Tencent открыл CubeSandbox: sandbox для AI-агентов стартует за 60 мс

Tencent Cloud выпустила в открытый доступ CubeSandbox — высокопроизводительный sandbox (изолированная среда выполнения) для AI-агентов. Проект построен на RustVMM и KVM и способен создавать полностью изолированную среду менее чем за 60 мс при накладных расходах памяти менее 5 МБ на инстанс. Репозиторий опубликован на GitHub под лицензией Apache 2.0 и позиционируется как замена сервиса E2B.

ℹ Что такое sandbox для AI-агентов?
Sandbox — изолированная среда, в которой AI-агент безопасно выполняет произвольный код, сгенерированный языковой моделью. Без неё запуск LLM-кода представляет прямую угрозу для хост-системы.

Ключевые характеристики

Быстрый холодный старт достигается за счёт предварительно выделенных пулов ресурсов и клонирования snapshot — среднее время запуска полностью готовой среды составляет менее 60 мс. Агрессивно оптимизированный runtime на Rust вместе с CoW-технологией (Copy-on-Write) удерживает накладные расходы памяти ниже 5 МБ, что позволяет запускать тысячи агентов на одном узле.

В режиме 50 одновременных запросов среднее время создания sandbox составляет 67 мс, P95 — 90 мс, P99 — 137 мс.

Каждый sandbox получает собственное ядро Guest OS — никаких побегов из контейнера через shared-kernel, как в Docker.

Сравнение с конкурентами

ПараметрDockerОбычная VMCubeSandbox
ИзоляцияСлабая (shared kernel)Высокая (dedicated kernel)Максимальная (kernel + eBPF)
Время запуска~200 мсСекунды<60 мс
Память на инстансНизкаяВысокая<5 МБ
Плотность размещенияВысокаяНизкаяТысячи на узел
Совместимость с E2B SDK

Архитектура: из чего собран CubeSandbox

CubeSandbox устроен как набор сервисов: API-шлюз, мастер-оркестратор, агенты на каждом узле (Cubelet), eBPF-коммутатор и сам runtime.


graph TD
    A[CubeAPI — REST шлюз] --> B[CubeMaster — оркестратор кластера]
    B --> C[Cubelet — агент на узле]
    C --> D[CubeHypervisor — управление KVM MicroVM]
    C --> E[CubeShim — интеграция с containerd]
    C --> F[CubeVS — eBPF виртуальный коммутатор]
    F --> G[CubeEgress — контроль исходящего трафика]

Виртуализационный слой состоит из CubeHypervisor, который управляет KVM MicroVM, и CubeShim, реализующего интерфейс containerd Shim v2 для интеграции sandbox в container runtime.

Полная совместимость с E2B SDK

CubeSandbox нативно реализует протокол E2B SDK. Достаточно импортировать Sandbox из e2b_code_interpreter и указать URL на локальный инстанс CubeSandbox — никакого переписывания кода, новых SDK или работы по миграции. Просто замените одну переменную окружения.

# Пример: миграция с E2B на CubeSandbox
import os
from e2b_code_interpreter import Sandbox

# Меняем только один env var
os.environ["E2B_API_URL"] = "http://<ваш-куб-сервер>:49999"

with Sandbox() as sandbox:
    execution = sandbox.run_code("print('Hello from CubeSandbox!')")
    print(execution.text)
💡 Быстрый переезд с E2B
Если вы уже используете E2B SDK, для перехода на CubeSandbox нужно изменить только одну переменную окружения с адресом API. Бизнес-код остаётся нетронутым.

Snapshot, Clone и Rollback

CubeSandbox 0.3.0 представил движок CubeCoW (Copy-on-Write), обеспечивающий снимки состояния на уровне событий, мгновенное клонирование и откат к любому сохранённому состоянию. Это особенно ценно в сценариях RL-обучения и сложных агентных пайплайнов, где нужно разветвлять или повторять состояние среды.

Безопасность: Credential Vault и контроль трафика

Начиная с версии 0.4, появилось хранилище учётных данных (Credential Vault): агенты обращаются к внешним API в обычном режиме, но ключи никогда не попадают внутрь sandbox.

Тонкозернистые белые списки исходящих соединений реализованы через eBPF-контроль трафика на уровне ядра — разрешены только домены, необходимые для бизнеса. Политики применяются динамически без перезапуска sandbox, а все исходящие запросы полностью аудируемы.

⚠ Требования к окружению
CubeSandbox требует x86_64 Linux с поддержкой KVM. ARM64 поддерживается начиная с версии 0.5. Запуск в WSL2 технически возможен, но не рекомендуется для продакшена.

Последние обновления: v0.5

В версии 0.5 появились AutoPause/AutoResume (простаивающие sandbox автоматически приостанавливаются и просыпаются по запросу), развёртывание кластера через Terraform в один клик, нативная поддержка ARM64 и усиленная сетевая политика с per-sandbox токенами трафика.

Проверено в продакшене Tencent

CubeSandbox прошёл проверку в производственных средах Tencent Cloud и зарекомендовал себя как стабильный и надёжный — ещё до публикации в открытый доступ он тихо работал под реальными нагрузками AI-агентов. На одной физической машине за несколько минут можно запустить десятки тысяч sandbox. Команда публикует его не как прототип, а как производственно-закалённую инфраструктуру.

Место в рынке AI sandbox

Рынок sandbox-платформ для выполнения кода AI-агентами сформировался в самостоятельную инфраструктурную категорию. Эти платформы решают вопрос «где должен выполняться AI-сгенерированный код?» — с помощью изолированных безопасных сред. Крупнейшие облачные провайдеры — Vercel, Cloudflare, AWS, Google и NVIDIA — уже представили собственные предложения для выполнения агентного кода.

На этом фоне Tencent делает ставку на открытый исходный код и самохостинг: CubeSandbox позиционируется как open-source альтернатива E2B с лучшей производительностью, полностью открытым кодом и возможностью развёртывания на собственной инфраструктуре.

Репозиторий проекта доступен на GitHub, документация — на docs.cubesandbox.ai.