Cloudflare a poussé Sandboxes pis Containers en GA cette semaine, une paire de produits visant à donner aux charges de travail d'agent IA des environnements Linux persistants pis isolés. Le cadrage continue depuis l'article sur l'architecture MCP entreprise de Cloudflare la semaine dernière : si l'exécution d'agent locale est une responsabilité de sécurité, la réponse est une exécution remote proprement gouvernée avec des frontières de credentials que les agents peuvent pas traverser. Sandboxes pis Containers sont le côté exécution de cette réponse.

Cinq primitives méritent d'être nommées. Injection sécurisée de credentials via des Workers sortants agissant comme proxies egress — les credentials sont injectés à la couche réseau sur les requêtes sortantes, donc l'agent roulant à l'intérieur du sandbox voit jamais le token. Sessions de terminal PTY proxiées sur WebSocket, remplaçant la simulation shell request-response antérieure avec de vrais pseudo-terminaux. Interpréteurs de code persistants qui tiennent l'état à travers les appels d'exécution (variables pis imports survivent entre les étapes, comme un kernel Jupyter). Surveillance de système de fichiers via Linux inotify, pour que les agents réagissent aux changements de fichiers en temps réel. Pis récupération de session basée sur snapshots pour restauration quasi-instantanée plus forking : tu peux brancher un sandbox qui roule en explorations parallèles depuis un snapshot, ce qui est la primitive qui rend « l'agent essaie N choses en parallèle » pas cher.

Les chiffres de performance pis de prix racontent l'histoire de déploiement. Boot frais plus git clone plus npm install est environ 30 secondes ; restauration de snapshot est environ 2 secondes. Le prix Active-CPU à 0,00002 $ par seconde-vCPU veut dire que tu paies seulement pour les cycles réellement utilisés, ce qui compte quand un agent est idle à attendre la sortie du modèle. Les plafonds de concurrence sur le plan standard sont 15 000 lite, 6 000 basic, 1 000+ larger. Figma est nommé comme client en production. La fonction snapshot roule encore dans les semaines qui viennent, donc le label « GA » a un qualificatif. Le SDK est à 0.8.9, ce qui suggère que l'API TypeScript va continuer d'évoluer.

Deux notes pour les builders. Un, la primitive « l'agent voit jamais le token » est la pièce porteuse de cette release. Si tu construis de l'outillage d'agent, le shift de « l'agent tient les credentials pis promet de les utiliser responsablement » à « l'agent fait des requêtes, le proxy egress injecte les credentials, l'agent peut pas exfiltrer ce qu'il a jamais eu » est la seule posture de sécurité de credentials qui survit au genre d'injection de prompt que les histoires de sécurité de la semaine continuent de démontrer. Deux, le forking de snapshots pour exploration d'agent parallèle est la primitive coût-et-latence qui rend le pattern « spawn N sous-agents » réellement pratique. La convergence de sous-agents à travers Claude Code, Gemini CLI, pis maintenant Cloudflare Sandboxes n'est pas une coïncidence ; le même problème force la même solution à travers trois couches différentes de la pile.