很多 AI Agent 只能停留在“给建议”的阶段:它能告诉你怎么写代码、怎么整理资料、怎么做网页,但真正执行时仍然要依赖用户在本地电脑上操作。Manus Sandbox 的作用,就是给 AI Agent 配一台可操作的云端计算机,让它不仅能思考,还能在隔离环境里真正创建文件、运行代码、访问网页、生成产物。
可以把 Manus Sandbox 理解为:每个任务背后都会按需分配一台独立的云虚拟机,这台虚拟机拥有文件系统、网络、浏览器和常用工具,AI Agent 可以在里面完成任务执行过程。
它不是单纯的临时目录,也不是只允许执行少量命令的受限运行时,而是更接近一台完整的云电脑。
Manus Sandbox 解决的核心问题
AI Agent 想要完成复杂任务,通常需要的不只是语言能力,还需要一个可执行环境。比如:
- 读取用户上传的文件;
- 编写脚本处理数据;
- 打开网页查资料;
- 运行构建命令生成网站;
- 保存中间文件和最终产物;
- 调用接口完成自动化流程;
- 把代码、文档、网页、幻灯片等结果打包交付给用户。
如果所有操作都发生在用户本地电脑上,就会带来安装依赖、权限控制、环境不一致和资源占用等问题。Sandbox 把这些执行过程放到云端隔离虚拟机里,用户只需要和 Manus 对话,具体操作交给 AI Agent 在云端完成。
整体关系可以画成这样:
flowchart LR
U[用户] -->|发送任务、上传附件| M[Manus AI Agent]
M -->|规划、调用工具、执行命令| S[Manus Sandbox 云虚拟机]
subgraph S[Manus Sandbox]
FS[文件系统]
BR[浏览器]
NET[网络访问]
TOOLS[开发工具和软件]
CODE[代码运行环境]
end
S -->|生成文件、网页、代码、报告| M
M -->|展示结果、返回产物| U
S -.隔离.-> O[其他任务的 Sandbox]
S -.隔离.-> P[Manus 平台与账号数据]
这个结构里有两个关键点:
-
每个任务对应独立环境
不同任务之间的 Sandbox 彼此隔离,一个任务里的文件、依赖和执行状态不会影响另一个任务。 -
AI Agent 通过 Sandbox 执行动作
Agent 不是只在对话框里生成文字,而是可以在 Sandbox 中创建文件、编辑代码、运行程序、使用浏览器和网络。
Sandbox 里通常有什么
一个 Sandbox 会保存任务执行过程中需要用到的内容,主要分为几类。
| 内容类型 | 说明 | 例子 |
|---|---|---|
| 用户上传的附件 | 用户在任务里提供的原始材料 | PDF、图片、表格、压缩包、代码文件 |
| AI 生成的产物 | Manus 在执行任务时创建的最终结果 | 报告、网页、应用代码、幻灯片、数据处理结果 |
| 执行过程文件 | 任务运行中产生的中间文件 | 临时脚本、缓存文件、构建输出、中间数据 |
| 任务配置 | 完成特定任务所需的配置或凭据 | 用户上传的密钥、平台分配的接口调用密钥 |
这些文件都属于当前任务的运行环境。用户可以通过任务界面查看产物,也可以直接让 Manus 操作 Sandbox,例如要求它:
把当前任务里的所有代码打包成 zip 发给我。
或者:
列出 Sandbox 里和网页项目相关的文件,并说明每个目录的作用。
AI Agent 会进入对应 Sandbox,读取文件结构,再按要求整理和返回结果。
Sandbox 的生命周期
Sandbox 不是永久占用云资源的虚拟机,它会根据任务活跃程度自动创建、休眠、唤醒和回收。这个设计在资源成本和任务连续性之间做了折中:短期内可以保留任务环境,长期不使用时会释放资源。
生命周期可以分成四个阶段。
stateDiagram-v2
[*] --> Created: 新会话按需创建
Created --> Active: Manus 开始执行任务
Active --> Sleeping: 长时间无操作
Sleeping --> Active: 用户回到任务,Manus 需要继续操作
Sleeping --> Reclaimed: 连续休眠超过保留期限
Reclaimed --> Recreated: 再次访问任务
Recreated --> Active: 恢复部分关键文件后继续执行
创建
新任务或新会话需要执行操作时,Manus 会为它创建 Sandbox。这个过程对用户通常是透明的,用户不需要手动购买云服务器、安装系统或配置运行环境。
休眠和唤醒
当 Sandbox 一段时间没有操作,例如没有运行命令、没有编辑文件、没有执行浏览器动作,就会进入休眠状态。休眠期间不会继续消耗大量计算资源,但文件数据仍然保留。
用户回到任务后,如果 Manus 需要继续操作这个环境,Sandbox 会被自动唤醒。唤醒后可以继续访问之前保存的文件和状态。
回收和重新创建
Sandbox 连续休眠超过一定期限后,会被平台回收。不同订阅层级的保留时间不同:
| 用户类型 | Sandbox 不活跃后的保留时间 |
|---|---|
| 免费用户 | 7 天 |
| Manus Pro 用户 | 21 天 |
