夜雨聆风最近我看 AI 编程工具的新项目,最有意思的不是模型又强了多少。
而是很多人开始绕开本地电脑。
有人把 Claude Code 和 Codex 放到云端跑,有人做 sandboxed coding agents ,有人说干脆别在 localhost 里折腾了。看起来像云 IDE 旧瓶装新酒,但我判断不是。
因为这次被搬上云的,不是开发者。
是 AI 同事。
不是云 IDE 复活,是执行主体变了
云端开发机这件事,开发者并不陌生。
以前有 Codespaces ,有 Devbox ,有各种远程容器。它们解决的是人的问题:换一台电脑也能写代码,新同事不用配半天环境,团队可以统一依赖版本。
但 coding agent 把这个问题改写了。
过去坐在开发机前的人是你。你知道自己刚刚装了什么依赖,知道哪条命令危险,知道什么时候该停下来。云端环境只是你的远程桌面。
现在坐在开发机前的,可能是一个能连续改文件、跑测试、开 PR 、读日志的 AI 。它不会像人一样犹豫,也不会天然理解“这个目录别碰”“这个 token 别读”“这个脚本不能在真实环境跑”。
这就是区别。
给人用的云开发机,核心是方便。给 AI 用的云开发机,核心是边界。
我注意到最近一批项目的名字已经把方向说得很清楚。 Boxes.dev 说的是 ditch localhost ,把 Claude Code 和 Codex 放到云端。 Runtime 讲的是给团队里每个人都准备 sandboxed coding agents 。 InsForge 把自己描述成给 coding agents 用的开源 Heroku 。
这些说法未必都能变成大公司,但它们指向同一个变化:AI 编程不再只是编辑器里的一个按钮,它开始需要一块专门施工的地方。
本地电脑不是给 AI 试错设计的
人类开发者在本地电脑上写代码,有一个默认前提:人会自我约束。
你看见 rm 命令会慢一下。你看到.env 会知道那是敏感文件。你发现测试脚本要连生产数据库,会先停下来骂一句。你不是每次都完美,但你知道哪些动作有重量。
AI 没有这种身体感。
它知道文本里的规则,但它没有“这台电脑是我的工作机器”这种感觉。它看到的是文件树、命令输出、错误日志和下一步计划。只要目标函数还在推进,它就会继续尝试。
这在小任务里没问题。让它改一个函数、补一个测试、修一个 lint ,风险可控。
但当任务变成长跑,问题就变了。它会装依赖,会改配置,会跑迁移,会打开越来越多文件,会把一个小修复扩展成一串连锁动作。你以为你在让它写代码,它其实已经在操作你的开发环境。
我警惕的不是 AI 会写错一行代码。
我警惕的是它在真实环境里,用很高的执行力,连续做十个你没完全看懂的动作。
所以 coding agent 越能干,本地电脑越不应该成为唯一现场。不是因为本地一定不安全,而是因为它没有为“非人类执行者”设计隔离层。
沙箱的价值,是允许 AI 犯错
很多人一听沙箱,第一反应是安全。
这当然对。但我觉得沙箱更深的一层价值,是允许 AI 犯错。
一个好的 coding agent 工作区,至少应该有四件事。
第一,隔离。它可以读这个仓库,但不能默认读你的全部电脑。它可以装依赖,但不能污染你的主环境。它可以拿到任务需要的 secret ,但不能顺手摸到其它项目的凭证。
第二,快照。 AI 开始干活前,环境应该能被拍下来。它搞坏了依赖、改乱了配置、生成了一堆中间文件,你可以一键回到起点,而不是在本地慢慢收拾。
第三,权限。不是每条命令都问你,那会让 agent 退化成半自动脚本。但也不能完全放开。合理的方式是按任务分级:读文件一档,改代码一档,装依赖一档,访问外部服务一档,触碰生产资源永远单独确认。
第四,日志。你不一定要盯着 AI 每一步,但事后必须能看懂它做过什么。否则出了问题,你连复盘对象都没有。
这四件事放在一起,就不是“云端开发机”这么简单了。
它更像 AI 的施工现场。
人类同事进公司,有工位、有门禁、有代码权限、有审计记录。 AI 同事如果真的要进入工程流程,也应该有自己的工位,而不是直接坐到你的电脑前。
这会改掉个人开发者的工作流
对个人开发者来说,这件事不是明天就必须买一个新平台。
更现实的做法,是把任务分层。
小任务留在本地。比如改一个组件、补一个类型、写一段脚本。你能快速看完 diff ,能立刻判断对错,本地效率最高。
中等任务放进容器。比如升级依赖、重构一个模块、跑一组会产生临时文件的测试。容器不一定优雅,但它至少能把脏东西关在一个边界里。
长任务和高风险任务放进沙箱或云端。比如让 agent 连续跑半小时,跨多个目录改代码,处理迁移,调外部 API ,或者需要并行开几个工作区比较方案。这时候你需要的不是更顺手的编辑器,而是可回滚的现场。
我建议从一个很小的习惯开始:不要让 AI 在你的主工作区里做大手术。
先开一个隔离分支。再给它一个干净环境。任务结束后只看 diff 、测试和日志。通过了再合回来。
这听起来慢了一点,但它会让你更敢把复杂任务交给 AI 。
没有沙箱时,你会不断盯着它,怕它乱动。有了沙箱,你可以允许它试错,然后只审结果。
这才是 AI 编程从“辅助补全”走向“代理执行”的关键。
真正的竞争会发生在工作区
所以我不太愿意把下一阶段 AI 编程理解成“谁的模型更强”。
模型当然重要。但当 Claude Code 、 Codex 、 Cursor 、 Gemini CLI 都能完成一部分真实任务后,差距会慢慢转移到另一个地方:谁能给 AI 提供更可靠的工作区。
谁能更好地隔离权限,谁能更快地创建环境,谁能更清楚地记录过程,谁能让人类只审关键节点,谁就更接近真正的 agent 基础设施。
我判断未来很多开发者会有两套环境。
一套给自己,干净、稳定、熟悉。
一套给 AI ,临时、可丢、可回滚。
这不是多此一举。恰恰相反,这是 AI 同事真正进入工程现场之前,最基本的职业卫生。
如果你今天已经开始让 AI 跑命令、改仓库、开 PR ,那下一步不要只问它会不会写得更好。
问另一个问题:
它现在坐在哪里办公?
