什么是面向AI智能体的CubeSandbox?
CubeSandbox 是一个专为AI智能体打造的开源沙箱,以速度、隔离性和E2B兼容性为核心。以下是开发者应当关注它的原因。
上周我花了几个晚上阅读 CubeSandbox 的代码仓库。不是在生产环境中运行它——这个项目自 4 月 21 日才公开,而我对一个工具通常需要更多的实际运行时间才能做出判断。但它的架构决策足够有趣,值得在新闻周期主导叙事之前,把这些信号记录下来。
如果你构建的 Agent 需要运行不可信代码——任何涉及代码解释、浏览器自动化、强化学习训练,或任何”思考 → 执行 → 反馈”循环(模型决定运行什么)的场景——沙箱基础设施就不是一个次要问题。它是在负载下最先崩溃的东西。CubeSandbox 是一个答案。本文探讨它是什么、为什么这些设计选择很重要,以及哪些团队应该评估它。不是讨论你是否应该切换。
CubeSandbox 是什么,腾讯开源了什么
核心架构与定位
CubeSandbox 是一个面向 AI Agent 的开源沙箱服务,由腾讯云于 2026 年 4 月 21 日以 Apache 2.0 许可证发布。GitHub 上的代码仓库包含完整技术栈:API 网关、编排器、节点代理、网络层、虚拟机监控器。这不是 SDK,也不是某个托管服务的封装层。你需要自行部署。
README 中的技术声明如下:
- 完整可用沙箱的冷启动时间低于 60ms。
- 每个实例的内存开销低于 5MB。
- 96 核服务器上约可运行 2,000 个并发沙箱。
- 通过 RustVMM + KVM 实现硬件级隔离,每个沙箱拥有独立的 Guest 内核。
- 兼容 E2B SDK 协议——只需更改一个环境变量即可完成迁移。
代码库大约一半是 Rust,支撑层使用 Go 和 C。架构概览文档将其划分为:CubeAPI(兼容 E2B 的 REST 网关)、CubeMaster(集群编排器)、CubeProxy(请求路由器)、Cubelet(节点生命周期管理器)、CubeVS(基于 eBPF 的网络隔离),以及 CubeHypervisor + CubeShim(虚拟化层;CubeShim 实现了 containerd 的 Shim v2)。README 中提到了上游项目:Cloud Hypervisor、Kata Containers、virtiofsd 和 containerd-shim-rs——对这个领域的人来说,这些都不意外。
从实际角度看:它是一个微虚拟机沙箱,与 Firecracker 属于同一架构系列,但是独立的 VMM 实现。实现质量是否能在腾讯自有裸机测试环境之外保持,是个悬而未决的问题。光靠 README 无法得出结论。
为什么 E2B 兼容性很重要
CubeSandbox 中最有趣的设计选择不是 60ms 冷启动,而是刻意兼容 E2B SDK 协议。
E2B 已经成为 Agent 代码执行领域近乎默认的选择。Manus 使用它。大量需要运行模型生成代码的 LLM 应用都会首先考虑它。其 SDK 协议——from e2b_code_interpreter import Sandbox,指向一个 URL,运行代码——是这个领域最接近事实标准接口的存在。
通过镜像该协议,CubeSandbox 绕开了大多数”替代方案”面临的问题:让开发者学习新的 SDK。迁移路径只是一个环境变量。现有的 Agent 代码无需更改。如果你已经基于 E2B 构建了系统,测试 CubeSandbox 的阻力大约只需要一个下午,而不是一个季度。
阅读代码仓库时我在这里停顿了一下。这种兼容性不是为了证明 CubeSandbox “更好”,而是为了让实验成本变低。这是更聪明的赌注。
为什么沙箱在 Agent 基础设施中至关重要
隔离、启动时间与并发
沙箱同时为 Agent 系统承担三件事,而你无法在不损害其他方面的情况下牺牲其中任何一个。
隔离。 当模型生成代码时,你在运行之前不知道它会做什么。共享宿主机内核的容器远远不够。Guest 内核中的一个提权漏洞,或者一次 Docker 逃逸,Agent 就可以访问宿主文件系统、宿主凭证、宿主网络。微虚拟机通过为每个沙箱提供独立的 Guest 内核来解决这个问题——这是一个硬件虚拟化边界,而不是命名空间边界。这与 AWS 开源 Firecracker 用于 Lambda 时的论点相同:对于多租户代码执行,容器的隔离墙太薄。
启动时间。 一个决定”我要运行这个 Python 脚本来检查输出”的 Agent,这个决定是在毫秒级的时间预算内做出的。如果沙箱需要两秒才能启动,反馈循环就已经断裂。即使模型很快,产品看起来也很慢。Firecracker 实现了约 125ms 的启动时间,使微虚拟机在无服务器场景下可行。E2B 的托管服务通过预热池报告约 150–200ms 的启动时间。CubeSandbox 声称通过预配置资源池和快照克隆可以达到 60ms 以内。如果这个数字成立,将改变哪些类型的 Agent 循环在实践中可行。我会在自己的硬件上验证,再引用这个数字。
