La frase “cada agente necesita una computadora” dejó de ser una metáfora bonita. El 5 de junio de 2026, LangChain aterrizó esa idea con LangSmith Sandboxes: entornos aislados para que agentes ejecuten código, instalen paquetes, manipulen archivos y conserven estado sin tocar infraestructura de producción.

La parte útil para builders no es que exista un sandbox más. La parte útil es el criterio: cuando un agente deja de responder y empieza a hacer trabajo verificable, necesita algo más parecido a una máquina que a una función de backend.

Arquitectura editorial de microVM aislada con shell, filesystem, paquetes y estado persistente para una sesión de agente

Por qué Docker no siempre alcanza

En prototipos, correr scripts generados por el modelo dentro de un contenedor parece suficiente. En producción cambia el riesgo. El código puede venir de un prompt, de un repo clonado, de dependencias instaladas al vuelo o de una respuesta parcial del agente. No es código que revisaste con calma.

LangChain enfatiza dos puntos:

un agente que ejecuta código necesita aislamiento fuerte porque el input no es confiable;
un agente largo necesita estado porque puede instalar, fallar, corregir, levantar un servidor local y continuar.

Por eso la propuesta usa microVMs, no solo contenedores compartiendo kernel. La tesis es que el agente debe tener filesystem, shell, package manager, red, ejecución y estado propio, pero sin heredar acceso directo al host.

Qué vuelve posible

Este patrón sirve para agentes que no pueden quedarse en “te sugiero el cambio”:

un coding agent que aplica un fix, corre tests y abre PR;
un analista que descarga un CSV, ejecuta Python y genera un reporte;
un agente de CI que clona un repo y reproduce un bug;
un flujo de contenido que renderiza artefactos;
o un harness de evals que necesita miles de entornos temporales.

La intención de búsqueda aquí es clara: LangSmith Sandboxes, agent sandbox, AI agent code execution, microVM agents, sandbox for coding agents. No hace falta inventar volumen: la demanda se infiere de la presión visible alrededor de Codex, Claude Code, Copilot, Deep Agents y cualquier stack donde el agente ya corre comandos.

Lo que miraría antes de adoptarlo

El sandbox no reemplaza el diseño de permisos. Si tu agente puede descargar cualquier cosa, llamar cualquier endpoint y guardar cualquier secreto, el aislamiento solo te compra tiempo.

Revisaría cuatro capas:

Red: qué dominios puede tocar el sandbox.
Secretos: si pasan por proxy de autenticación o terminan dentro del runtime.
Estado: qué se conserva entre pasos y qué se destruye al terminar.
Evidencia: cómo ves comandos, archivos cambiados, errores y resultados.

Flujo editorial con snapshots, auth proxy y revisión de salidas antes de aceptar trabajo generado por un agente

Cuándo es demasiado

No todo agente necesita una computadora. Un agente que solo consulta documentación, llama APIs fijas y devuelve citas probablemente está bien con tools normales y límites de rate. Meter microVMs ahí puede agregar costo y operación innecesaria.

En cambio, si el agente ejecuta código dinámico, toca archivos, instala dependencias o necesita reproducir un entorno, el sandbox deja de ser lujo. Se vuelve el perímetro mínimo.

Esta pieza conversa naturalmente con nuestra cobertura de OpenAI Responses y entornos de computadora. La tendencia es la misma desde otra plataforma: los agentes serios no solo necesitan modelos mejores; necesitan lugares seguros donde actuar.

La conclusión corta: un agente con shell y estado ya no es un chatbot con tools. Es una carga de trabajo que merece aislamiento, observabilidad y reglas de operación desde el primer día.