工作模式说起。

首先，资源消耗的不可预测性。一个深度学习模型在推理时，其内存占用和CPU/GPU计算量可能因输入数据的不同而有巨大波动。一个设计不良的循环可能导致内存泄漏，瞬间吃光所有资源。其次，对系统调用的广泛依赖。AI应用不仅做计算，它可能需要读取训练数据、写入模型参数、下载预训练权重、甚至调用子进程执行其他任务。这些操作涉及文件系统、网络、进程管理等方方面面。再者，模型行为本身可能具有“探索性”。尤其是基于强化学习或具有工具调用能力的AI智能体，其代码逻辑可能会尝试执行一些开发者未曾预料到的系统操作。

基于这些挑战，jail-ai的设计目标非常明确：

1. 资源隔离与限制：严格控制CPU、内存、磁盘IO、网络带宽的使用上限，防止单个AI应用拖垮整个系统。
2. 系统调用过滤：并非所有系统调用都对AI应用是必要或安全的。jail-ai需要能够白名单或黑名单的方式，精细控制AI进程可以执行哪些系统调用。
3. 文件系统沙盒：为AI应用提供一个虚拟的、受限的文件系统视图。它只能看到和访问被允许的目录和文件，无法触及宿主机的敏感区域。
4. 网络访问控制：限制AI应用的网络连接，可以完全禁止，也可以只允许访问特定的域名或IP地址，防止数据外泄或进行未经授权的网络活动。
5. 轻量级与低开销：相比于启动一个完整的虚拟机，jail-ai需要足够轻量，以便能够快速启动和销毁，适合作为CI/CD流水线的一部分或进行高频测试。

2.2 技术选型：为什么是Seccomp、Namespaces和Cgroups？

jail-ai的实现基石是Linux内核提供的几项原生安全与隔离特性：Seccomp、Namespaces和Cgroups。选择它们，而不是从零造轮子，是出于性能和可靠性的深度考量。

Seccomp（Secure Computing Mode）：这是内核级别的系统调用过滤机制。你可以为进程设定一个“策略”，规定它只能使用哪些系统调用。一旦进程尝试执行不在名单内的系统调用，内核会直接终止它或返回错误。这对于限制AI应用的能力范围至关重要。例如，你可以禁止clone、fork这类创建进程的调用，也可以禁止mount、ptrace等危险操作。

Namespaces（命名空间）：它提供了系统资源的隔离视图。jail-ai主要会用到：

• PID namespace：让沙盒内的进程认为自己PID=1是init进程，看不到宿主机上的其他进程。
• Mount namespace：拥有独立的文件系统挂载点树。结合pivot_root或chroot，可以轻松构建一个专属的根文件系统。
• Network namespace：拥有独立的网络设备、IP地址、端口和路由表。这是实现网络隔离的关键。
• UTS namespace：可以拥有独立的主机名和域名。
• IPC namespace：隔离System V IPC和POSIX消息队列。
• User namespace：映射用户和组ID，实现用户权限的隔离，让沙盒内的root并非真正的root。

Cgroups（Control Groups）：这是资源控制的王牌。通过Cgroups v2，我们可以精确地：

• 限制CPU使用率（cpu.max）：例如，限制该组所有进程最多使用1个CPU核心的50%。
• 限制内存使用（memory.max）：设定硬性上限，超限则触发OOM（Out-Of-Memory）终止。
• 限制磁盘IO（io.max）：控制读写带宽和IOPS。
• 限制进程数量（pids.max）。

jail-ai的角色，就是将这些底层的、复杂的系统调用和配置，封装成一个简洁易用的命令行工具或API。开发者只需要关心“我要限制多少内存、允许访问哪些目录”，而不必去手动编写Seccomp配置文件或操作Cgroup文件系统。

注意：虽然Docker也大量使用了这些技术，但jail-ai的定位通常更轻量、更专注。Docker容器包含了完整的文件系统镜像和运行时，而jail-ai可能更倾向于从宿主机“借”用文件（通过绑定挂载），并施加更严格、更定制化的限制，特别针对AI进程的行为模式进行优化。

