GitHubで公開されている「amla-sandbox」は、AIエージェントが生成したコードを安全に実行するための新しいセキュリティソリューションである。現在、主流のエージェントフレームワーク（LangChain、AutoGen、SWE-Agentなど）は、LLMが生成したコードをsubprocess.run()やexec()で実行しており、これはホスト環境に対する任意のコード実行（RCE）リスクを伴う。たった1つのプロンプトインジェクションでシステム全体が侵害される可能性がある。 amla-sandboxは、WebAssembly（WASM）とWASI（WebAssembly System Interface）を活用したサンドボックス環境で、この根本的なリスクを回避する。実行環境はメモリ隔離が設計上保証されており、ホストのアドレス空間にアクセスできない。さらに、ネットワーク接続やシェルの実行も禁止され、仮想ファイルシステム（VFS）は/workspaceや/tmp下でのみ書き込み可能。Dockerや仮想マシンの導入不要で、単一のバイナリでクロスプラットフォームで動作する。 セキュリティの核となるのは「能力ベースのアクセス制御」。エージェントが呼び出せるツールは、あらかじめ明示的に許可されたものに限定され、制約条件（例：金額制限、通貨の許可リスト）も設定可能。たとえば、Stripeの決済API呼び出しにおいて、金額が10,000未満、通貨がUSDまたはEURに限定されるよう設定できる。制約を満たさない呼び出しは自動的に拒否される。 この設計は、seL4のような高信頼オペレーティングシステムに由来する能力制御モデルを参考にしている。エージェントはプロセス内で動いても、あらゆる権限を自動的に持つわけではない。これにより、プロンプトインジェクションによる被害拡大を抑える「防御の深さ」が実現される。 実行効率面では、コードモードにより10回のツール呼び出しを1回のLLM呼び出しで処理できる。これにより、トークン消費を大幅に削減しつつ、セキュリティも確保。初回起動時のWASMモジュールコンパイルは約300msかかるが、キャッシュ後は0.5ms程度でロード可能。 ただし、完全なLinux環境やネイティブモジュール、GPUアクセス、無限ループ保護は提供しない。長期的な状態保持が必要な場合はe2bやModalなどのVMベースのソリューションが適している。 amla-sandboxは、AIエージェントによるコード実行における「効率」と「安全」の両立を実現する、実用的な中核ツールとして注目されている。PythonコードはMITライセンス、WASMバイナリは非公開で、本パッケージにのみ利用可能。