Cloudflare 本週把 Sandboxes 與 Containers 推到 GA——一對旨在為 AI agent 工作負載提供持久、隔離 Linux 環境的產品。其敘事承自 Cloudflare 上週關於企業級 MCP 架構的那篇:如果本地 agent 執行是一種安全責任,那麼答案就是受治理的遠端執行,並設立 agent 跨不過的憑據邊界。Sandboxes 與 Containers 就是這個回答的執行側。
有五個原語值得點名。透過出口 Workers 扮演 egress proxy 的安全憑據注入——憑據在出站請求的網路層被注入,因此運行在 sandbox 內部的 agent 永遠看不到 token。PTY 終端會話經由 WebSocket 代理,替換了此前請求-回應式的 shell 模擬,換成真正的偽終端。持久程式碼解譯器在多次執行呼叫之間保持狀態(變量與 import 在步驟之間存活,像 Jupyter 核心)。基於 Linux inotify 的檔案系統監控,讓 agent 能即時回應檔案變化。最後是基於 snapshot 的會話恢復,提供近乎瞬時的還原,外加 fork:你可以從一個 snapshot 把運行中的 sandbox 分叉成若干並行探索,這就是讓「agent 並行嘗試 N 種方案」變便宜的那個原語。
效能與價格數字說出了部署故事。冷啟動加 git clone 加 npm install 大約 30 秒;從 snapshot 恢復大約 2 秒。Active-CPU 計價為每 vCPU-秒 0.00002 美元,這意味著你只為實際用掉的週期付費,當 agent 空等模型輸出時這一點尤其要緊。標準套餐的並發上限為 15,000 lite、6,000 basic、1,000+ larger。生產客戶已點名 Figma。snapshot 功能未來幾週仍在滾動放量,因此「GA」標籤帶一條尾綴。SDK 還在 0.8.9,說明 TypeScript API 仍會繼續演進。
給 builder 兩點。其一,「agent 永遠看不到 token」這條原語是本次發布的承重牆。如果你在建 agent 工具,從「agent 持有憑據並承諾負責任地使用」轉向「agent 發起請求、egress proxy 注入憑據、agent 無法帶走它從未持有過的東西」,是唯一能扛住本週這類 prompt 注入場景的憑據安全姿態。其二,snapshot 分叉用於 agent 的並行探索,是讓「同時生起 N 個子 agent」這種模式在成本與延遲上都真正可行的原語。子 agent 在 Claude Code、Gemini CLI,以及現在 Cloudflare Sandboxes 上的收斂不是巧合——同一個問題正在把同一種解法推進到堆疊裡的三個不同層。