TencentCloud/CubeSandbox 是腾讯云在 2026 年 4 月开源的 AI Agent 运行时沙箱项目,GitHub 上 4 个月累计 9,300+ stars。它解决的是当下 AI Agent 落地过程中最棘手的安全隔离问题——AI 生成的代码不可信,普通容器隔离不够硬,起一个新环境又慢。CubeSandbox 用 Rust + RustVMM + KVM 直接跑独立 Guest OS 内核,把冷启动压到 60 毫秒以内,每个沙箱只占 5MB 内存,单节点能跑上千个 Agent 实例。

它对开发者最友好的特性是「E2B 兼容」——E2B 是当下 AI Agent 沙箱的事实标准,CubeSandbox 直接兼容 E2B SDK,意味着已经在用 E2B 的项目可以几乎零成本切换到这款国产开源方案,无需重写现有 Agent 代码。它已入选 CNCF Landscape(AI Native 类别),被列为「AI Native Infrastructure / Workload Runtime」代表项目之一,在云原生生态里有官方背书。

腾讯云官方维护、Apache 2.0 许可证、Pypi 已发布版本号(CubeSandbox 0.3.0 / 0.4.0 / 0.5.0 三个大版本依次上线),中文文档齐全,这也是它对国内企业级用户最关键的卖点。

它是当下少数几个同时做到「硬件级隔离 + 毫秒级启动 + 5MB 超轻量 + E2B 兼容」的开源项目,无论从性能、隔离、合规、可迁移性哪个维度看,在同类里都属于第一梯队。

一、项目简介

CubeSandbox 由腾讯云(tencentcloud)组织开源,目标是为 AI Agent 提供一个「既能承载不可信代码、又能承载高并发」的运行时环境。

几个核心数据:

  • GitHub stars:9,346,过去 30 天新增约 2,100 stars
  • 立项时间:2026 年 4 月 10 日,4 个月做到近万 stars
  • PyPI 当前稳定版:v0.5.0(2026-07-03 发布)
  • 许可证:Apache 2.0(代码级,可商用)
  • 语言:Rust 100%
  • 官网:https://cubesandbox.com
  • 仓库 topics:agents、container、sandbox
  • 已入选 CNCF Landscape(AI Native / Workload Runtime)

它针对的问题非常明确——当下 AI Agent 在落地企业场景时,有一个绕不开的卡点:Agent 生成的代码、Agent 调用的命令、Agent 处理的数据,大多数情况下是不可信的。如果用 Docker 容器跑,Docker 共享宿主机内核,理论上存在 escape 风险;如果每跑一个 Agent 都起一台完整 VM,启动慢、资源占用大,撑不起大规模并发。CubeSandbox 的解法是用 RustVMM 在硬件层面虚拟化,每个 Agent 一个独立 Guest OS 内核,启动 < 60ms,内存开销 < 5MB。

从版本迭代节奏看,CubeSandbox 是一个高活跃度的项目。v0.1 是 2026 年 4 月 20 日首发,之后 v0.3(v0.3.0-2026-06-02)加入 CubeCoW 快照引擎、v0.4(v0.4.0-2026-06-14)加入凭据保险柜 + Dashboard、v0.5(v0.5.0-2026-07-03)加入 AutoPause、ARM64、Terraform 部署。这套密集的版本迭代说明项目交付节奏稳定,企业用户可以安心选型,不必担心「选了一个玩具」。

二、核心功能

2.1 60 毫秒冷启动

实测平均冷启动 < 60 毫秒。这是 RustVMM 直接跳过 BIOS/UEFI、直接加载客户内核的工程化结果。

2.2 单实例 < 5MB 内存

每个沙箱只占 5MB 内存,而不是传统 VM 的几百 MB。这意味着单台物理节点能跑上千个 Agent 实例。

2.3 硬件级隔离

每个沙箱跑独立的 Guest OS kernel,不共享宿主机内核。这一点跟 Docker 形成根本差异——Docker 共享宿主机内核,理论上存在 privilege escalation 风险;CubeSandbox 用独立 kernel 天然避免了这一类攻击面。对跑不可信 Agent 代码(比如 LLM 生成的 shell 命令)特别关键。

2.4 E2B 兼容

E2B 是当下国际通行的 AI Agent 沙箱标准。CubeSandbox 直接兼容 E2B SDK,意味着已经在 E2B 生态里的项目(Claude Code、Cursor、很多 Agent 框架默认接 E2B)可以直接迁移,业务代码一行不用改。

2.5 高密度部署

一台物理节点可同时跑上千个 Agent 实例。对企业内部 Agent 平台、SaaS 服务、大规模 AI 任务编排等高并发场景非常友好。

2.6 AutoPause / AutoResume

v0.5 新增。空闲沙箱自动挂起(冻结),下一个请求到来时自动恢复。这对控制云端成本特别有效——大部分 Agent 不会 100% 时间都在工作,空闲时间可以零成本或低成本挂起。

