沙盒执行

一句话解释

沙盒执行就是让程序在一个受限的虚拟环境里运行，无论它做什么都不会伤到外面的真实系统。就像给婴儿一个封闭的塑料围栏玩玩具，再捣乱也弄不倒书架。

为什么会被关注

过去几年，零日漏洞和勒索软件利用系统漏洞直接感染主机，用户损失惨重。沙盒执行将可疑进程或未经验证的代码隔离在外，即使代码含有恶意逻辑，也只能在沙盒内部破坏，无法触及真实文件或网络。

移动端和IoT设备增多后，每个应用的权限控制变得复杂。浏览器厂商率先将每个标签页放入独立沙盒，防止一个网页的恶意脚本跨标签页盗取密码。安全分析师也靠沙盒执行快速分析样本行为，无需搭建物理机。

核心逻辑

沙盒执行的核心是“最小权限 + 资源虚拟化”。系统为待执行程序创建一个独立的进程空间，该空间无法直接访问真实文件系统、注册表、网络连接或其它进程。所有请求都会经过一个拦截层，被重定向到虚拟副本或直接被拒绝。

沙盒通常采用两种机制：一种基于操作系统隔离，如Windows的AppContainer或Linux的Seccomp；另一种基于解释器或虚拟机，如Java虚拟机或JavaScript引擎中的沙盒。一旦程序尝试执行危险操作（如写入系统目录），拦截层立即终止进程或抛出异常，保证主环境安全。

常见场景

浏览器安全：Chrome、Edge和Firefox都将每个渲染进程放入沙盒，即使一个标签页因漏洞被控制，攻击者也无法直接访问系统文件或Cookie。

恶意软件分析：安全团队把可疑的exe文件上传到在线沙盒（如Cuckoo Sandbox、Any.Run）中执行，观察其网络请求、文件修改和注册表操作，快速判断是否恶意。

移动应用测试：开发者在iOS或Android模拟器里运行测试版App，沙盒执行确保测试导致的崩溃不会影响真实手机数据。对于可能包含第三方插件的低代码平台，也会用沙盒隔离插件代码。

容易混淆的点

很多人把“沙盒执行”和“虚拟机”混为一谈。虚拟机给每个系统提供了完整的虚拟硬件，而沙盒执行更轻量，可以只隔离一个进程而不启动完整操作系统。沙盒通常共享宿主机内核，因此性能更高，但隔离性比虚拟机弱。

沙盒≠容器。容器通过命名空间隔离进程，但在共享内核时存在逃逸风险，而沙盒执行往往配合强制访问控制规则（如AppArmor）强化限制。真正的沙盒执行不允许容器常见的“特权模式”或挂载主机目录等操作。

沙盒执行不等于“离线运行”。虽然沙盒阻止对外部真实网络的直接访问，但沙盒本身可以模拟网络环境让样本“联网”，这些网络流量仍被监控，并不代表完全离线。