3. 核心功能拆解与配置实战

3.1 资源限额配置详解

假设我们要运行一个可能消耗大量内存的文本生成模型。我们使用jail-ai来创建一个沙盒环境。

首先，CPU限制。AI推理，尤其是大模型，是计算密集型任务。不加限制，它可能占满所有CPU核心，导致系统卡顿。通过Cgroups的cpu.max接口，我们可以进行两种限制：

1. 权重分配：在多个竞争CPU的沙盒间按比例分配。例如，设置cpu.weight为100，另一个沙盒为200，则它们获得的CPU时间比例约为1:2。
2. 带宽限制：更直接的方式是限制周期内的最大使用量。例如，cpu.max设置为50000 100000，表示每100毫秒（100000微秒）的周期内，最多使用50毫秒（50000微秒）的CPU时间，即限制为单核的50%。

对于内存，内存限制是防止OOM的关键。通过memory.max设置一个绝对值，比如2G。一旦进程组内存使用超过2GB，内核会尝试回收，如果失败则会终止组内最“占内存”的进程。对于AI应用，我们还需要关注memory.swap.max，通常建议设置为0，禁止使用交换分区，因为AI模型在swap上运行会极其缓慢，且失去限制的意义。

实操配置示例（假设使用jail-ai命令行）：

# 假设jail-ai命令格式为：jail-ai run [选项] -- <命令> jail-ai run \ --cpus 0.5 \ # 限制使用相当于0.5个CPU核心的计算能力 --memory 2g \ # 限制最大内存为2GB --memory-swap 2g \ # 总内存+交换分区不超过2GB（即禁用swap） --pids-limit 50 \ # 限制沙盒内最多只能有50个进程 -- python my_ai_agent.py

这里的参数是经过封装的，底层会转换成对应的Cgroups v2配置。--pids-limit是为了防止AI应用通过无限fork进程来绕过资源限制，这是一种重要的防御深度。

3.2 文件系统与网络沙盒构建

文件系统隔离是安全的核心。jail-ai通常会使用一个“根目录”作为沙盒的/。我们需要将必要的文件“映射”进去。

**绑定挂载（Bind Mount）**是最常用的技术。例如，你的AI模型和数据在宿主机/home/user/ai_project，你可以将其挂载到沙盒内的/workspace。

jail-ai run \ --mount type=bind,source=/home/user/ai_project,destination=/workspace,readonly=false \ --mount type=tmpfs,destination=/tmp \ # 使用内存盘作为/tmp，避免磁盘IO -- /bin/bash

在这个沙盒里，进程只能看到/workspace（你的项目）、/tmp（内存临时文件）以及一些必要的系统目录（如/dev,/proc，但通常也是经过过滤的）。它无法访问/etc/passwd、/home下的其他用户目录等。

重要心得：readonly选项要慎用。对于模型文件，可以设为readonly=true防止被篡改。但对于需要输出日志、缓存或临时文件的目录，必须设为readonly=false。一个最佳实践是遵循“最小权限原则”：只挂载必需的目录，并以最严格的权限（只读优先）挂载。

网络隔离提供了另一层防护。jail-ai可以创建独立的Network Namespace。

• --network none：完全禁用网络。适合纯离线计算的模型。
• --network host：与宿主机共享网络栈（慎用，隔离性降低）。
• 更精细的控制：可以创建虚拟网卡对（veth pair），一端在沙盒内，一端在宿主机上，然后通过宿主机上的防火墙规则（如iptables或nftables）来控制沙盒的出入站连接。例如，只允许访问特定的API端点（如api.openai.com:443）。

# 示例：允许网络，但通过白名单限制（此功能需jail-ai或配合外部工具实现） # 假设jail-ai支持简单的出站规则 jail-ai run \ --memory 1g \ --allow-outbound api.openai.com:443 \ --allow-outbound registry-1.docker.io:443 \ # 如果要从Docker Hub拉取模型 --deny-outbound all \ # 默认拒绝所有其他出站连接 -- python script_that_calls_openai.py

