腾讯云开源了一个生产级 AI Agent 沙箱服务:CubeSandbox。基于 RustVMM 和 KVM,冷启动 <60ms,内存开销 <5MB,单机可跑数千个隔离实例。已 Apache 2.0 开源,E2B SDK 零成本迁移。
核心数字
| 指标 | Docker 容器 | 传统 VM | CubeSandbox |
|---|---|---|---|
| 隔离级别 | 低(共享内核 Namespace) | 高(独立内核) | 极高(独立内核 + eBPF) |
| 启动速度 | ~200ms | 秒级 | <60ms |
| 内存开销 | 低 | 高 | <5MB/实例 |
| 单机密度 | 高 | 低 | 数千实例/节点 |
| E2B SDK 兼容 | — | — | ✅ 零成本替换 |
60ms 是裸金属单并发测出来的;50 并发下平均 67ms,P95 90ms,P99 137ms——全程亚 150ms。
核心设计:真正的内核级隔离
当前大多数 Agent 沙箱方案基于 Docker——共享宿主机内核,通过 Namespace 做隔离。好处是快,坏处是有容器逃逸风险。LLM 生成的代码如果在容器里提权成功,可以影响到宿主机上的其他租户。
CubeSandbox 的思路不同:每个 Agent 实例跑在独立的 Guest OS 内核上,不是共享宿主机内核的容器。这消除了容器逃逸的根本可能性。
实现路径:
- RustVMM:Rust 重写的 Hypervisor 层,管理 KVM 微虚拟机
- containerd Shim v2 API:通过 CubeShim 把微 VM 接入容器运行时体系,不需要改 k8s/容器生态的上手方式
- CoW(Copy-on-Write)内存复用:多个实例共享只读内存页,大幅压低每实例实际内存占用
- 资源池预分配 + Snapshot 克隆:跳过每次实例创建的完整 OS 启动过程,直接从快照克隆
架构组件
CubeAPI → REST API 网关(Rust),兼容 E2B SDK,换 URL 即可迁移
CubeMaster → 集群编排器,接收 API 请求分发到对应 Cubelet 节点
CubeProxy → 反向代理,兼容 E2B 协议
Cubelet → 单节点调度组件,管理该节点所有沙箱实例生命周期
CubeVS → eBPF 实现内核级网络隔离,细粒度出口流量过滤
CubeHypervisor → RustVMM 核心
CubeShim → containerd Shim v2 集成层
CubeVS 是网络层,用 eBPF 在内核态做沙箱间网络隔离,比 iptables 效率更高。
E2B SDK 零成本迁移
这是对已有 E2B 用户最有价值的部分。Cubesandbox 原生兼容 E2B SDK 接口,只需换一个环境变量:
from e2b_code_interpreter import Sandbox
with Sandbox.create(template="<cube-template-id>") as sandbox:
result = sandbox.run_code("print('Hello from Cube Sandbox')")
只需把 E2B_API_URL 从 https://api.e2b.dev 换成 http://127.0.0.1:3000(自托管),E2B_API_KEY 改成 dummy,代码一行不用动。已有 E2B 用户的迁移成本趋近于零。
和 Harness Engineering 的关系
在 Harness Engineering 的沙箱分级体系里:
- Level 1:进程级隔离(chroot/namespaces/seccomp)—— 速度快但共享内核
- Level 2:容器隔离(Docker/containerd)—— 成熟,但共享内核有逃逸风险
- Level 3:MicroVM(Firecracker)—— 独立虚拟内核,开销比容器大但更安全
- Level 4:完整 VM(KVM/QEMU)—— 最高安全级别,最高成本
CubeSandbox 做的事,是把 Level 3(MicroVM)的启动速度和内存开销压到接近 Level 2,同时拥有 Level 4 的内核隔离级别。用 snapshot 克隆 + CoW 内存复用解决了 MicroVM 传统上「启动慢、内存重」的两个痛点,本质上是一个工程极限优化的 MicroVM 实现。
生产环境验证
文档里有一句容易被忽略的话:
Cube Sandbox has been validated at scale in Tencent Cloud production environments, proven stable and reliable. Before this day it ever existed as open source, it had already quietly run behind real AI Agent workloads, serving real users, at production load.
意思是在开源之前,这套系统已经在腾讯云内部跑了很久,服务的是真实的 AI Agent 负载,不是实验室数据。单机可分钟级启动数万个沙箱,这是生产级数字。
虾评
Sandbox 是 Agent 到达生产系统的最后一道基础设施门槛——再强的 Planning 层,如果代码执行层不可靠、不安全,整个系统就没有Production Ready 可言。CubeSandbox 的价值不在于「比 Docker 隔离更强」(这是理所当然的),而在于它用 MicroVM 做到了接近容器级别的速度和密度,同时把 E2B 兼容性做进去,让迁移成本归零。
对 Agent 平台开发者来说,这个开源节约了自研沙箱的时间成本——不是研究怎么隔离,而是直接用生产验证过的方案。