被回收后再次访问任务时,系统会创建一个新的 Sandbox,并恢复部分关键文件。需要注意的是,恢复并不等于把旧虚拟机完整克隆回来。
| 文件类型 | 回收后是否自动恢复 | 说明 |
|---|---|---|
| 用户上传的附件 | 是 | 任务所需的原始输入通常会保留 |
| Manus 生成的重要产物 | 是 | 最终报告、交付文件等会尽量恢复 |
| Slides / WebDev 等项目文件 | 是 | 与正式项目相关的文件会恢复 |
| 中间代码 | 不保证 | 临时脚本、调试文件可能丢失 |
| 临时文件 | 不保证 | 缓存、构建中间产物通常不应依赖 |
| 运行中的后台进程 | 否 | 回收或休眠后不能当作长期常驻进程使用 |
这个规则意味着:重要结果应该作为正式产物保存,不要把关键内容只放在临时文件里。
如果需要部署长期运行的后台服务,不应该依赖 Sandbox 一直保持活跃。更合适的方式是使用 Manus 的网页开发和部署能力,把前后端服务部署到公网可访问环境。
Sandbox 为什么能让 AI Agent 做更多事
普通聊天式 AI 只能输出答案,Sandbox 则给了 Agent 一个“工作台”。这会改变任务执行方式。
例如,让 AI 生成一个网站时,如果没有 Sandbox,AI 只能把 HTML、CSS、JavaScript 代码贴给用户;有了 Sandbox,它可以进一步完成这些操作:
sequenceDiagram
participant U as 用户
participant A as Manus AI Agent
participant S as Sandbox
U->>A: 创建一个产品介绍网站
A->>S: 创建项目目录
A->>S: 编写页面代码
A->>S: 安装依赖并运行构建
A->>S: 检查生成结果
S-->>A: 返回项目文件和构建产物
A-->>U: 展示结果并提供可下载文件
对数据处理任务也是一样。Agent 可以把用户上传的表格放进 Sandbox,用 Python 脚本清洗数据、生成图表,再把结果保存成文件。
import pandas as pd
df = pd.read_csv("input.csv")
summary = df.groupby("category")["amount"].sum().reset_index()
summary.to_csv("summary.csv", index=False)
这类操作的价值不在于“AI 会写代码”,而在于它能把代码放到真实环境里运行,并根据运行结果继续调整。
权限与安全隔离
Sandbox 的一个重要特点是:在沙盒内部,用户和 Manus 拥有很高的控制权限。它类似一台云虚拟机,可以执行系统级操作,例如修改系统文件、获取较高权限,甚至进行破坏性操作。
听起来权限很大,但安全边界在于隔离。
flowchart TB
subgraph UserTask[某个任务]
S[Sandbox]
F[任务文件]
R[运行环境]
S --> F
S --> R
end
subgraph Platform[Manus 平台]
AC[账号数据]
CV[会话系统]
BK[后端服务]
end
subgraph OtherTasks[其他任务]
S2[其他 Sandbox]
end
S -.无法直接访问.-> AC
S -.无法直接访问.-> CV
S -.无法直接访问.-> BK
S -.无法直接访问.-> S2
也就是说,Sandbox 内部可以高度自由,但这个自由被限制在当前沙盒里。对 Sandbox 的修改只影响它自己,不会影响 Manus 平台服务、账号信息或其他任务环境。
如果用户或 Agent 在 Sandbox 内执行了不可恢复的操作,比如误删关键目录、破坏系统配置,平台可以重新创建一个新的 Sandbox 来替换,任务仍然可以继续,只是部分临时文件可能无法恢复。
分享和协作的隐私边界不同
Sandbox 可能存放敏感数据,例如用户上传的文件、处理后的数据、接口密钥、生成的中间文件等。理解“分享”和“协作”的区别很重要,因为两者对 Sandbox 的访问边界完全不同。
| 操作 | 对方能看到对话消息 | 对方能看到输出产物 | 对方能通过 AI 操作 Sandbox | Connectors 是否可被对方访问 |
|---|---|---|---|---|
| 分享任务 | 能 | 能 | 不能 | 不能 |
| 邀请协作 | 能 | 能 | 能 | 不能,协作开启后会自动禁用 |
分享任务
通过任务的 Share 功能分享时,对方只能看到任务对话里的消息和已经输出的产物。Sandbox 本身不会暴露给被分享者,对方不能进入沙盒查看文件,也不能让 AI 去读写沙盒内容。
这种情况下,需要重点检查的是:对话消息和展示产物里是否包含敏感信息。
例如,如果你在对话里直接发送了 API Key,即使 Sandbox 不可见,被分享者仍然可能从对话记录里看到它。
邀请协作
协作的权限更高。协作者加入任务后,可以向 AI 发送指令,让 AI 继续执行任务。因为 AI 能操作 Sandbox,所以协作者也就间接拥有了访问 Sandbox 文件和数据的能力。