这种网络策略能有效防止AI应用将数据发送到未授权的服务器。

4. Seccomp策略：为AI定制系统调用白名单

这是jail-ai最体现其针对性的部分。一个通用的容器可能允许上百个系统调用，但对于一个特定的AI推理任务，它可能只需要几十个。

如何为AI应用定制Seccomp策略？

1. 监控学习：首先，可以在一个宽松的沙盒中运行你的AI应用，使用strace或seccomp的审计模式来记录它实际使用了哪些系统调用。

   strace -f -o ai_trace.log python my_ai_agent.py

   然后分析日志，提取出所有的syscall名称。
2. 构建基线白名单：基于Linux系统调用的分类，AI应用通常需要：
   • 文件操作：openat,read,write,close,fstat,lseek等。
   • 内存管理：mmap,munmap,mprotect,brk。
   • 进程控制：clone（用于创建线程）、execve（如果要运行子命令）、wait4。
   • 网络通信：socket,connect,sendto,recvfrom,bind（如果需要监听）。
   • 时间与随机数：clock_gettime,gettimeofday,getrandom。
   • 基础系统：exit_group,arch_prctl（x86_64架构需要）。
3. 排除危险调用：以下调用通常应被禁止：
   • ptrace：调试其他进程，极度危险。
   • mount/umount：挂载文件系统。
   • swapon/swapoff：操作交换空间。
   • reboot、kexec_load：重启或加载新内核。
   • iopl、ioperm：直接硬件端口访问。
   • clone带有CLONE_NEW*标志（创建新的namespace，可能用于逃逸）。

jail-ai可能会内置一个针对常见AI运行时（如Python、PyTorch、TensorFlow）优化过的默认Seccomp配置文件。但高级用户可以提供自定义的JSON格式策略文件。

示例策略片段（概念性）：

{ "defaultAction": "SCMP_ACT_ERRNO", "architectures": ["SCMP_ARCH_X86_64"], "syscalls": [ { "names": ["read", "write", "openat", "close"], "action": "SCMP_ACT_ALLOW" }, { "name": "clone", "action": "SCMP_ACT_ALLOW", "args": [ {"index": 0, "value": 211, "op": "SCMP_CMP_EQ"} // 只允许创建线程的标志 ] }, // ... 其他允许的调用 ] }

这个策略的意思是：默认情况下，所有未明确列出的系统调用都将返回错误（EPERM）；只允许列出的几个调用；并且对clone调用做了参数检查，只允许用于创建线程（标志位为211，即SIGCHLD），而不允许创建新进程或新的namespace。

5. 实战部署：从安装到运行你的第一个AI沙盒

5.1 环境准备与安装

jail-ai作为一个系统级工具，对宿主机环境有一定要求：

• Linux内核：版本建议≥5.10，以完整支持Cgroups v2和最新的Namespaces特性。使用uname -r检查。
• 依赖工具：需要gcc、make、libseccomp-dev等开发工具和库。
• 权限：大部分操作需要root权限，因为它涉及内核特性的调用。通常通过sudo来运行，或者将执行用户加入特定的特权组。

安装过程通常很简单，如果项目提供了预编译二进制包，直接下载即可。如果是源码安装：

git clone https://github.com/cyrinux/jail-ai.git cd jail-ai make sudo make install # 将安装jail-ai可执行文件到系统路径

安装后，运行jail-ai --version或jail-ai --help验证是否成功。

5.2 运行一个简单的Python AI脚本

让我们从一个最简单的例子开始：运行一个计算密集型的Python脚本（模拟AI推理）。

宿主机构建测试环境：

# 创建一个测试目录和脚本 mkdir ~/ai_test && cd ~/ai_test cat > compute.py << 'EOF' import time import numpy as np print("AI沙盒测试开始...") # 模拟一个耗内存和CPU的计算 data = np.random.rand(10000, 10000).astype(np.float32) for i in range(5): result = np.linalg.norm(data, axis=1) print(f"迭代 {i+1} 完成") time.sleep(0.5) print("测试完成。") EOF

