公司动态

腾讯开源 CubeSandbox:毫秒级硬件隔离沙箱,给AI Agent上一道安全锁

📅 2026/7/14 16:57:59
腾讯开源 CubeSandbox:毫秒级硬件隔离沙箱,给AI Agent上一道安全锁
1. 你写的那段代码Agent 真的敢跑吗有个团队做过一款 AI 编程助手Agent 生成的 Python 脚本直接在宿主机上跑。上线第三天Agent 生成了一个os.system(rm -rf /)的测试用例。幸亏是 dry-run不然整台服务器就没了。这不是段子。LLM 开始生成可执行代码Agent 开始操作浏览器、调 API、读写文件。代码能不能直接在机器上跑答案越来越不确定。Docker共享内核一个--privileged就捅穿了。虚拟机启动按秒算跑个 Agent 等 10 秒。两头不讨好。腾讯云团队开了个源——CubeSandbox基于 RustVMM KVM 的 AI Agent 沙箱。60ms 冷启动、5MB 内存开销、硬件级隔离。Agent 的代码放进微型虚拟机里跑启动速度和 Docker 一样快安全级别对标物理隔离。发布不到三个月GitHub 近万星。2. 为什么 Agent 需要专属沙箱Agent 执行代码和传统应用不是一回事。传统微服务跑你写的代码你信任它。Agent 跑 LLM 生成的代码你不信任它。越狱攻击、副作用代码、幻觉生成的恶意库——可能出问题的地方太多了。现有方案各有短板Docker共享内核。Agent 生成的代码包含内核漏洞利用怎么办2024 年的 CVE-2024-21626 就是 runc 逃逸。虚拟机隔离够硬但启动秒级。几十 KB 的脚本等 10 秒初始化忍不了。e2b / Fly MachinesAgent 专用沙箱但商业服务不开源无法自托管。CubeSandbox 的定位Agent 沙箱这个交叉点隔离、速度、密度都要。3. 架构拆解60ms 背后是 RustVMM KVM 的硬核组合CubeSandbox 不是容器加壳。架构分 6 层每层解决一个具体问题。3.1 虚拟化层RustVMM KVM每个沙箱跑在独立的 Guest OS 内核里。Agent 的代码想搞内核级攻击跑不出自己的虚拟机。底层是RustVMMRust 写的轻量级 VMM加 KVM 硬件虚拟化每个实例不到 5MB 内存。传统 VM 128MB 起步差距一个数量级。怎么做瘦身的对内核做了激进裁剪——去掉不必要的驱动、文件系统、网络协议栈只留 Agent 要的最小集合。3.2 编排层CubeMaster Cubelet一个 CubeMaster 管多个节点每个节点上的 Cubelet 负责沙箱生命周期。CubeMaster全局调度任务分发、模板管理、节点健康检查Cubelet节点 Agent沙箱的创建、销毁、暂停/恢复CubeProxy网络代理所有出站流量走代理实现细粒度 egress 控制3.3 快照引擎CubeCoW0.3.0 引入的 Copy-on-Write 快照引擎。运行中的沙箱可以做事件级快照、克隆和回滚。场景Agent 调试 SQL 生成器每次生成一条 SQL 就在沙箱里执行。SQL 搞坏了数据直接回滚到上一个快照点不用重建整个沙箱。3.4 安全代理Credential Vault Egress ControlAgent 要调外部 API但密钥不该进沙箱。Credential Vault 的做法Agent 通过代理访问外部服务密钥不进入沙箱上下文。Egress Control 设置域名白名单沙箱里的代码想访问未授权地址拦截加审计日志。// 创建一个沙箱实例配置资源限制和网络策略letsandboxCubelet::new().with_cpu_limit(1).with_memory_limit(512MB).with_egress_rules(vec![api.openai.com:443]).with_snapshot(true).create().await?;// 在沙箱中执行代码letresultsandbox.execute(python3,print(hello agent)).await?;4. 基准测试这不是 PPT 数据GitHub 仓库贴了完整的基准测试数据来自裸金属服务器。启动延迟并发数平均延迟P95P99单并发60ms——50 并发67ms90ms137ms在 50 个 Agent 同时请求沙箱的场景下P99 仍然低于 150ms。这意味着即使你的 Agent 集群同时启动大量沙箱尾延迟也不会成为瓶颈。内存开销每个沙箱实例基础内存占用 5MB。一台 64GB 内存的服务器理论上可以同时运行上万个沙箱实例。隔离对比维度Docker传统 VMCubeSandbox隔离级别共享内核独立内核独立内核 eBPF冷启动200ms秒级 60ms内存开销低共享内核高完整 OS超低 5MB部署密度高低极高千/节点E2B 兼容❌❌✅ 即插即用5. 腾讯的 Agent 基础设施布局CubeSandbox 不是腾讯唯一的 Agent 动作。从去年开始腾讯云密集落子Cloud Studio在线 IDE支持 AI 编程Tencent Cloud Agent FrameworkAgent 框架多 Agent 协作CubeSandbox安全沙箱三个产品形成闭环Cloud Studio 里写 Agent → Agent Framework 编排协作 → CubeSandbox 执行不可信代码。在这个语境里看CubeSandbox 是腾讯 Agent 基础设施安全层的核心组件。开源意味着社区可以自托管、审计、改进——闭源的安全沙箱本身就是安全风险。对开发者的影响做 Agent 产品的CubeSandbox 解决几个实际问题代码执行沙箱Agent 代码不再裸跑在宿主机上多语言支持模板系统支持 Python、JavaScript、Shell 等E2B 兼容用 e2b 的项目换一个环境变量就能迁移自托管数据不出企业网络合规没问题除了 Agent 代码执行还能用在CTF 竞赛每队一个隔离环境在线编程评测LeetCode 风格自动判题安全分析隔离环境跑可疑样本多租户代码执行SaaS 用户代码隔离总结CubeSandbox 解决了一个具体的问题——Agent 生成的不可信代码该在哪跑。思路务实不搞全栈创新在虚拟化、编排、网络策略这些成熟领域里针对 Agent 场景做精准优化。60ms 启动Agent 不用等。5MB 开销密度够高。硬件隔离安全底线够硬。GitHubhttps://github.com/TencentCloud/CubeSandbox做 Agent 产品的花 30 分钟跑一遍 Quick Start——它可能改变你对Agent 代码执行的认知。