AI Agent 一旦从“会聊天”走向“会动手”，最大的问题就不再是模型够不够聪明，而是它在哪里动手、能碰什么、出错后谁来收拾。本文结合 OpenClaw 小龙虾近期暴露的 prompt injection、token/credential 暴露、工具权限和本地网关风险，聊聊为什么 Agent 需要一个隔离、持久、可编程的 Sandbox，以及如何用 Sandbox CRD、Template、Claim、WarmPool、KSA/RBAC 和 NetworkPolicy 搭出第一版。