CubeSandbox 是腾讯云开源的、面向 AI Agent 的高性能安全沙箱服务,用 Rust 基于 RustVMM + KVM 构建轻量 MicroVM。它针对「让 agent 安全跑大模型生成的未知代码」这一需求:每个沙箱有独立 Guest OS 内核做硬件级隔离(杜绝容器逃逸),冷启动一个可服务沙箱端到端平均 <60ms,单实例内存开销 <5MB,单机可跑数千实例。对外完全兼容 E2B SDK,只换一个 URL 就能从 E2B 平滑切过来。支持单机与集群部署,已在腾讯云生产环境大规模验证,Apache-2.0 开源。
来源:README_zh.md 顶部/核心优势/架构概览;GitHub TencentCloud/CubeSandbox,desc 查看 GitHub 仓库 →约一个月即超过 5.8k 星,热度来自两点:一是腾讯云官方出品的分量;二是它精准切中 agent 时代的安全刚需——agent 会执行不可信的 LLM 生成代码,Docker 共享内核不够安全、传统 VM 又太重太慢,而 CubeSandbox 用 MicroVM 同时做到内核级隔离 + 毫秒级启动 + 极低内存 + 单机高密度,还兼容 E2B(行业事实标准)可零成本平替,对做 agent 代码执行的人吸引力很强。
来源:GitHub 5,858 stars / 449 forks,created 2026-04-10;README 核心优势/Benchmarks基于资源池化预置 + 快照克隆,跳过耗时初始化,端到端冷启动一个可服务沙箱平均 <60ms(裸金属单并发 60ms,50 并发平均 67ms,P95 90ms/P99 137ms),整体百毫秒级。
来源:README 核心优势/Benchmarks(测试数据说明)用 CoW(写时复制)大幅复用内存、Rust 重构底层裁剪,单实例内存开销低至 <5MB(≤32GB 规格实测),可在单机跑起数千个 agent 沙箱。
来源:README 核心优势/Benchmarks每个 agent 拥有独立 Guest OS 内核(而非 Docker 共享内核 Namespace),杜绝容器逃逸,可放心跑未知代码;网络侧用基于 eBPF 的 CubeVS 在内核态做严格的沙箱间隔离与细粒度出站流量过滤。
来源:README 核心优势(隔离/网络安全);架构 CubeVS原生兼容 E2B SDK 接口规范,只需替换一个 URL 环境变量、无需改业务代码即可从 E2B 切到 CubeSandbox,并获得更好性能。
来源:README 核心优势/架构概览(CubeAPI/CubeProxy 兼容 E2B)可一键部署,支持单机与多机集群;已在腾讯云生产环境经历大规模服务验证;规划中还有百毫秒级事件级快照回滚(基于快照快速创建分叉探索环境)。
来源:README 核心优势(生产可用/开箱即用/快照回滚 coming soon)Rust 实现的分层微服务架构,把「网关—调度—节点—虚拟化—网络」拆得很清楚:CubeAPI 是兼容 E2B 的 REST API 网关(替换 URL 即可从 E2B 切入);CubeMaster 是编排调度器,接 API 请求分发到对应节点并维护资源与集群状态;CubeProxy 是兼容 E2B 协议的反向代理,把请求路由到具体沙箱;Cubelet 是计算节点本地调度组件,管理单节点所有沙箱实例的完整生命周期;CubeVS 是基于 eBPF 内核态转发的虚拟交换机,负责网络隔离与安全策略;虚拟化层由 CubeHypervisor(管理 KVM MicroVM)与 CubeShim(实现 containerd Shim v2,把沙箱接入容器运行时)组成。底层站在 Cloud Hypervisor、Kata Containers、virtiofsd、containerd-shim-rs 等开源项目之上并按自身运行模型做了定制。整体是『E2B 兼容网关 + 分布式编排 + MicroVM 虚拟化 + eBPF 网络』的完整工程化方案。
