Un sandbox («caja de arena», entorno aislado) es el espacio acotado donde dejas actuar a un agente de IA para que, si mete la pata, el destrozo se quede dentro y no toque tu máquina, tus credenciales ni producción. Es la pieza de seguridad que hace viable soltarle las manos a un agente: contenedores Docker, entornos efímeros, ramas de trabajo separadas o máquinas dedicadas limitan su «radio de explosión». En Web Reactiva aparece siempre pegado a la conversación de seguridad con IA —la IA miente y a veces ejecuta comandos que no deberías dejar correr a ciegas—, y encaja con el resto del stack de contención: los permisos deciden qué puede hacer el agente y el sandbox, dónde puede hacerlo. Correr los modelos y sus herramientas en local con Docker es, además, otra forma de aislamiento: mantienes datos y ejecución de tu lado en vez de mandarlo todo a una nube ajena.
Monta un sandbox para dejar correr a un agente en <tarea arriesgada>: qué aislar (Docker, entorno efímero, rama o máquina dedicada), qué credenciales NO exponer y cómo limitar su radio de explosión sin que deje de ser útil.
Fuentes en Web Reactiva
- La seguridad de tu código en tiempos de IApost2026-02-28
- Tutorial: Cómo lanzar la IA con Docker Model Runnerpost2025-05-17
- Errores comunes al construir un agente de IA (y cómo evitarlos)post2026-05-31
Concepto tratado en artículos del blog (formato sin transcripción con marcas de tiempo): no hay Momentos con timestamp. El aislamiento por contenedores se ve en la práctica en la ficha de Docker y contenedores (ver Relacionado).
Artículo creado por Daniel Primo con ayuda de la IA en base a lo compartido en el podcast, vídeos y textos de Web Reactiva.