Cloudflare empujó Sandboxes y Containers a GA esta semana, un par de productos apuntando a dar a workloads de agentes IA entornos Linux persistentes y aislados. El enmarque continúa desde la pieza de arquitectura MCP empresarial de Cloudflare la semana pasada: si la ejecución local de agentes es una responsabilidad de seguridad, la respuesta es ejecución remota correctamente gobernada con fronteras de credenciales que los agentes no pueden cruzar. Sandboxes y Containers son el lado de ejecución de esa respuesta.

Cinco primitivas vale nombrar. Inyección segura de credenciales vía Workers salientes actuando como proxies egress — las credenciales son inyectadas a la capa de red en requests salientes, así que el agente corriendo dentro del sandbox nunca ve el token. Sesiones de terminal PTY proxeadas sobre WebSocket, reemplazando la simulación de shell request-response anterior con pseudo-terminales reales. Intérpretes de código persistentes que mantienen estado a través de llamadas de ejecución (variables e imports sobreviven entre pasos, como un kernel Jupyter). Monitoreo de filesystem vía Linux inotify, para que agentes reaccionen a cambios de archivos en tiempo real. Y recuperación de sesión basada en snapshots para restauración casi-instantánea más forking: puedes bifurcar un sandbox corriendo en exploraciones paralelas desde un snapshot, que es la primitiva que hace barato "el agente prueba N cosas en paralelo".

Los números de rendimiento y precio cuentan la historia de despliegue. Boot fresco más git clone más npm install es alrededor de 30 segundos; restauración de snapshot es alrededor de 2 segundos. Precio Active-CPU en $0.00002 por vCPU-segundo significa que pagas solo por ciclos realmente usados, lo cual importa cuando un agente está idle esperando salida del modelo. Los topes de concurrencia en el plan estándar son 15,000 lite, 6,000 basic, 1,000+ larger. Figma está nombrado como cliente de producción. La feature de snapshot sigue rodando en las próximas semanas, así que el label "GA" tiene un calificador. El SDK está en 0.8.9, lo cual sugiere que el API TypeScript seguirá evolucionando.

Dos notas para builders. Uno, la primitiva "el agente nunca ve el token" es la pieza que carga el peso de este release. Si estás construyendo tooling de agente, el shift de "el agente tiene las credenciales y promete usarlas responsablemente" a "el agente hace requests, el proxy egress inyecta credenciales, el agente no puede exfiltrar lo que nunca tuvo" es la única postura de seguridad de credenciales que sobrevive al tipo de inyección de prompt que las historias de seguridad de la semana siguen demostrando. Dos, el forking de snapshots para exploración de agente paralela es la primitiva de costo-y-latencia que hace el patrón "spawn N subagentes" realmente práctico. La convergencia de subagentes a través de Claude Code, Gemini CLI, y ahora Cloudflare Sandboxes no es coincidencia; el mismo problema está forzando la misma solución a través de tres capas diferentes del stack.