CubeSandbox 是什么?

CubeSandbox 是腾讯云开源的、面向 AI Agent 的高性能安全沙箱服务,用 Rust 基于 RustVMM + KVM 构建轻量 MicroVM。它针对「让 agent 安全跑大模型生成的未知代码」这一需求:每个沙箱有独立 Guest OS 内核做硬件级隔离(杜绝容器逃逸),冷启动一个可服务沙箱端到端平均 <60ms,单实例内存开销 <5MB,单机可跑数千实例。对外完全兼容 E2B SDK,只换一个 URL 就能从 E2B 平滑切过来。支持单机与集群部署,已在腾讯云生产环境大规模验证,Apache-2.0 开源。

⭐ 9,740 Stars 🍴 959 Forks Rust NOASSERTION 作者: TencentCloud 商业引流:中
来源:README_zh.md 顶部/核心优势/架构概览;GitHub TencentCloud/CubeSandbox,desc 查看 GitHub 仓库 →

为什么值得关注

约一个月即超过 5.8k 星,热度来自两点:一是腾讯云官方出品的分量;二是它精准切中 agent 时代的安全刚需——agent 会执行不可信的 LLM 生成代码,Docker 共享内核不够安全、传统 VM 又太重太慢,而 CubeSandbox 用 MicroVM 同时做到内核级隔离 + 毫秒级启动 + 极低内存 + 单机高密度,还兼容 E2B(行业事实标准)可零成本平替,对做 agent 代码执行的人吸引力很强。

来源:GitHub 5,858 stars / 449 forks,created 2026-04-10;README 核心优势/Benchmarks

核心功能

毫秒级冷启动

基于资源池化预置 + 快照克隆,跳过耗时初始化,端到端冷启动一个可服务沙箱平均 <60ms(裸金属单并发 60ms,50 并发平均 67ms,P95 90ms/P99 137ms),整体百毫秒级。

来源:README 核心优势/Benchmarks(测试数据说明)
单机千例的高密部署

用 CoW(写时复制)大幅复用内存、Rust 重构底层裁剪,单实例内存开销低至 <5MB(≤32GB 规格实测),可在单机跑起数千个 agent 沙箱。

来源:README 核心优势/Benchmarks
内核级强隔离 + eBPF 网络隔离

每个 agent 拥有独立 Guest OS 内核(而非 Docker 共享内核 Namespace),杜绝容器逃逸,可放心跑未知代码;网络侧用基于 eBPF 的 CubeVS 在内核态做严格的沙箱间隔离与细粒度出站流量过滤。

来源:README 核心优势(隔离/网络安全);架构 CubeVS
E2B 完美平替(零成本迁移)

原生兼容 E2B SDK 接口规范,只需替换一个 URL 环境变量、无需改业务代码即可从 E2B 切到 CubeSandbox,并获得更好性能。

来源:README 核心优势/架构概览(CubeAPI/CubeProxy 兼容 E2B)
生产可用 + 单机/集群部署

可一键部署,支持单机与多机集群;已在腾讯云生产环境经历大规模服务验证;规划中还有百毫秒级事件级快照回滚(基于快照快速创建分叉探索环境)。

来源:README 核心优势(生产可用/开箱即用/快照回滚 coming soon)

技术架构

Rust 实现的分层微服务架构,把「网关—调度—节点—虚拟化—网络」拆得很清楚:CubeAPI 是兼容 E2B 的 REST API 网关(替换 URL 即可从 E2B 切入);CubeMaster 是编排调度器,接 API 请求分发到对应节点并维护资源与集群状态;CubeProxy 是兼容 E2B 协议的反向代理,把请求路由到具体沙箱;Cubelet 是计算节点本地调度组件,管理单节点所有沙箱实例的完整生命周期;CubeVS 是基于 eBPF 内核态转发的虚拟交换机,负责网络隔离与安全策略;虚拟化层由 CubeHypervisor(管理 KVM MicroVM)与 CubeShim(实现 containerd Shim v2,把沙箱接入容器运行时)组成。底层站在 Cloud Hypervisor、Kata Containers、virtiofsd、containerd-shim-rs 等开源项目之上并按自身运行模型做了定制。整体是『E2B 兼容网关 + 分布式编排 + MicroVM 虚拟化 + eBPF 网络』的完整工程化方案。

来源:README_zh.md 架构概览(组件表)/许可证致谢;tree(CubeAPI/CubeMaster/CubeProxy/Cubelet/CubeNet/CubeShim/hypervisor)

项目知识图谱

知识图谱:项目核心节点(中心)+ 核心功能(内环六边形)+ 关键技术依赖(外环 chip) RustVMM / KVM (MicroVM)RustVMM / KVM Cloud Hypervisor (定制)Cloud Hypervis… Kata Containers / containerd Shim v2Kata Container… virtiofsd eBPF (CubeVS 网络隔离)eBPF 毫秒级冷启动 单机千例的高密部署 内核级强隔离 + eBPF 网络隔离内核级强隔离 + eBPF… E2B 完美平替(零成本迁移)E2B 完美平替(零成本… 生产可用 + 单机/集群部署生产可用 + 单机/集群… CubeSandbox 项目本体 核心功能 关键依赖

中心为项目本体,内环 = 核心功能模块,外环 = 关键技术依赖;按 deep.json 中的 core_features 与 tech_stack.key_deps 自动生成

