简介
Cube Sandbox 是一款专为 AI Agent 打造的基础设施 —— 可托管 Agent 进程、承载有状态服务、提供安全执行环境的生产级运行时服务。基于 RustVMM + KVM,每个沙箱都是硬件隔离的 MicroVM,冷启动不到 60ms、额外内存消耗不足 5MB。核心系统开源前已在腾讯云生产环境规模化验证。
有哪些优势?
⚡ 亚 60ms 启动 · 超高密度:平均冷启动 < 60ms,单实例额外内存 < 5MB —— 单节点可运行数千个 Agent。50 并发创建:平均 67ms,P95 90ms,P99 137ms。
🔒 硬件级隔离:每个沙箱拥有独立的 Guest OS 内核 —— 没有共享内核的容器逃逸风险。KVM + eBPF 硬件级安全边界,可安全执行不可信的 LLM 生成代码。
🤖 不只是代码执行,更能托管 Agent:沙箱可承载长期运行的 Agent 进程(如 AgentHub 托管 OpenClaw 助手)、完整服务栈(Redis、MySQL、浏览器、开发环境),或一次性代码执行 —— 均享有相同的生命周期原语。
🔌 无缝 E2B 迁移:原生兼容 E2B SDK —— 只需替换一个 URL 环境变量,业务代码零改动。
⏸️ 自动暂停与恢复:空闲沙箱自动快照挂起(零资源消耗),下次请求到达时透明恢复 —— 百毫秒级唤醒,调用方无感知。
📸 快照 · 克隆 · 回滚:百毫秒级检查点 —— 回滚到任意保存状态或从同一检查点分叉多条探索分支。基于 CubeCoW Copy-on-Write 引擎与增量脏页追踪。
🔐 凭据保险箱:密钥永远不进入沙箱、模型上下文或日志,始终留在控制面。
🛡️ 出口管控:域名白名单、未授权出口即时阻断、完整审计日志。CubeEgress 提供 L7 域名过滤、凭据注入和访问审计。
🖥️ Web 管理控制台:安装完成后打开
:12088,可视化管理沙箱、模板、节点和版本矩阵。📦 模板系统:一步将 OCI 镜像转化为模板,从模板商店安装预设,多节点自动分发。
📦 开箱即用:无复杂环境依赖,极简部署脚本几分钟内拉起完整环境。
CubeSandbox 对比
| 指标 | Docker 容器 | 传统虚拟机 | CubeSandbox |
|---|---|---|---|
| 隔离级别 | 低(共享内核 Namespace) | 高(独立内核) | 极致(独立内核 + eBPF) |
| 启动速度 | 200ms | 秒级 | 亚 60ms |
| 内存开销 | 低(共享内核) | 高(完整 OS) | 超低(< 5MB) |
| 部署密度 | 高 | 低 | 极致(单节点数千实例) |
| Agent 托管 | 需自行搭建 | 需自行搭建 | ✅ 原生支持(AgentHub) |
| 自动暂停 / 恢复 | / | / | ✅ 平台托管(百毫秒级恢复) |
| 快照 / 克隆 / 回滚 | / | / | ✅ 亚秒级 |
| E2B SDK 兼容 | / | / | ✅ 即插即用 |
下一步
- 快速开始 — 用最短路径从零到运行沙箱。
- 沙箱生命周期 — 状态模型、自动暂停、自动恢复。
- 数字助手(AgentHub) — 托管和管理 AI Agent 实例。
- 本地构建部署 — 单机部署参考。
- 多机集群部署 — 扩展到多机集群。
- 从 OCI 镜像制作模板 — 模板制作分步指南。
- WebUI 管理控制台 — 安装完成即可可视化管理。
- 安全代理与凭据保险箱 — CubeEgress 域名过滤与审计。