Sandboxing pour Agents IA – du conteneur Docker à la MicroVM Firecracker

Votre agent IA exécute du code. Il lance des commandes bash, il accède au réseau.
Mais que se passe-t-il quand il exécute du code qu'il ne devrait pas ?

Les frameworks agentiques comme Claude Agent SDK permettent de déployer des agents qui écrivent et exécutent du code en temps réel.
Comment isoler l'exécution pour éviter les catastrophes ?

On aborde les technologies de sandboxing utilisées en production :
- BubbleWrap – le sandboxing léger sans privilèges
- Docker / containerd – le standard, mais suffisant ?
- gVisor – le kernel userspace de Google (utilisé par Claude.ai et Cloud Run)
- Firecracker – les microVMs d'AWS Lambda qui bootent en 125ms
- Kata Containers – l'isolation VM avec le workflow conteneur

Programme
- Sandboxing : prérequis de sécurité pour les agents
- Comment Claude Agent SDK lance et orchestre des sandboxes
- Comparatif : sécurité, performances, prérequis hardware, complexité
- Comment choisir la bonne technologie de sandboxing ?
- Fournisseurs SaaS (E2B, Modal, Northflank) vs Self-hosted

Pourquoi isoler ? Quelles sont les architectures de production ?

Vous travaillez avec des LLMs / agents et êtes curieux de comprendre comment Claude exécute du code dans sa sandbox ?