摘要：你让 AI Agent 执行代码，用什么隔离环境？ Docker。大多数人的第一反应。简单、轻量、大家都会用。 但你有没有想过，Docker 的隔离本质上是"共享内核"——所有容器跑在同一个 Linux 内核上，靠 Namespace 和 cgroup 做隔离。换句话说，如果一段 LLM 生成的恶意 阅读全文