并发。 每个用户一个沙箱是简单的情况。每个 Agent 步骤一个沙箱、每个用户、同时运行数千个 Agent,才是困难的情况。约束从”一个启动多快”转变为”一台机器能运行多少个”。5MB 每实例的数据,加上 96 核机器上 2,000 个以上的并发,正是这个密度论点的依据。它是否能在现实工作负载下——那些真正加载 Python 解释器、浏览器、依赖项的沙箱——存活下来,同样是未解之谜。
这三者相互牵制。更强的隔离通常意味着更重的虚拟机、更慢的启动、更低的密度。有趣的微虚拟机系统拒绝接受这种权衡。
为什么这在规模化时会成为产品瓶颈
对于单用户原型,这些都无关紧要。在 Agent 后面放一个 Docker 容器,接受安全债务,发布上线。成本是隐形的,直到它不再隐形。
它在三个节点变得可见,这三个情形我都亲眼见过:
每步延迟。 在单次推理链中调用沙箱 20 次的 Agent,会继承 20 次冷启动。每次 200ms,就是 4 秒纯基础设施延迟叠加在用户感知响应时间上。模型没有变慢,是基础设施变慢了。
多租户并发。 一旦付费用户同时运行 Agent,“每用户一个虚拟机”就无法线性扩展。托管费用增长速度超过收入。要么共享内核并接受隔离风险,要么接受更差的利润率。除了改变底层原语,没有第三条路。
实验到生产的差距。 一次一个沙箱的本地环境一切正常。生产环境会暴露:快照预热池有有限的大小,在负载下冷启动会回来;你没想到的 eBPF 网络策略,在沙箱相互通信或不应该通信时开始产生影响。这是发布文章中被低估的枯燥部分。
CubeSandbox 在赌:硬件隔离、低内存开销和 60ms 以下的启动时间可以同时实现,而且生产团队在碰到这三堵墙之后会在意这件事。能否兑现,取决于执行力和采用率。两者目前都还是开放问题。
谁应该评估 CubeSandbox,谁不应该
值得认真考察的团队:
- 已经在使用 E2B、遇到成本或并发限制、本来就在考虑自托管的团队。迁移确实只需改一行代码。
- 有合规或数据驻留要求、无法使用第三方云的内部 Agent 平台基础设施团队。Apache 2.0 + 自托管是前提条件。
- 运行高沙箱创建频率强化学习训练循环的团队,冷启动成本存在于内层训练循环中。100ms 的改善乘以数百万次训练步骤是真实的节省。
- 当前方案是”带强化标志的 Docker 容器”、而威胁模型已悄然超出该方案承载能力的团队。正确的切换时机是在事故发生之前,而不是之后。
暂时可以跳过的团队:
- 原型和单用户演示。在低调用量下搭建微虚拟机集群的成本不合算。
- 没有裸机访问权限或不支持 KVM 的虚拟机的团队。硬件要求是真实存在的——需要支持 KVM 的 x86_64 Linux。标准云虚拟机在没有嵌套虚拟化的情况下开箱即不满足要求,不过 PVM 路径拓宽了这一限制。
- 技术栈深度绑定非 E2B SDK、迁移成本超过运行时收益的团队。兼容性有帮助,但不能完全消除切换成本。
以上是我从阅读代码和文档中能确认的全部内容。其余的需要生产运行时验证,而我还没有做到这一步。
常见问题
CubeSandbox 解决什么问题?
它是一个在隔离环境中、以低延迟、高并发、不共享宿主内核的方式执行 AI 生成代码的运行时。它针对的问题是每个 Agent 平台最终都会遇到的:容器对不可信代码的隔离太弱,传统虚拟机太慢太重,现有的微虚拟机选项要么是专有的,要么运维复杂。
它与纯容器方案有何不同?
纯容器方案共享宿主内核。Guest 内核的漏洞利用可以触达宿主机。CubeSandbox 通过基于 KVM 的硬件虚拟化为每个沙箱提供独立的 Guest 内核——这是一个更强的边界,能抵御 LLM 出错时或用户刻意尝试时可能生成的代码。据报告的内存开销(每实例低于 5MB)也弥合了历史上使虚拟机在容器面前经济性不足的密度差距。
为什么 E2B 兼容性很重要?
因为尝试新沙箱的成本通常是一个迁移项目,而不是试用本身。E2B 的 SDK 有足够的采用率,兼容性让团队只需更改一个环境变量就能测试 CubeSandbox。这就是”下个季度再评估”和”今晚就部署起来”之间的区别。协议选择在采用层面做了最重要的工作。
哪些团队应该率先测试?
已经在非小规模使用 E2B 的团队、有合规约束需要自托管的团队,以及运行紧凑 Agent 循环、冷启动延迟出现在用户可感知响应时间中的团队。规模较小的用户可以等待——早期采用的代价大于收益。
结语
Agent 底层基础设施正在成为一个真正的细分领域。在 2024 年大部分时间乃至 2025 年,沙箱一直是个次要问题——用手头方便的东西处理就好。如今将 Agent 面向真实用户部署的团队正在发现:沙箱的选择决定了从每请求延迟到每用户利润率的一切。
CubeSandbox 没有改变底层物理规律。微虚拟机早已是正确的架构答案;悬而未决的问题始终是实现质量和采用阻力。这个代码仓库在第一个问题上声称了具有竞争力的数字,并通过原生兼容 E2B 协议来解决第二个问题。这些数字在腾讯测试环境之外、在生产实践中是否成立,是接下来几个月将揭晓的答案。
我计划在测试集群上部署它,并用自己的工作负载验证冷启动声明。待验证。等有数据了我会回来更新。
往期文章:
