如果 Agent 直接接管真实桌面,风险不只在鼠标操作,还包括当前浏览器登录态、剪贴板、焦点和宿主文件。agent-workspace-linux 的设计是反过来的:给 Agent 一个独立的 Xvfb + openbox 桌面,自己的浏览器、应用和剪贴板都在隐藏 workspace 中运行,真实桌面保持不动。
上游项目限定 Linux,依赖 xvfb、openbox、xdotool、xauth、x11-utils、imagemagick、xclip;bubblewrap 推荐用于 mount/network 隔离。首轮不要碰生产账号,先在可丢弃环境运行:`agent-workspace-linux doctor`,再 `workspace start --dry-run`,确认无副作用后使用 `workspace start --ack-hidden-workspace --purpose "QA run"`。打开 `viewer`,用 `workspace launch --name editor -- xterm`,再 `workspace observe --screenshot --output /tmp/ws.png`,最后 `workspace stop`。
真正的验收点不是 viewer 能否显示画面,而是权限是否有效。没有 `--permissions` 时,主要依赖 MCP 宿主审批;用 `--permissions file.json` 时,network、mounts、apps ceiling 会在 MCP 前端和 daemon IPC 两端执行。没有 bubblewrap 时,策略可能只是声明而未被强制;viewer 也不是硬安全边界。项目为 pre-1.0,issue #21 提醒 viewer 控制状态不可读时可能 fail-open,issue #22 提醒剪贴板粘贴没有大小上限和明确 consent prompt。
所以我的采用标准很窄:GUI QA、一次性浏览器 profile、可销毁网页检查可以试;真实工作目录、生产凭据和长期登录态必须等 `doctor`、权限 ceiling、bubblewrap 和 workspace stop 都有回读证据后再接入。项目页:https://doramagic.ai/zh/projects/agent-workspace-linux/;手册:https://doramagic.ai/zh/projects/agent-workspace-linux/manual/;上游:https://github.com/agent-sh/agent-workspace-linux。
声明:这是 Doramagic 独立整理的资源包,不代表上游官方发布或背书。