# 分类：ai-systems-security

> 该分类下的文章按时间倒序排列，便于按主题继续深挖。

## 页面摘要
- 路径: /categories/ai-systems-security/
- 当前页: 1 / 1
- 文章总数: 9
- 当前页文章数: 9

## 快速导航
- [首页](/)
- [分类索引](/categories/)
- [归档索引](/archive/)

## 本页文章
### [设计一个安全、可审计的沙箱：在任意环境中隔离执行 Claude Code 与 Codex 生成的代码](/posts/2026/02/13/design-secure-auditable-sandbox-for-claude-codex-execution/)
- 日期: 2026-02-13T16:01:03+08:00
- 分类: [ai-systems-security](/categories/ai-systems-security/)
- 摘要: 针对 Claude Code 与 Codex 等 AI 代码生成代理，提出基于微虚拟机、gVisor 与 eBPF 审计的三层安全架构，给出资源限制、网络隔离与操作监控的可落地参数。

### [深入解析 Monty 安全沙盒的参数白名单：编译时验证与运行时限制的双重保障](/posts/2026/02/10/monty-secure-sandbox-parameter-whitelist-implementation/)
- 日期: 2026-02-10T20:26:50+08:00
- 分类: [ai-systems-security](/categories/ai-systems-security/)
- 摘要: 本文深入分析 Pydantic Monty 安全沙盒的参数白名单机制，探讨其如何通过编译时类型验证和运行时函数授权实现 AI 代码的强隔离，并提供工程化配置参数与监控要点。

### [Matchlock：为AI Agent构建细粒度可配置的Linux原生沙箱隔离层](/posts/2026/02/08/matchlock-linux-sandbox-isolation-ai-agent/)
- 日期: 2026-02-08T21:45:39+08:00
- 分类: [ai-systems-security](/categories/ai-systems-security/)
- 摘要: 分析Matchlock如何利用Firecracker微VM、Linux命名空间、seccomp-BPF和cgroups等技术栈，为AI Agent工作负载构建一个细粒度、可配置的沙箱隔离层，并给出工程实践中的配置参数与监控要点。

### [Monty 如何用 Rust 重构 CPython 解释器：内存安全与沙箱隔离的工程实践](/posts/2026/02/07/monty-rust-python-interpreter-security-parameters/)
- 日期: 2026-02-07T17:15:38+08:00
- 分类: [ai-systems-security](/categories/ai-systems-security/)
- 摘要: 深入分析 Monty 如何利用 Rust 的所有权模型和借用检查器重构 CPython 解释器核心，探讨其在 AI 工具链中实现内存安全沙箱的关键参数与工程落地指南。

### [公共安全系统中的AI幻觉检测：从West Midlands警察局长辞职事件看多层防御架构](/posts/2026/01/20/ai-hallucination-detection-public-safety-systems/)
- 日期: 2026-01-20T00:32:24+08:00
- 分类: [ai-systems-security](/categories/ai-systems-security/)
- 摘要: 分析West Midlands警察局长因AI幻觉辞职事件，设计公共安全系统中AI幻觉检测与缓解的多层防御架构，包括置信度校准、事实核查管道与人工监督集成。

### [vm0-ai沙箱零信任网络策略与微隔离实现](/posts/2026/01/19/vm0-ai-zero-trust-sandbox-microsegmentation-implementation/)
- 日期: 2026-01-19T23:02:34+08:00
- 分类: [ai-systems-security](/categories/ai-systems-security/)
- 摘要: 深入分析vm0-ai AI代理沙箱的零信任网络架构，聚焦微隔离实现、东西向流量监控与自动化策略执行的工程化参数与落地要点。

### [Mozilla Tabstack：为AI代理构建安全的浏览器基础设施沙箱机制](/posts/2026/01/16/mozilla-tabstack-ai-agent-browser-sandboxing-security-architecture/)
- 日期: 2026-01-16T03:02:35+08:00
- 分类: [ai-systems-security](/categories/ai-systems-security/)
- 摘要: 深入分析Mozilla Tabstack如何通过进程隔离、权限控制和资源限制等沙箱机制，为AI代理构建安全的浏览器基础设施，解决跨站点操作与间接提示注入等新型安全挑战。

### [代理沙箱运行时安全隔离架构：多层防护与工程化参数](/posts/2026/01/13/agent-sandbox-security-isolation-runtime-protection/)
- 日期: 2026-01-13T12:47:57+08:00
- 分类: [ai-systems-security](/categories/ai-systems-security/)
- 摘要: 深入分析代理沙箱的多层运行时安全隔离机制，对比 gVisor 与 Kata Containers 技术选型，提供可落地的工程化参数与监控策略。

### [AI编码代理的sudo权限安全沙箱架构设计](/posts/2026/01/13/ai-coding-agents-sudo-security-sandbox-architecture/)
- 日期: 2026-01-13T04:47:19+08:00
- 分类: [ai-systems-security](/categories/ai-systems-security/)
- 摘要: 针对AI编码代理需要sudo权限执行系统操作的安全挑战，设计多层容器化沙箱架构，实现文件系统隔离与精细化权限管理。