我最近越来越不愿意让 agent 直接碰本机了。

很多人现在折腾 OpenClaw 一类工具，默认就是让 AI 直接装依赖、跑脚本、改文件。刚开始会觉得很爽，但任务一长，环境污染、权限误伤、文件覆盖，这些坑基本都会来。

这两天看 DeerFlow 2.0，我反而觉得它最值钱的不是“更强”，而是先把边界做对了。sub-agent、memory、sandbox 这一层层不是装饰，它的意思很明确：尽量把执行关进隔离环境里，本机只接结果。

截至 2026-03-26，我自己能直接核到：
仓库是 `bytedance/deer-flow`，README 明写了这是一次 `ground-up rewrite`，核心能力里有 `sub-agents`、`memory`、`sandboxes`；GitHub 大约 `47456 stars / 5640 forks`，而且它在 `2026-02-28` 拿过 Trending #1。

所以如果真想把 agent 用进长期工作流，我现在更在意的不是“它能不能一把梭”，而是“它出问题时，你能不能把它关住”。

repo：
http://t.cn/A6dsNnp2

#AI编程##Agent##DeerFlow##开发工作流#