2.7 凭据保险柜(Credential Vault)

v0.4 新增。Agent 调用外部 API 时,API Key 等凭据不进沙箱,而是通过外部安全代理转发。这避免了 Agent 自身泄露密钥的风险。

2.8 快照、克隆、回滚(CubeCoW)

v0.3 新增 CubeCoW Copy-on-Write 快照引擎:任意事件级别的快照、即时克隆、回滚到任意保存状态。这对 Agent 调试、Agent 行为回溯特别有用。

2.9 Dashboard

v0.4 提供 Web 管理界面,可以看版本矩阵、模板健康状况、Agent 运行状态。运维可视化。

2.10 Terraform 一键集群部署

v0.5 新增。写一份 Terraform 配置文件,一键部署多节点集群。

2.11 ARM64 原生支持

v0.5 起支持 ARM64 架构全栈,贴合苹果芯片服务器、ARM 服务器、信创等场景。

2.12 网络策略加固

v0.5 起为每个沙箱配独立的 traffic token、policy-routing egress。对企业网络隔离要求特别友好。

2.13 OpenTelemetry 集成

内置 OTel 指标导出,可以接入 Prometheus、Grafana、阿里云日志服务 SLS、腾讯云监控等主流观测体系。对企业级运维极其友好。

2.14 多节点集群

支持多节点集群部署,沙箱按需在节点间调度,对超大规模 Agent 平台有支撑能力。

三、使用场景

3.1 跑不可信 AI Agent 代码

企业内部让 Agent 跑 LLM 生成的 shell 命令时,Docker 隔离不够硬,需要硬件级隔离。CubeSandbox 提供这一能力,且启动快、资源占用小。

3.2 E2B 生态迁移

已经在用 E2B 的项目(很多海外 SaaS 默认接入 E2B)想迁移到开源国产方案,CubeSandbox 直接兼容,几乎零改动。

3.3 大规模 Agent 并发

企业内部 Agent 平台要同时跑上千个 Agent 实例,VM 启动慢、Docker 隔离不够,需要 CubeSandbox 这种「硬件隔离 + 轻量 + 快启动」组合。

3.4 SaaS Copilot 风险隔离

SaaS 产品嵌入 AI Copilot 后,每个用户的 AI 操作要在隔离环境里跑,防止越权访问其他用户数据。CubeSandbox 的硬件级隔离天然适合。

3.5 Agent 调试与回滚

写 Agent 代码时,出问题想回滚到之前状态。CubeSandbox 的 CubeCoW 提供 event-level 快照,可以秒级回滚到任意状态。

3.6 离线 Agent 训练

训练 Agent 时往往需要在隔离环境里跑海量实验,CubeSandbox 的快照 + 克隆能力,可以让实验环境秒级复制,大幅提升迭代效率。

3.7 代码沙箱托管

给客户/外包提供临时代码执行环境,需要「开了能用、关了就清空」,CubeSandbox 的 AutoPause + 硬件隔离是天然适合的方案。

3.8 跨节点多 Agent 协同

需要 Agent 跨节点协调任务,Terraform 一键部署的多节点集群提供基础设施。

3.9 安全研究

研究员需要跑大量已知/未知恶意样本,CubeSandbox 提供的强隔离可以保证样本不会污染宿主机。

3.10 信创与 ARM 部署

ARM64 支持让 CubeSandbox 可以部署在苹果芯片服务器、华为鲲鹏、飞腾 ARM 服务器上,适合信创合规场景。

3.11 智能体调试沙箱

Agent 开发中会产生海量「执行了不该执行的命令」「读了不该读的文件」问题,CubeSandbox 的 CubeCoW 快照 + 回滚让每次试错后可以秒级回到稳定状态,Agent 开发效率显著提升。

四、安装与使用

4.1 通过 PyPI 安装

CubeSandbox 已经发布到 PyPI,安装最简单:

pip install cubesandbox

启动控制平面:

cubesandbox-server

控制平面默认监听本地,可以浏览器打开管理面板。

4.2 Docker 镜像(测试环境)

适合快速试一下:

docker pull tencentcloud/cubesandbox:latest
docker run -p 8080:8080 tencentcloud/cubesandbox:latest

4.3 Kubernetes 部署

生产环境推荐 K8s 部署,提供 Helm chart,一键起一套沙箱集群。

4.4 Terraform 一键部署(v0.5+)

git clone https://github.com/TencentCloud/CubeSandbox
cd CubeSandbox/deploy/terraform
terraform init
terraform apply -auto-approve

几分钟后多节点集群就起来了,适合大批量生产部署。

4.5 E2B SDK 兼容调用

from e2b import Sandbox

# 完全 E2B 风格,但底层走 CubeSandbox
sandbox = Sandbox.create()
result = sandbox.run_code("print('hello world')")
print(result.output)

已经在用 E2B 的项目,把 backend 换成 CubeSandbox 就行。

4.6 高级配置

  • 设置 AutoPause 阈值
  • 配置网络策略
  • 配置凭据保险柜
  • 自定义 Dashboard 模板
  • 接入 OTel 监控

详细配置参考官方文档的 docs/guide/ 目录,里面的指南覆盖从单节点本地试用到多节点生产集群的完整路径。

五、技术亮点

5.1 基于 RustVMM

RustVMM 是 Rust 生态里成熟的轻量级虚拟化方案,CubeSandbox 直接利用它的技术栈,避免了重复造轮子。性能、稳定性和安全性都有 RustVMM 多年积累背书。