使用jail-ai运行并施加限制：

# 限制CPU为单核的25%，内存为512MB，运行10秒后超时 sudo jail-ai run \ --cpus 0.25 \ --memory 512m \ --timeout 10s \ --mount type=bind,source=$HOME/ai_test,destination=/app,readonly=true \ -- python /app/compute.py

关键参数解析：

• --cpus 0.25：告诉Cgroups，该进程组最多使用0.25个CPU核心的算力。如果你的脚本是单线程的，它最多只能跑到25%的CPU利用率；如果是多线程，总和不超过25%。
• --memory 512m：硬性内存上限。如果脚本的numpy数组分配超过512MB，进程会被OOM Killer立即终止。
• --timeout 10s：这是一个由jail-ai自身实现的运行时间限制。即使进程没有崩溃，10秒后也会被强制停止。这对于防止死循环或长时间阻塞的任务非常有用。
• --mount ... readonly=true：将宿主机的~/ai_test目录以只读方式挂载到沙盒内的/app路径。脚本可以读取compute.py，但无法修改它或在该目录下创建新文件。

运行这个命令，你可能会看到输出进行到一半就停止了（因为计算量太大，在限制下10秒内无法完成），或者如果内存超过512MB，会直接收到一个内存错误。这正证明了限制在起作用。

5.3 运行一个需要网络和文件输出的复杂AI智能体

现在来看一个更真实的场景：一个AI智能体需要从网络下载数据，处理后再输出到文件。

准备脚本(smart_agent.py)：

import requests import json import os def main(): # 1. 从网络获取数据（模拟调用API） print("正在从API获取数据...") try: # 这里用一个公开的测试API代替 resp = requests.get('https://httpbin.org/json', timeout=5) data = resp.json() print(f"获取到数据，标题: {data.get('slideshow', {}).get('title', 'N/A')}") except Exception as e: print(f"网络请求失败: {e}") return # 2. 处理数据（模拟AI推理） processed_result = {"status": "processed", "original_title": data.get('slideshow', {}).get('title')} # 3. 将结果写入文件 output_path = "/output/result.json" print(f"正在写入结果到 {output_path}...") try: with open(output_path, 'w') as f: json.dump(processed_result, f, indent=2) print("写入成功。") except Exception as e: print(f"文件写入失败: {e}") if __name__ == "__main__": main()

创建输出目录并运行：

# 在宿主机上创建输出目录，所有权可能因jail-ai使用的用户映射而变，先创建好 mkdir -p ~/ai_output && chmod 777 ~/ai_output # 简化权限，生产环境应更精细 sudo jail-ai run \ --cpus 1.0 \ --memory 1g \ --mount type=bind,source=$HOME/ai_test,destination=/app,readonly=true \ --mount type=bind,source=$HOME/ai_output,destination=/output,readonly=false \ --allow-outbound httpbin.org:443 \ --deny-outbound all \ --user 1000:1000 \ # 以宿主机UID 1000运行，方便文件权限管理 -- python /app/smart_agent.py

这次配置的进阶点：

1. 双绑定挂载：一个只读挂载源代码(/app)，一个读写挂载输出目录(/output)。
2. 网络白名单：--allow-outbound httpbin.org:443只允许向https://httpbin.org建立TLS连接（端口443）。脚本中对其他任何地址的requests.get()都会失败。
3. 用户映射：--user 1000:1000让沙盒内的进程以UID/GID 1000运行，这样在沙盒内创建的文件(/output/result.json)，在宿主机上查看时，所有者就是你的普通用户，避免了权限混乱。
4. 更宽松的资源限制：给了1个CPU核心和1GB内存，足以应对这个简单脚本。

运行后，检查~/ai_output/result.json，应该能看到处理后的JSON内容。这个例子展示了如何为一个需要特定网络访问和文件输出的AI任务，构建一个既安全又实用的沙盒。

