Cloudflare перевела Sandboxes в GA — изолированные Linux-окружения для ИИ-агентов на edge

Persistent Linux-окружения для кода от LLM-агентов: стартуют по запросу, платят только за CPU-циклы, токены подставляются на сетевом уровне. Разбираем, что внутри и стоит ли заменить E2B или Firecracker.

Новости Tproger
Обложка: Cloudflare перевела Sandboxes в GA — изолированные Linux-окружения для ИИ-агентов на edge

Если вы строите агентов, которым нужно запускать сгенерированный код, — теперь можно не поднимать собственную инфраструктуру изоляции. Cloudflare перевела Sandboxes в общий доступ: изолированные Linux-окружения, которые стартуют по требованию, спят в простое и платят только за реально использованные CPU-циклы.

Релиз состоялся 13 апреля 2026 года в рамках Agents Week — тематической недели Cloudflare, посвящённой инфраструктуре для ИИ-агентов. В бете продукт был 9 месяцев — первый анонс прошёл в июне 2025-го. Sandboxes доступны как часть платформы Cloudflare Workers.

Коротко

Что это. Persistent Linux-окружение на базе Cloudflare Containers. Запрос по имени: если сэндбокс запущен — получаете его, если нет — стартует on-demand, засыпает в простое, пробуждается на следующем вызове.

Для чего. Безопасное исполнение кода, который пишут LLM-агенты (coding agents, data-analysis, CI-like задачи). Публичный partner — Figma Make.

Цена. Active CPU Pricing — $0,00002 за vCPU-секунду. За idle не платите, только за реально использованные циклы.

Лимиты. На standard-плане: 15 000 одновременных lite-инстансов (урезанные CPU и RAM для коротких задач), 6 000 basic (сбалансированные) и 1 000+ больших (увеличенные ресурсы, доступ по запросу).

Безопасность. Secure credential injection через programmable egress proxy — агент не видит токенов, они подставляются на сетевом уровне.

Что это за сэндбокс

Sandbox в терминах Cloudflare — это полноценный контейнер с shell, файловой системой и background-процессами. Не V8 isolate (эфемерные изоляты для одноразовых задач в миллисекундах закрывает соседний продукт Dynamic Workers, он анонсирован в ту же неделю), а именно Linux-контейнер. Запросили по имени — получили его же; в простое спит, при обращении просыпается. ID доступен из любой точки сети Cloudflare.

Внутри сэндбокса работает persistent code interpreter для Python, JavaScript и TypeScript. Состояние переменных и импортов сохраняется между вызовами, как в Jupyter notebook. Это значит, что агент выполняет код пошагово и держит промежуточные результаты в памяти — не поднимая контекст заново на каждом вызове. Остальные языки внутри сэндбокса тоже работают, но без сохранения состояния — как обычные shell-команды.

Что внутри

SDK и API

Официальный SDK — @cloudflare/sandbox, актуальная версия 0.8.9. Базовое использование из Cloudflare Worker:

			import { getSandbox } from "@cloudflare/sandbox";

export default {
  async fetch(request, env) {
    const box = getSandbox(env.Sandbox, "agent-session-47");
    const result = await box.runCode("python3 analyze.py");
    return new Response(result.stdout);
  }
};

Методы SDK покрывают типовой жизненный цикл: запуск shell-команд, gitCheckout для клонирования репозиториев, writeFile, runCode, createCodeContext, startProcess, exposePort, terminal, watch, snapshot, backup и restore.

Терминал и файловая система

Для интерактивных сценариев есть полноценный pseudo-terminal через WebSocket, совместимый с xterm.js (поставляется отдельный addon @cloudflare/sandbox/xterm). Буфер вывода хранится на сервере — реконнект воспроизводит пропущенные строки без потерь.

Изменения файловой системы можно отслеживать в реальном времени: SSE-стрим поверх Linux inotify. Эта фича вышла в марте 2026-го и особенно полезна для агентов, которые должны реагировать на появление артефактов сборки.

Бэкапы и быстрый старт

Cloudflare сохраняет полный disk state сэндбокса — OS-конфиг, установленные зависимости, исходники — в R2 с tiered caching. Холодный старт с git clone axios и npm install занимает 30 секунд, а восстановление из backup — 2 секунды. Для таких сценариев, как параллельное исследование нескольких гипотез агентом, это меняет правила: каждую ветку стартуют из одного сохранённого состояния. Полноценные snapshots (более лёгкие, чем backup) Cloudflare обещает выкатить в ближайшие недели.

Безопасность credentials

Самая интересная часть — programmable egress proxy. Все исходящие запросы сэндбокса проходят через outbound Worker, который подставляет токены на сетевом уровне. Агенту не нужно знать секреты API — он делает обычный HTTP-запрос, а токен инжектится по пути. Поддерживаются identity-aware policies и динамическое сужение сети по прогрессу задачи.