5.2 KVM 硬件加速

Linux KVM 是当下 CPU 虚拟化的标准,直接利用硬件辅助虚拟化(Intel VT-x、AMD-V)。每个沙箱一个独立 Guest OS,主进程开销极小。

5.3 凭据保险柜设计

Agent 调外部 API 时,密钥不进沙箱。这是从大量 Agent 泄露事件中总结出来的设计——把凭据从沙箱里剥离,放到外部可信代理里,降低密钥泄露风险。

5.4 CubeCoW Copy-on-Write

秒级快照、克隆、回滚。这种能力传统 VM 不太可能做到(VM 快照按 GB 计费、按分钟计费),CubeSandbox 用 CoW 把它做到了毫秒级。

5.5 AutoPause 节约成本

对成本敏感的企业,空闲沙箱自动挂起,实质成本接近于零。这种设计跟云函数的「按使用量计费」理念一致。

5.6 完全兼容 E2B 协议

E2B 是当下国际 AI 沙箱的事实标准。CubeSandbox 兼容后,海外 SaaS 想迁移到国产方案几乎没有成本。

5.7 中文生态友好

腾讯云官方维护,中文文档齐全。中文 prompt、中文界面输出、中文错误消息不绕弯,这点对外贸企业、有出海需求但国内为主的公司很友好。

5.8 CNCF 生态入场

入选 CNCF Landscape 意味着进入云原生的官方目录,被很多集成商、咨询机构、媒体在引用,生态认可度高。

5.9 启动速度工程化

60ms 冷启动不是「随机快」,而是用 RustVMM 直接跳过 BIOS/UEFI、直接加载客户内核的工程化结果。这意味着即使高频次、短时长的 Agent 任务也能按需启停,资源池不会被启动延迟拖累。

六、同类项目对比

仓库/工具 隔离级别 启动时间 单实例资源 E2B 兼容
TencentCloud/CubeSandbox 硬件级(Guest OS) < 60ms < 5MB
E2B 商业版 硬件级 < 200ms ~30MB ✅(自家)
Docker 共享内核 < 2s ~10MB
Firecracker(Lambda 风格) 硬件级 < 125ms ~5MB ❌(需要自己包)
gVisor 用户态 + 内核级 < 1s ~50MB 部分

如果要找国产开源的 E2B 替代,CubeSandbox 当下唯一选择。如果对启动速度敏感(< 100ms),CubeSandbox 比大部分同类方案都强。如果跑的是完全可信的内部代码,Docker 够用;但跑 LLM 生成的不可信代码,硬件级隔离是刚需。

七、常见问题

CubeSandbox 是免费的吗?

是的,Apache 2.0 许可证,可商用、可修改、可闭源衍生。腾讯云作为发起方,主推产品方向并承担主要维护。对企业最关心的「会不会突然改许可证」问题,Apache 2.0 + 已经在 CNCF Landscape 收录,基本没有这个风险。

跟 E2B 商业版比怎么样?

E2B 是商业 SaaS,有免费额度但超出按量计费。CubeSandbox 是开源,可以私有部署,长期运行总成本会比 E2B 低。性能方面 CubeSandbox 启动更快(< 60ms vs E2B < 200ms),单实例开销也更小(< 5MB vs E2B ~30MB),而且本地内存中可以跑上千实例。适合对成本敏感、需要私有部署、需要国产替代的团队。

硬件级隔离是真的吗?

是的。每个沙箱跑独立的 Guest OS kernel,不共享宿主机内核。这跟 Docker 的「共享宿主机内核」在安全模型上是根本差异。对跑不可信 LLM 生成的代码,这种隔离是必要的——Docker 容器跑不可信代码,理论上有 escape 风险。

支持 ARM 吗?

v0.5 起原生支持 ARM64,可以跑在苹果芯片服务器、华为鲲鹏、飞腾 ARM 等 ARM 服务器。对信创合规场景是天然契合的。

能跑在 Kubernetes 里吗?

可以。官方提供 Helm chart,把 CubeSandbox 部署为 K8s 内的 Operator + DaemonSet 组合,适合大规模生产环境。

跟 Docker 容器比,适合什么场景?

Docker 适合跑完全可信的内部服务,启动快、资源开销小。CubeSandbox 适合跑不可信代码(LLM 生成的 shell 命令、第三方代码、用户上传代码),用硬件级隔离保证安全。如果你的 Agent 跑的可信代码,Docker 够用;如果要跑不可信代码,CubeSandbox 是更稳的选择。

中小企业会用得上吗?

用得上。SaaS 公司给客户/外包提供临时代码执行环境的场景,启动 < 60ms 比传统容器快一个量级,客户体感明显;Agent 调试回滚的 CubeCoW、凭据保险柜这些能力对中小公司的工程师也是刚需。CubeSandbox 不是大企业专属项目,任何需要「跑不可信代码 + 高密度 + 快速隔离」的团队都能用上。