来源:README_zh.md 架构概览(组件表)/许可证致谢;tree(CubeAPI/CubeMaster/CubeProxy/Cubelet/CubeNet/CubeShim/hypervisor)中心为项目本体,内环 = 核心功能模块,外环 = 关键技术依赖;按 deep.json 中的 core_features 与 tech_stack.key_deps 自动生成
RustVMM / KVM (MicroVM)Cloud Hypervisor (定制)Kata Containers / containerd Shim v2virtiofsdeBPF (CubeVS 网络隔离)CoW / 快照克隆E2B SDK 兼容协议适合:①做 AI Agent / Code Interpreter,需要安全执行大模型生成的不可信代码、又要快启动和高密度的团队;②已用 E2B、想要更快/更省/可自托管的平替;③需要内核级隔离 + 网络细粒度管控的多租户 agent 平台;④想在自己机器/集群上跑大量并发沙箱的场景。不适合:只需轻量进程隔离、不在意内核级安全的简单场景(Docker 即可);以及没有 KVM/裸金属条件、或不愿自建沙箱基础设施、只想用托管服务的小团队。
来源:README 核心优势/Benchmarks,结合定位推断采用语义化版本,最新为 v0.2.2(2026-05-18,含 rc1),此前 v0.2.1(2026-05-14),发布较频繁;主分支持续高频提交(最近 push 2026-05-22)。仍处 0.2.x 早期,但已宣称在腾讯云生产环境大规模验证。
来源:GitHub Releases v0.2.2/v0.2.1;pushed_at 2026-05-22CubeSandbox 切的是 agent 时代一个绕不开的硬需求:怎么安全地跑大模型生成的不可信代码。它给出的答案在指标上很有说服力——用 Rust + KVM MicroVM 同时做到内核级隔离、<60ms 启动、<5MB 内存和单机千例,还兼容 E2B 可零成本平替、可自托管、并有腾讯云生产验证背书,这在沙箱赛道是第一梯队的组合。需要权衡的是它依赖 KVM、自建有运维成本、仍在 0.2.x 早期且部分能力待发布,极限数据也有裸金属等前提。对做 agent 代码执行、尤其想从 E2B 迁出或要自托管高密度沙箱的团队,这是当前非常值得评估的开源方案;只要轻量隔离的简单场景则不必上这套。
来源:综合 README 定位/指标、架构与依赖、版本状态的事实判断CubeSandbox 是腾讯云开源的、面向 AI Agent 的高性能安全沙箱服务,用 Rust 基于 RustVMM + KVM 构建轻量 MicroVM。它针对「让 agent 安全跑大模型生成的未知代码」这一需求:每个沙箱有独立 Guest OS 内核做硬件级隔离(杜绝容器逃逸),冷启动一个可服务沙箱端到端平均 <60ms,单实例内存开销 <5MB,单机可跑数千实例。
CubeSandbox 的核心功能包括:毫秒级冷启动、单机千例的高密部署、内核级强隔离 + eBPF 网络隔离、E2B 完美平替(零成本迁移)、生产可用 + 单机/集群部署。
约一个月即超过 5.8k 星,热度来自两点:一是腾讯云官方出品的分量;二是它精准切中 agent 时代的安全刚需——agent 会执行不可信的 LLM 生成代码,Docker 共享内核不够安全、传统 VM 又太重太慢,而 CubeSandbox 用 MicroVM 同时做到内核级隔离 + 毫秒级启动 + 极低内存 + 单机高密度,还兼容 E2B(行业事实标准)可零成本平替,对做 agent 代码执行的人吸引力很强。
适合:①做 AI Agent / Code Interpreter,需要安全执行大模型生成的不可信代码、又要快启动和高密度的团队;②已用 E2B、想要更快/更省/可自托管的平替;③需要内核级隔离 + 网络细粒度管控的多租户 agent 平台;④想在自己机器/集群上跑大量并发沙箱的场景。不适合:只需轻量进程隔离、不在意内核级安全的简单场景(Docker 即可);以及没有 KVM/裸金属条件、或不愿自建沙箱基础设施、只想用托管服务的小团队。