6. 深入排查：常见问题与性能调优

6.1 权限问题深度解析

在沙盒中运行应用，权限是最容易踩坑的地方。问题通常表现为“Permission denied”错误。

案例一：文件写入失败

• 现象：AI脚本在沙盒内无法向挂载的目录写入文件。
• 排查：
  1. 检查挂载参数：确保目标挂载点使用了readonly=false。
  2. 检查用户映射：使用--user参数时，确保指定的UID/GID在宿主机上对源目录有写权限。例如，--user 1000:1000要求宿主机上/home/user/ai_output的权限允许UID 1000写入。
  3. 检查挂载点所有权：在沙盒内，挂载目录的文件所有权由宿主机决定。如果宿主机目录属于root，而沙盒以非root用户运行，则无法写入。解决方法：在宿主机上chown该目录给相应用户，或在运行jail-ai时使用--user root（但会降低安全性）。

案例二：无法创建进程或线程

• 现象：使用PyTorch的DataLoader（多进程加载数据）时失败。
• 排查：
  1. 检查Seccomp策略：clone或fork系统调用是否被允许？jail-ai的默认策略可能禁止或限制了进程创建。
  2. 检查Cgroups的pids.max限制：是否设置得过低，导致无法创建新的进程/线程？
  3. 检查用户命名空间映射：在某些配置下，没有足够的权限映射可能导致clone失败。

解决方案：对于需要多进程的AI任务，运行jail-ai时需要明确允许进程创建，并设置合理的PID限制。

sudo jail-ai run \ --pids-limit 100 \ # 允许足够多的子进程 --seccomp-policy relaxed \ # 使用更宽松的Seccomp策略，允许clone/fork -- python train_with_dataloader.py

6.2 网络连接故障排查

网络隔离配置错误会导致AI应用无法访问外部服务。

诊断步骤：

1. 确认基础连通性：首先尝试使用--network host模式运行，如果此时能正常访问网络，则问题出在隔离配置上；如果仍不能，则是脚本或环境问题。
2. 检查DNS：沙盒内的DNS解析依赖于宿主机。确保沙盒内/etc/resolv.conf被正确挂载或生成。有时需要挂载宿主机的/etc/resolv.conf。

   --mount type=bind,source=/etc/resolv.conf,destination=/etc/resolv.conf,readonly=true

3. 验证防火墙/出站规则：如果使用了--allow-outbound，仔细检查域名和端口是否正确。注意，它只控制TCP/UDP连接，不负责DNS解析。如果域名需要解析，必须允许DNS查询（通常是到宿主机DNS服务器端口53的UDP/TCP连接）。
4. 使用沙盒内调试工具：在构建沙盒时，可以包含一个简单的网络调试工具，如busybox。

   sudo jail-ai run \ --allow-outbound 8.8.8.8:53 \ --allow-outbound google.com:443 \ -- /bin/sh -c "nslookup google.com && wget -O- https://google.com"

6.3 性能开销评估与优化

任何隔离技术都会带来性能开销。jail-ai的开销主要来自：

1. 系统调用拦截（Seccomp）：每次系统调用都需要经过策略过滤。对于高频系统调用（如read/write），这可能带来微小的延迟。优化方法是保持策略精简，只允许必要的调用。
2. 上下文切换：如果使用了独立的Network Namespace，网络数据包需要在内核和虚拟网络接口间多一次转发。对于高吞吐量的网络IO，这可能成为瓶颈。对于纯计算型AI任务，影响很小。
3. Cgroups资源统计：内核需要持续跟踪进程组的资源使用情况，这有极小的CPU开销。

如何评估？使用相同的AI负载，分别在原生环境和jail-ai沙盒中运行，对比总执行时间、CPU使用率和内存占用。对于计算密集型任务（如模型训练），开销通常可以忽略不计（<1%）。对于超高频率、微秒级延迟的系统调用密集型任务，可能需要测试。

