随着AI代理（AI agent）越来越多地在开发者机器上运行不受信任的代码，例如由语言模型生成的shell命令、运行时检索的第三方脚本以及来源不明的工具插件，现有的隔离机制在适配此类工作负载时存在明显不足。容器和微虚拟机增加了特权、镜像管理和启动开销，而临时的进程控制和包装器（如chroot、ulimit）提供的保证较弱且缺乏系统调用级别的精细控制。为此，本文提出了Sandlock——一个轻量级的Linux进程沙箱，其核心设计围绕一个简单的分离原则：静态、输入无关的策略被编译为内核强制执行的规则，而狭义的监管器（supervisor）负责处理运行时依赖的决策和虚拟化效果。这种分离使得Sandlock能够在不依赖root权限、cgroups、镜像或强制命名空间的情况下，强制执行文件系统、网络、IPC和系统调用策略。此外，它还支持动态网络决策、HTTP级别的访问控制、execve参数的TOCTOU安全检查以及可逆的文件系统效果。在测试工作站上，Sandlock增加了约5毫秒的启动开销，并且在测量噪声范围内使Redis的吞吐量达到裸机水平。其管道操作符进一步支持按阶段隔离，以实现数据、网络和不受信任内容能力的分离。Sandlock已开源（https://github.com/multikernel/sandlock）。本文面向系统安全研究人员、AI平台开发者以及需要为AI代理提供轻量级沙箱的安全工程师。