风险点在这里:
协作者不是直接登录 Sandbox,
但可以通过给 Manus 下指令的方式读取、修改或导出 Sandbox 中的内容。
例如,协作者可以要求:
请列出当前任务目录下的所有配置文件,并把内容整理出来。
如果 Sandbox 中存在不应共享的配置或敏感文件,就可能发生意外泄露。
不过,Connectors 在开启协作后会自动禁用。也就是说,协作者不能通过协作任务访问用户已连接的外部服务。
协作前的隐私处理建议
因为 Sandbox 更像一台私人云电脑,邀请别人协作前应该先处理环境中的敏感内容。
可执行的做法包括:
| 场景 | 建议 |
|---|---|
| Sandbox 里没有敏感文件 | 可以直接邀请协作,但仍要检查对话记录 |
| Sandbox 里有密钥、私有数据、内部文件 | 不要直接邀请协作,先迁移必要产物 |
| 只想让别人看结果 | 使用分享,不使用协作 |
| 需要共同编辑某个项目 | 新建任务,只复制协作所需文件 |
| 已经在会话中发送过敏感信息 | 不建议继续扩大可见范围,必要时重新创建干净任务 |
更稳妥的协作流程是:
flowchart TD
A[准备邀请协作者] --> B{Sandbox 中是否有敏感内容}
B -->|没有| C[检查对话记录和输出产物]
B -->|有| D[新建干净任务]
D --> E[只复制必要文件和产物]
E --> C
C --> F{对话和产物是否安全}
F -->|安全| G[邀请协作]
F -->|不安全| H[移除敏感信息或重新开始任务]
这个流程的重点不是“完全不要协作”,而是避免把私人任务环境当成普通聊天记录来共享。只要协作者能控制 AI,就要默认他可以间接接触 Sandbox 中的内容。
使用 Sandbox 时容易踩的坑
把 Sandbox 当作永久服务器
Sandbox 有休眠和回收机制,不适合承载长期运行的后台任务。长时间运行的服务应该部署到专门的公网环境,而不是依赖任务沙盒一直在线。
把关键文件放在临时目录
回收后自动恢复的是重要产物、上传附件和特定项目文件,中间代码与临时文件不一定恢复。如果某个脚本、配置或处理结果很重要,应该让 Manus 将其整理成正式产物。
可以直接这样要求:
把当前任务中用于生成最终结果的脚本、配置文件和说明文档整理到 deliverables 目录,并打包给我。
协作前没有清理敏感文件
邀请协作不是只开放聊天窗口,而是让协作者可以通过 AI 操作当前任务。只要 Sandbox 中有敏感内容,就应该先迁移到干净任务,或者删除不该共享的文件。
在对话中直接发送密钥
Sandbox 文件不可见并不代表对话记录也安全。分享任务时,对方看不到 Sandbox,但能看到对话和输出产物。密钥、令牌、内部账号、私有地址等信息不应该直接出现在可共享对话里。
常见问题
Sandbox 被回收后,文件会全部丢失吗?
不会全部丢失。系统会恢复关键文件,包括用户上传的附件、Manus 生成的重要产物,以及 Slides、WebDev 等项目文件。中间代码、缓存文件、临时文件和运行状态不保证恢复。
免费用户和 Pro 用户的保留时间有什么区别?
免费用户的 Sandbox 在连续不活跃 7 天后可能被回收;Manus Pro 用户的保留时间是 21 天。
分享任务会暴露 Sandbox 吗?
不会。分享任务只会让对方看到对话消息和输出产物,不能访问 Sandbox 文件系统。
协作者能访问 Sandbox 吗?
能,但通常是通过 AI 间接访问。协作者可以给 AI 下指令,让 AI 读取、修改或导出 Sandbox 中的文件,所以协作前需要检查是否存在敏感数据。
协作者能访问我的 Connectors 吗?
不能。开启协作后,Connectors 会自动禁用,协作者无法通过当前任务访问用户连接的外部服务。
适合和不适合的使用场景
| 场景 | 是否适合使用 Manus Sandbox | 原因 |
|---|---|---|
| 生成网站或应用原型 | 适合 | Agent 可以创建项目、写代码、运行构建并交付文件 |
| 处理用户上传的数据 | 适合 | 文件可以放在沙盒内处理,结果以产物形式返回 |
| 自动整理资料和生成报告 | 适合 | 可以结合浏览器、文件系统和脚本完成多步骤任务 |
| 短期调试脚本 | 适合 | 环境独立,不影响本地电脑 |
| 长期运行后台服务 | 不适合直接依赖 Sandbox | Sandbox 会休眠和回收,应部署到正式服务环境 |
| 存放长期敏感资料 | 不建议 | Sandbox 是任务执行环境,不应当作长期私密资料库 |
| 多人共同处理私密项目 | 需要谨慎 | 协作者可以间接操作 Sandbox,必须先清理敏感内容 |
Manus Sandbox 的本质,是为 AI Agent 提供一台独立、可执行、可恢复一部分状态的云端计算机。它让 AI 从“生成建议”进入“完成任务”的工作模式:能读文件、写代码、运行程序、访问网页并交付结果。使用时需要同时记住两条边界:一是生命周期边界,Sandbox 不是永久服务器;二是权限边界,分享只暴露对话和产物,协作则会开放对当前任务环境的间接操作能力。