在 AI Agent 的架构演进中,核心挑战之一是如何安全地执行由大语言模型(LLM)动态生成的 Python 代码。传统的方案往往依赖于容器(如 Docker)或重量级的沙箱工具(如 nsjail),但这些方案存在显著的冷启动延迟(通常在百毫秒级别),并且在资源消耗上对于高频调用的 Agent 场景来说显得过于笨重。Pydantic 推出的 Monty 项目正是为了解决这一痛点:它是一个用 Rust 编写的极简、安全的 Python 子集解释器,专为运行 AI 生成的代码而设计,启动时间仅为微秒级。本文将深入探讨 Monty 的核心设计理念,特别是其参数白名单与外部函数隔离机制,为构建下一代 AI Agent 提供可落地的工程参考。
一、为何需要解释器级沙箱:从容器瓶颈到代码注入风险
在传统的 AI Agent 实现中,如果需要让 LLM 执行一段计算逻辑,通常有两种选择。第一种是利用 LLM 本身的多模态能力或思维链(CoT)进行 “伪计算”,这种方法在处理复杂数据结构时力不从心。第二种是调用外部工具(Tool Calling),即预定义好 API 让 LLM 去触发。然而,介于这两者之间,存在着一种更灵活的需求:让 LLM 编写并执行一段小型的 Python 脚本,用以完成数据清洗、列表推导、数学计算或简单的流程控制。
对于这种需求,如果不加防护地直接使用 Python 的 eval() 或 exec(),无异于在宿主系统上打开了一扇通往灾难的大门。恶意代码可以通过这些函数访问文件系统(open('/etc/passwd'))、读取环境变量(os.environ['API_KEY']),甚至尝试调用子进程执行系统命令。这显然是不可接受的。
因此,我们需要在隔离性与性能之间找到平衡。传统的容器级隔离(如 Docker)虽然安全,但它带来了不可忽视的运维成本:镜像构建、分发、启动时的内核初始化以及网络策略配置,往往导致一次代码调用的延迟高达数百毫秒。对于一个需要每秒处理数十次请求的 Agent 服务而言,这是难以承受的延迟开销。
二、Monty 的核心设计:Rust 实现的 “默认拒绝” 模型
Monty 的设计哲学可以概括为 “默认拒绝”(Default Deny)。与传统的沙箱试图在庞大的 Python 标准库和系统调用中 “禁用” 危险功能不同,Monty 从一开始就不提供这些功能。作为一个用 Rust 重写的 Python 子集解释器,它仅仅实现了 Python 语言的一个极小集合。
极简的语法支持意味着 Monty 目前不支持类(Class)、复杂的异常处理、Match 语句以及大部分第三方库。它的核心能力被严格限制在变量定义、函数定义、循环、条件判断和基本的数学运算上。这种限制使得攻击面变得极小。想象一下,一个只认识 def、return、for 和 if 的解释器,几乎没有任何手段可以直接伤害到宿主系统。
默认拒绝的隔离机制体现在对宿主访问的全方位阻断。Monty 没有实现 open() 函数,没有 __import__,也没有 os 或 sys 模块的真实访问权限。当代码尝试执行这些操作时,它们不会产生任何效果(例如 os 模块被 “桩化”,只返回空值或安全值),或者解释器会直接抛出语法错误或运行时错误。这种设计将安全责任从 “禁止某些操作” 转变为 “只允许预设的操作”,从根本上杜绝了潜在的遗漏。
三、外部函数白名单:安全的宿主交互通道
既然 Monty 本身被设计为一个封闭的盒子,那么 AI Agent 如何利用它来完成实际任务呢?答案在于 Monty 提供的一个受控接口:外部函数(External Functions)。
在启动一个 Monty 解释器实例时,开发者需要显式地声明代码中可以调用的外部函数列表。这个过程本质上是构建了一个白名单。
import pydantic_monty
code = """
result = fetch(url)
print(f'Fetched length: {len(result)}')
"""
# 外部函数白名单:只允许调用 fetch 函数
m = pydantic_monty.Monty(
code,
inputs=['url'],
external_functions=['fetch'], # <--- 这里是白名单的核心
