A Cloudflare empurrou Sandboxes e Containers para GA essa semana, um par de produtos mirando dar a workloads de agentes IA ambientes Linux persistentes e isolados. O enquadramento continua do artigo da arquitetura MCP empresarial da Cloudflare semana passada: se execução local de agentes é uma responsabilidade de segurança, a resposta é execução remota propriamente governada com fronteiras de credenciais que agentes não podem cruzar. Sandboxes e Containers são o lado de execução dessa resposta.

Cinco primitivas valem nomear. Injeção segura de credenciais via Workers de saída atuando como proxies egress — credenciais são injetadas na camada de rede em requests de saída, então o agente rodando dentro do sandbox nunca vê o token. Sessões de terminal PTY proxyadas sobre WebSocket, substituindo a simulação de shell request-response anterior com pseudo-terminais reais. Interpretadores de código persistentes que mantêm estado através de chamadas de execução (variáveis e imports sobrevivem entre passos, como um kernel Jupyter). Monitoramento de filesystem via Linux inotify, para que agentes reajam a mudanças de arquivos em tempo real. E recuperação de sessão baseada em snapshots para restauração quase-instantânea mais forking: você pode bifurcar um sandbox rodando em explorações paralelas a partir de um snapshot, que é a primitiva que torna barato "o agente tenta N coisas em paralelo".

Os números de performance e preço contam a história do deployment. Boot fresco mais git clone mais npm install é cerca de 30 segundos; restauração de snapshot é cerca de 2 segundos. Preço Active-CPU em $0.00002 por vCPU-segundo significa que você paga só por ciclos realmente usados, o que importa quando um agente fica idle esperando saída do modelo. Os tetos de concorrência no plano padrão são 15.000 lite, 6.000 basic, 1.000+ larger. Figma é nomeado como cliente de produção. A feature de snapshot ainda está rolando nas próximas semanas, então o rótulo "GA" tem uma ressalva. O SDK está em 0.8.9, o que sugere que a API TypeScript continuará evoluindo.

Duas notas para builders. Um, a primitiva "o agente nunca vê o token" é a peça que carrega o peso desse release. Se você está construindo tooling de agente, o shift de "o agente segura as credenciais e promete usá-las com responsabilidade" para "o agente faz requests, o proxy egress injeta credenciais, o agente não pode exfiltrar o que nunca teve" é a única postura de segurança de credenciais que sobrevive ao tipo de injeção de prompt que as histórias de segurança da semana continuam demonstrando. Dois, forking de snapshots para exploração de agente paralela é a primitiva de custo-e-latência que torna o padrão "spawn N subagentes" realmente prático. A convergência de subagentes através de Claude Code, Gemini CLI, e agora Cloudflare Sandboxes não é coincidência; o mesmo problema está forçando a mesma solução através de três camadas diferentes do stack.