CubeSandbox

面向 AI Agents 的即时、并发、安全且轻量级的 Sandbox 服务

中文文档 · 快速开始 · 文档 · 更新日志 · X(Twitter)

Cube Sandbox 是一款基于 RustVMM 和 KVM 构建的高性能、开箱即用的安全 Sandbox 服务。它支持单节点部署，并能够轻松扩展至多节点集群。它兼容 E2B SDK，可以在 60ms 内创建一个硬件隔离的、功能完备的 Sandbox，且内存开销低于 5MB。

## 📰 新闻

	CubeEgress security proxy CubeSandbox 0.4.0 introduces CubeEgress, an OpenResty-based egress gateway for credential injection, domain filtering, and access auditing. Also new: container log forwarding (cubecli cubebox logs) and component version management. 58 commits, 15 contributors. Changelog →
	Snapshot, Clone & Rollback at hundred-millisecond granularity CubeSandbox 0.3.0 introduces the CubeCoW Copy-on-Write snapshot engine, enabling event-level snapshots, instant cloning, and rollback to any saved state. Changelog →
	🎉 Initial open-source release Cube Sandbox is now open source! Millisecond boot, hardware-level isolation, E2B-compatible sandbox for AI Agents. Changelog →

## 演示

安装与演示	性能测试	RL (SWE-Bench)

## 核心亮点 - **极速冷启动：** 基于资源池预分配和快照克隆技术，完全跳过耗时的初始化过程。功能完备的 Sandbox 的平均端到端冷启动时间 < 60ms。 - **单节点高密度部署：** 通过 CoW 技术实现极致的内存复用，结合使用 Rust 重写并经过深度精简的 runtime，将单实例的内存开销保持在 5MB 以下——在单台机器上运行数千个 Agent。 - **真正的内核级隔离：** 不再使用不安全的 Docker 共享内核（Namespace）变通方案。每个 Agent 都运行在专属的 Guest OS 内核中，消除了容器逃逸风险，能够安全执行任何 LLM 生成的代码。 - **零成本迁移（E2B 直接替代品）：** 原生兼容 E2B SDK 接口。只需替换一个 URL 环境变量——无需更改业务逻辑——即可从昂贵的闭源 Sandbox 迁移到性能更优且免费的 Cube Sandbox。 - **网络安全性：** 基于 eBPF 的 CubeVS 在内核级别执行严格的 Sandbox 间网络隔离，并提供细粒度的出站流量过滤策略。 - **开箱即用：** 一键部署，同时支持单节点和集群模式。 - **事件级快照回滚：** 毫秒级粒度的高频快照回滚。可在运行中的 Sandbox 上创建 checkpoint，回滚至任意已保存状态，或从任意已保存状态分支出来进行并行探索。 - **生产就绪：** Cube Sandbox 已在腾讯云生产环境中经过了大规模验证，事实证明其稳定可靠。 ## 性能基准测试 在 AI Agent 代码执行场景中，CubeSandbox 实现了安全性与性能的完美平衡： | 指标 | Docker 容器 | 传统 VM | CubeSandbox | |---|---|---|---| | **隔离级别** | 低（共享内核 Namespaces） | 高（独立内核） | **极高（独立内核 + eBPF）** | | **启动速度**
*完整 OS 启动耗时 | 200ms | 秒级 | **亚毫秒级 (<60ms)** | | **内存开销** | 低（共享内核） | 高（完整 OS） | **超低（极致精简，<5MB）** | | **部署密度** | 高 | 低 | **极高（单节点数千个）** | | **兼容 E2B SDK** | / | / | **✅ 直接替代** | * *冷启动基准测试在裸金属服务器上测得。单并发下为 60ms；在 50 个并发创建下，平均 67ms，P95 为 90ms，P99 为 137ms——始终保持在 150ms 以下。* * *内存开销在 Sandbox 规格为 ≤ 32GB 的情况下测得。更大的配置可能会带来极少量的增加。* 有关启动延迟和资源开销的详细指标，请参阅：

Sub-150ms sandbox delivery under both single and high-concurrency workloads		CubeSandbox base memory footprint across various instance sizes (*Blue: Sandbox specifications; Orange: Base memory overhead). Note that memory consumption increases only marginally as instance sizes scale up.

## 快速开始

⚡ 毫秒级启动 — 请观看上方的快速启动流程。

Cube Sandbox 需要支持 **KVM** 的 **x86_64 Linux** 环境。 本指南将通过**四个步骤**引导您完成所有操作——准备服务器、安装 Cube Sandbox、创建 Sandbox 模板以及运行您的第一个 Agent 代码。无需从源码构建，几分钟内即可启动运行。

选择您的部署路径：

🖥 PVM · 云端 VM → 🏆 推荐

🏗 裸金属 →

💻 开发环境 → ⚠️ 不推荐 — 性能较差

### 深入探索 - 📖 [文档首页](./docs/index.md) - 完整指南与 API 参考 - 🔧 [模板概念](./docs/guide/templates.md) - 镜像到模板（Image-to-Template）的概念与工作流 - 🌟 [示例项目](./docs/guide/tutorials/examples.md) - 实践示例（代码执行、浏览器自动化、OpenClaw 集成、RL 训练等） - 📂 [`examples/`](./examples/) - 可运行的示例代码，涵盖 Shell 命令、文件操作、网络策略、暂停/恢复等 - 💻 [开发环境 (QEMU VM)](./docs/guide/dev-environment.md) - 没有 KVM？快速启动一个一次性 VM 并在其中运行 Cube Sandbox - ☁️ [PVM 部署](./docs/guide/pvm-deploy.md) - 在没有裸金属或嵌套虚拟化的普通云端 VM 上进行部署 ## 架构

| 组件 | 职责 | |---|---| | **CubeAPI** | 高并发 REST API 网关（Rust 实现），兼容 E2B。替换 URL 即可无缝迁移。 | | **CubeMaster** | 集群编排器。接收 API 请求并将其分发至相应的 Cubelet。管理资源调度与集群状态。 | | **CubeProxy** | 反向代理，兼容 E2B 协议，将请求路由至相应的 Sandbox 实例。 | | **Cubelet** | 计算节点本地调度组件。管理该节点上所有 Sandbox 实例的完整生命周期。 | | **CubeVS** | 基于 eBPF 的虚拟交换机，提供内核级网络隔离与安全策略执行。 | | **CubeHypervisor & CubeShim** | 虚拟化层——CubeHypervisor 管理 KVM MicroVM，CubeShim 实现 containerd Shim v2 API，将 Sandbox 集成到容器 runtime 中。 | 👉 欲了解更多详情，请阅读[架构设计文档](./docs/architecture/overview.md)和[CubeVS 网络模型](./docs/architecture/network.md)。 ## 许可证 CubeSandbox 基于 [Apache License 2.0](./LICENSE) 发布。 CubeSandbox 的诞生站在了开源巨人的肩膀上。特别感谢 [Cloud Hypervisor](https://github.com/cloud-hypervisor/cloud-hypervisor)、[Kata Containers](https://github.com/kata-containers/kata-containers)、virtiofsd、containerd-shim-rs、ttrpc-rust 等。为了适应 CubeSandbox 的执行模型，我们对部分组件进行了定制化的修改，并保留了文件中原有的版权声明。

Cube Sandbox is listed in the CNCF Landscape.

标签：AI基础设施, Docker镜像, 云计算, 可视化界面, 容器技术, 沙箱, 规则引擎, 通知系统, 隔离环境