)
当 LLM 生成的代码尝试调用一个未在白名单中的函数(例如 os.system('rm -rf /'))时,解释器会立即终止并报错。这种机制既保证了语法的灵活性,又将交互的主动权完全交给了 Agent 的开发者。
工程实践建议: 在为 Agent 设计工具时,应遵循最小权限原则。例如,如果你只需要让 Agent 处理文本分析,就只暴露 analyze_text 函数,而不是整个 pandas 库或文件系统 API。所有的外部函数调用都应该是经过严格审计的、同步或异步的 Python 函数。
四、资源控制与状态快照:生产环境的必备参数
除了安全隔离,Monty 还内置了对执行过程的精细控制,这是其在生产环境中可靠运行的关键。
资源限制配置。Monty 能够追踪并限制代码执行时的内存使用量、栈深度和 CPU 时间。这对于防止 Agent 进入无限循环或因内存泄漏导致服务崩溃至关重要。在 Pydantic AI 的集成中,你可以通过 TimeoutTracker 或类似的配置对象来设定这些阈值。如果代码执行超出了预设的时间或内存限制,Monty 会强制中断它,并将错误返回给调用方。
类型检查与静态分析。Monty 对现代 Python 类型提示(Type Hints)有着完整的支持。它内置了类型检查器(类似于 ty 或 mypy 的轻量级版本)。在代码执行前,Monty 可以根据输入的类型定义检查外部函数的参数类型和返回值类型是否符合预期。这对于防止 LLM 生成类型混乱的代码、减少运行时错误非常有效。
m = pydantic_monty.Monty(
code,
type_check=True,
type_check_stubs=type_definitions, # 显式提供外部函数的类型签名
)
序列化与快照(Snapshotting)。Monty 的另一个强大特性是其状态序列化能力。你可以将正在运行的解释器状态 “快照” 保存到字节流中,并稍后在另一个进程甚至另一台机器上恢复并继续执行。这对于实现 “断线续传” 或复杂的长时间运行任务(如 Agent 的迭代式思考)提供了基础设施支持。
# 序列化执行状态
progress = m.start(inputs={'url': 'https://example.com'})
state = progress.dump()
# ... 稍后在另一个 worker 进程中 ...
progress2 = pydantic_monty.MontySnapshot.load(state)
result = progress2.resume(return_value='response data')
五、适用场景与方案选型
理解 Monty 的定位有助于我们在项目中做出正确的架构选择。Monty 并非要取代 Docker 或 nsjail,而是填补了 “直接执行不安全” 与 “容器隔离太重” 之间的空白。
最佳适用场景:需要高频调用、毫秒级响应,且逻辑相对简单的 Agent 任务。例如,在对话流中让 Agent 写一段 Python 代码来计算两个日期之间的天数、统计列表中的词频,或者调用几个特定的 API 获取数据并格式化输出。
不适用场景:如果需要运行包含复杂依赖(如 numpy 或 pandas)的代码,或者需要处理巨大的文件 I/O,那么 Monty 目前的语言子集支持还无法满足需求。在这种情况下,传统的容器沙箱或 E2B/Daytona 等云端沙箱服务仍然是更好的选择。
安全边界:Monty 的安全性依赖于 “外部函数白名单” 的严格程度。一旦白名单中存在一个不安全的函数(例如允许直接执行 shell 命令),整个隔离层就会失效。因此,Monty 适合运行在 “半信任” 环境,即代码来源是 LLM,但我们需要阻止它破坏宿主;它并不等同于防御国家级黑客的容器逃逸技术。
资料来源:
- Pydantic Monty GitHub: https://github.com/pydantic/monty
- Simon Willison on Monty: https://simonwillison.net/2026/Feb/6/pydantic-monty/