A Sandbox today is a full development environment: a terminal you can connect a browser to, a code interpreter with persistent state, background processes with live preview URLs, a filesystem that emits change events in real time, egress proxies for secure credential injection, and a snapshot mechanism that makes warm starts nearly instant.
Команда CloudflareKate Reznykova, Mike Nomitch, Naresh Ramesh

Для кого это

  • Coding agents, которым нужно запускать сгенерированный код без доверия к его содержимому
  • Code interpreter для data-analysis-сценариев с сохранением состояния между вызовами
  • CI-подобные задачи, где нужна изоляция и контроль выхода в сеть
  • Fork-сессии для параллельного исследования гипотез — запуск нескольких сэндбоксов из общего снапшота
  • Продуктовая интеграция в app, где пользователь пишет и запускает свой код (как сделала Figma Make)

Чем отличается от конкурентов

Рынок изолированного исполнения кода для агентов уже густонаселён. E2B строит на Firecracker microVM и заявляет покрытие ~50% Fortune 500. Daytona делает Docker-контейнеры с sub-90ms созданием. Modal специализируется на serverless GPU/Python. Vercel Sandbox — тоже Firecracker, сейчас в бете.

Главное отличие Cloudflare — двухуровневая схема: Dynamic Workers (V8 isolates, эфемерное исполнение) для одноразовых задач и Sandboxes (полноценная ОС, persistent state) для сложных сценариев. Всё это доступно в 330+ городах edge-сети Cloudflare, что упрощает работу с региональными пользовательскими данными.

Figma Make создан, чтобы помочь создателям с разным бэкграундом быстрее переходить от идеи к продакшену. Для этого нам нужна была инфраструктура, которая давала бы надёжные и масштабируемые сэндбоксы для запуска недоверенного кода агентов и пользователей.
Alex MullansAI and Developer Platforms at Figma
FAQ
1
Sandboxes — это V8 isolate или полноценный контейнер?

Полноценный контейнер на базе Cloudflare Containers: есть shell, файловая система, background-процессы. Эфемерные V8 isolates закрывает соседний продукт Dynamic Workers, анонсированный в ту же Agents Week.

2
Какие языки работают в code interpreter?

Persistent code interpreter есть для Python, JavaScript и TypeScript — состояние переменных и импортов сохраняется между вызовами, как в Jupyter notebook. Внутри сэндбокса можно запускать и другие языки — это обычная Linux-среда, — но без сохранения стейта.

3
Сколько стоит и что такое Active CPU Pricing?

Ставка — $0,00002 за vCPU-секунду. Active CPU Pricing означает, что вы платите только за время, когда сэндбокс реально что-то считает. Если он висит в ожидании ответа LLM — счётчик стоит.

4
Как агент получает доступ к API без прямого хранения ключей?

Через programmable egress proxy. Все исходящие запросы сэндбокса идут через outbound Worker, который подставляет токены на сетевом уровне. Агент делает обычный HTTP-запрос, секреты ему не видны.

5
Работает ли это из России?

Сам продукт доступен — Cloudflare Workers работают из РФ. Оплата требует валютной карты (российские не принимаются с 2022 года). Для коммерческого использования через российскую компанию придётся оформлять зарубежное юрлицо или искать посредника.

Что это значит

Sandboxes закрывают важный пробел в стеке agent-infra у Cloudflare: раньше для безопасного исполнения кода LLM-агентов приходилось интегрироваться с E2B, Modal или поднимать Firecracker самостоятельно. Теперь можно остаться в экосистеме Cloudflare — Workers, Durable Objects, R2 и Sandboxes живут в одной сети, с общим биллингом и единым SDK.

Главное конкурентное преимущество — edge-распределение. Для агентов, которые работают с пользовательскими данными в конкретном регионе, это снижает latency и упрощает compliance. Минус — пока нет бенчмарков cold start относительно E2B и Vercel Sandbox в independent-тестах; обещанные 2 секунды восстановления Cloudflare нужно проверять на реальных нагрузках.

Если строите собственный coding agent или code interpreter, попробовать Cloudflare Sandboxes стоит. SDK ставится через npm install @cloudflare/sandbox, для первых экспериментов хватит минимального плана Workers. Полный анонс, deep dive по egress proxy, разбор InfoQ.

В этой статье
  1. Коротко
  2. Что это за сэндбокс
  3. Что внутри
  4. Для кого это
  5. Чем отличается от конкурентов
  6. FAQ
  7. Что это значит
Следите за новыми постами
Следите за новыми постами по любимым темам
Рекомендуем

Нашли опечатку? Выделите фрагмент и
отправьте нажатием Ctrl+Enter