AI Agent Python Executor 技能：代码动态执行与沙箱隔离

在 AI Agent 技能开发实战系列中，我们深入探讨Python Executor 技能——一种让 AI Agent 能够安全、可控地动态执行用户生成或模型生成的 Python 代码的核心能力。该技能广泛应用于数据科学分析、自动化脚本生成、数学计算、可视化生成等场景，是构建智能编程助手、数据分析 Agent 和低代码平台的关键组件。然而，动态执行任意代码也带来严重的安全风险，因此必须通过严格的沙箱机制、资源限制和输入校验来保障系统安全。

技能概述

Python Executor 技能允许 AI Agent 接收一段 Python 代码字符串，动态执行并返回结果（如标准输出、返回值、异常信息等）。其核心能力包括：

动态代码执行：支持运行模型生成的 Python 逻辑
结果捕获：捕获 stdout、stderr、return value
沙箱隔离：限制文件系统、网络、系统调用等危险操作
资源控制：限制 CPU 时间、内存使用、执行时长
上下文管理：支持预注入变量（如 DataFrame、API 密钥等）

该技能适用于以下场景：

用户要求'用 Python 计算这组数据的均值和标准差'
模型生成绘图代码并展示图表
自动化数据清洗与转换脚本执行

但需注意：不能用于执行任意系统命令或访问敏感资源，必须严格隔离。

架构设计

Python Executor 技能模块采用分层架构，包含以下组件：

[Agent Core] ↓ (调用) [Skill Router] → [PythonExecutorSkill] ↓ [CodeValidator] → 校验语法与黑名单 ↓ [SandboxRunner] → 在隔离环境中执行 ↓ [ResultCollector] → 捕获输出/错误/返回值 ↓ [ResponseFormatter] → 结构化返回

关键组件说明：

CodeValidator：检查代码是否包含 import os、exec、eval、__import__ 等高危操作
SandboxRunner：使用 RestrictedPython 或 subprocess + Docker 实现隔离
ResultCollector：重定向 sys.stdout 和 sys.stderr，捕获异常
ResourceLimiter：通过 resource 模块或 Docker 限制 CPU/内存

接口设计

输入规范

{
  "code": "str", // 必填，待执行的 Python 代码
    
    
    
     
       
       ...

import sys import time import json import signal from types import SimpleNamespace from typing import Dict, Any, Optional from RestrictedPython import compile_restricted, safe_globals import RestrictedPython.Guards import io import contextlib import resource class PythonExecutorSkill: def __init__(self, timeout: int = 10, memory_limit_mb: int = 100): self.timeout = timeout self.memory_limit_bytes = memory_limit_mb * 1024 * 1024 def _set_limits(self): """设置资源限制（仅在 Unix-like 系统有效）""" try: resource.setrlimit(resource.RLIMIT_CPU, (self.timeout, self.timeout)) resource.setrlimit(resource.RLIMIT_AS, (self.memory_limit_bytes, self.memory_limit_bytes)) except (AttributeError, ValueError, OSError): pass def _validate_code(self, code: str) -> bool: """基础黑名单校验""" dangerous_patterns = [ 'import os', 'import sys', 'import subprocess', 'exec(', 'eval(', '__import__', 'open(', 'file(', 'exit(', 'quit(', 'globals()', 'locals()' ] for pattern in dangerous_patterns: if pattern in code: return False return True def execute_in_subprocess(self, code: str, context_vars: Dict[str, Any]) -> Dict[str, Any]: """在子进程中执行，提供更强隔离""" import subprocess import tempfile import pickle # 序列化上下文变量 with tempfile.NamedTemporaryFile(delete=False, suffix='.pkl') as f: pickle.dump(context_vars, f) context_path = f.name script = f""" import sys import pickle import io import traceback import resource import time try: resource.setrlimit(resource.RLIMIT_CPU, ({self.timeout}, {self.timeout})) resource.setrlimit(resource.RLIMIT_AS, ({self.memory_limit_bytes}, {self.memory_limit_bytes})) except: pass start_time = time.time() with open('{context_path}', 'rb') as f: context_vars = pickle.load(f) old_stdout = sys.stdout old_stderr = sys.stderr captured_stdout = io.StringIO() captured_stderr = io.StringIO() sys.stdout = captured_stdout sys.stderr = captured_stderr result = None error = None try: exec(compile(open(__file__.replace('.py', '_code.py'), 'r').read(), '<string>', 'exec'), {{}}, context_vars) if '_result' in context_vars: result = context_vars['_result'] except Exception as e: error = traceback.format_exc() sys.stdout = old_stdout sys.stderr = old_stderr output = {{ 'status': 'error' if error else 'success', 'stdout': captured_stdout.getvalue(), 'stderr': captured_stderr.getvalue() or error, 'result': result, 'execution_time': time.time() - start_time }} print(json.dumps(output, default=str)) """ with tempfile.NamedTemporaryFile(mode='w', delete=False, suffix='.py') as f: f.write(script) main_script = f.name with tempfile.NamedTemporaryFile(mode='w', delete=False, suffix='_code.py') as f: f.write(code) code_script = f.name try: result = subprocess.run([sys.executable, main_script], capture_output=True, text=True, timeout=self.timeout + 2, cwd=tempfile.gettempdir()) if result.returncode == 0: return json.loads(result.stdout) else: return {'status': 'error', 'stdout': '', 'stderr': result.stderr or 'Subprocess execution failed', 'result': None, 'execution_time': 0.0} except subprocess.TimeoutExpired: return {'status': 'error', 'stdout': '', 'stderr': 'Execution timed out', 'result': None, 'execution_time': float(self.timeout)} finally: import os for path in [context_path, main_script, code_script]: try: os.unlink(path) except: pass def execute(self, code: str, context_vars: Optional[Dict[str, Any]] = None, timeout: Optional[int] = None) -> Dict[str, Any]: if not self._validate_code(code): return {'status': 'error', 'stdout': '', 'stderr': 'Code contains forbidden patterns', 'result': None, 'execution_time': 0.0} effective_timeout = timeout or self.timeout context_vars = context_vars or {} return self.execute_in_subprocess(code, context_vars) from langchain_core.tools import Tool def create_python_executor_tool() -> Tool: executor = PythonExecutorSkill(timeout=15, memory_limit_mb=128) def run_code(input_str: str) -> str: try: input_data = json.loads(input_str) code = input_data.get("code", "") context_vars = input_data.get("context_vars", {}) timeout = input_data.get("timeout", 10) result = executor.execute(code, context_vars, timeout) output = [] if result['stdout']: output.append(f"STDOUT:\n{result['stdout']}") if result['stderr']: output.append(f"STDERR:\n{result['stderr']}") if result['result'] is not None: output.append(f"RESULT:\n{result['result']}") output.append(f"Execution time: {result['execution_time']:.2f}s") return "\n".join(output) except Exception as e: return f"Tool execution error: {str(e)}" return Tool( name="python_executor", description="Execute Python code safely in a sandboxed environment. Input must be a JSON string with 'code' field.", func=run_code )

异常类型	处理方式
语法错误	捕获 `SyntaxError`，返回具体行号
超时	`subprocess.TimeoutExpired`，返回超时信息
内存溢出	子进程被 OS 杀死，返回空结果 + 错误日志
模块未授权	黑名单拦截，返回'forbidden module'
无限循环	CPU 时间限制自动终止

AI Agent Python Executor 技能：代码动态执行与沙箱隔离