优化建议：

• 避免过度限制：不要为了“绝对安全”而禁止所有非必要系统调用。可以先从宽松策略开始，通过监控（strace）收紧。
• 使用tmpfs：对于AI训练中产生的大量临时文件（如缓存），将其目录挂载为tmpfs（内存文件系统）可以极大提升IO速度，并减少对硬盘的磨损。

  --mount type=tmpfs,destination=/tmp,tmpfs-size=1G

• 合理设置CPU配额：如果AI任务是CPU绑定的，且你希望它充分利用资源，不要设置过低的--cpus值。可以设置为略低于物理核心数，以避免影响系统其他服务。

7. 高级应用场景与集成方案

7.1 在CI/CD流水线中集成jail-ai

持续集成/持续部署（CI/CD）是jail-ai大显身手的场景。你可以在GitLab CI、GitHub Actions或Jenkins中，使用jail-ai来运行不可信的CI任务，比如运行用户提交的AI模型测试代码。

优势：

• 安全：防止恶意CI脚本破坏Runner主机或窃取密钥。
• 环境一致性：与Docker类似，但更轻量，启动更快。
• 资源管控：精确限制每个CI任务使用的资源，防止某个任务耗尽整个Runner的资源。

GitHub Actions示例：

jobs: test-ai-model: runs-on: ubuntu-latest steps: - uses: actions/checkout@v4 - name: Install jail-ai run: | wget https://github.com/cyrinux/jail-ai/releases/latest/download/jail-ai-linux-amd64 -O /tmp/jail-ai chmod +x /tmp/jail-ai sudo mv /tmp/jail-ai /usr/local/bin/ - name: Run tests in sandbox run: | sudo jail-ai run \ --cpus 2 \ --memory 4g \ --timeout 5m \ --mount type=bind,source=${{ github.workspace }},destination=/code,readonly=true \ --workdir /code \ -- python -m pytest tests/

这个工作流会在一个受限的沙盒中运行Pytest测试，最多使用2个CPU核心、4GB内存，并在5分钟后超时。即使测试代码有问题，也不会影响Runner本身。

7.2 作为AI SaaS平台的后端执行引擎

如果你在构建一个提供AI模型即服务（AIaaS）或AI智能体运行平台的SaaS产品，jail-ai可以作为核心的安全执行引擎。

架构设想：

1. API网关接收用户请求（如“运行这个模型处理这些数据”）。
2. 调度器选择一个有资源的Worker节点。
3. Worker节点上，后端服务（用Go/Python编写）调用jail-ai命令行或库，动态生成一个沙盒配置（根据用户套餐设置CPU/内存限制）。
4. jail-ai启动沙盒，在内部运行用户的AI代码或模型推理服务。
5. 执行结果（输出文件、日志）被保存在沙盒的挂载目录中，由后端服务读取并返回给用户。
6. 任务结束，沙盒被清理，所有资源释放。

关键考量：

• 配置动态化：需要能够根据API请求参数，动态生成jail-ai的命令行参数或配置文件。
• 资源回收：必须确保沙盒进程被完全终止，对应的Cgroups被删除，避免资源泄漏。
• 日志收集：需要将沙盒内的stdout/stderr以及可能产生的日志文件重定向到中心化的日志系统。
• 用户数据隔离：不同用户的沙盒必须使用完全独立的挂载目录，绝不能交叉访问。

7.3 与容器技术（Docker）的对比与协同

很多人会问，有了Docker，为什么还需要jail-ai？

协同工作模式：它们不是互斥的，而是可以叠加使用。一种强大的模式是：在Docker容器内部使用jail-ai。

1. 你首先用一个Docker镜像来提供稳定、一致的AI开发环境（如PyTorch、CUDA、所有依赖包）。
2. 在这个Docker容器内部，当你需要运行用户提交的、可能不安全的AI脚本时，再调用容器内安装的jail-ai，为该脚本创建一个更深层次的沙盒。
3. 这样，你既享受了Docker的环境一致性，又获得了jail-ai的进程级强隔离和精细控制。

这种“双层隔离”策略，为运行第三方AI代码提供了极高的安全性保障。