技术栈

语言Rust(含 Go 组件 Cubelet)框架RustVMM + KVM MicroVM + eBPF
RustVMM / KVM (MicroVM)Cloud Hypervisor (定制)Kata Containers / containerd Shim v2virtiofsdeBPF (CubeVS 网络隔离)CoW / 快照克隆E2B SDK 兼容协议
单机或多机集群自托管;裸金属性能最优;一键部署;已在腾讯云生产大规模验证
来源:README 顶部/架构/许可证致谢;tree

快速上手

按 README/文档快速开始:clone 仓库(国内可用镜像 https://cnb.cool/CubeSandbox/CubeSandbox),用提供的部署脚本/Makefile 一键部署,支持单机与集群。最大亮点是 E2B 平替——把你现有 E2B SDK 的 base URL 环境变量指向 CubeSandbox 的 CubeAPI 网关即可,无需改业务代码。沙箱在底层透明接管请求。详细创建时延、资源消耗与配置见 docs/zh 下的快速开始、架构概览与 CubeVS 网络模型文档。
来源:README_zh.md 快速开始/架构概览

使用场景

适合:①做 AI Agent / Code Interpreter,需要安全执行大模型生成的不可信代码、又要快启动和高密度的团队;②已用 E2B、想要更快/更省/可自托管的平替;③需要内核级隔离 + 网络细粒度管控的多租户 agent 平台;④想在自己机器/集群上跑大量并发沙箱的场景。不适合:只需轻量进程隔离、不在意内核级安全的简单场景(Docker 即可);以及没有 KVM/裸金属条件、或不愿自建沙箱基础设施、只想用托管服务的小团队。

来源:README 核心优势/Benchmarks,结合定位推断

优势与局限

优势

  • 安全与性能兼得:内核级 MicroVM 隔离 + <60ms 冷启动 + <5MB 内存 + 单机千例,指标硬
  • E2B 完全兼容、零成本平替,迁移摩擦极低,且可自托管、开源 Apache-2.0
  • 网络侧用 eBPF 做内核态隔离与出站过滤,安全维度比一般沙箱更完整
  • 架构清晰、工程化强(网关/调度/节点/虚拟化/网络分层),站在 Cloud Hypervisor/Kata 等成熟项目上
  • 腾讯云官方出品 + 生产大规模验证,可信度和稳定性背书强,迭代活跃

局限

  • 依赖 KVM 虚拟化,性能宣称基于裸金属,云上嵌套虚拟化或受限环境表现需自行验证
  • 自建沙箱基础设施仍有运维成本(虚拟化、网络、集群),不如直接用托管 E2B 省心
  • 仍是 0.2.x 早期版本,事件级快照回滚等部分能力 coming soon,功能与稳定性还在演进
  • 许可证 GitHub 识别为 NOASSERTION(实为 Apache-2.0 但含定制上游组件),分发/合规需逐项核对
  • 极限内存/启动数据有前提条件(规格、并发、裸金属),实际收益随环境波动
来源:README 核心优势/Benchmarks 注脚/许可证;版本与依赖推断

最新版本

采用语义化版本,最新为 v0.2.2(2026-05-18,含 rc1),此前 v0.2.1(2026-05-14),发布较频繁;主分支持续高频提交(最近 push 2026-05-22)。仍处 0.2.x 早期,但已宣称在腾讯云生产环境大规模验证。

来源:GitHub Releases v0.2.2/v0.2.1;pushed_at 2026-05-22

总结评价

CubeSandbox 切的是 agent 时代一个绕不开的硬需求:怎么安全地跑大模型生成的不可信代码。它给出的答案在指标上很有说服力——用 Rust + KVM MicroVM 同时做到内核级隔离、<60ms 启动、<5MB 内存和单机千例,还兼容 E2B 可零成本平替、可自托管、并有腾讯云生产验证背书,这在沙箱赛道是第一梯队的组合。需要权衡的是它依赖 KVM、自建有运维成本、仍在 0.2.x 早期且部分能力待发布,极限数据也有裸金属等前提。对做 agent 代码执行、尤其想从 E2B 迁出或要自托管高密度沙箱的团队,这是当前非常值得评估的开源方案;只要轻量隔离的简单场景则不必上这套。

来源:综合 README 定位/指标、架构与依赖、版本状态的事实判断

常见问题

CubeSandbox 是什么?

CubeSandbox 是腾讯云开源的、面向 AI Agent 的高性能安全沙箱服务,用 Rust 基于 RustVMM + KVM 构建轻量 MicroVM。它针对「让 agent 安全跑大模型生成的未知代码」这一需求:每个沙箱有独立 Guest OS 内核做硬件级隔离(杜绝容器逃逸),冷启动一个可服务沙箱端到端平均 <60ms,单实例内存开销 <5MB,单机可跑数千实例。

CubeSandbox 有哪些核心功能?

CubeSandbox 的核心功能包括:毫秒级冷启动、单机千例的高密部署、内核级强隔离 + eBPF 网络隔离、E2B 完美平替(零成本迁移)、生产可用 + 单机/集群部署。

CubeSandbox 为什么最近很受关注?

约一个月即超过 5.8k 星,热度来自两点:一是腾讯云官方出品的分量;二是它精准切中 agent 时代的安全刚需——agent 会执行不可信的 LLM 生成代码,Docker 共享内核不够安全、传统 VM 又太重太慢,而 CubeSandbox 用 MicroVM 同时做到内核级隔离 + 毫秒级启动 + 极低内存 + 单机高密度,还兼容 E2B(行业事实标准)可零成本平替,对做 agent 代码执行的人吸引力很强。

CubeSandbox 适合哪些使用场景?

适合:①做 AI Agent / Code Interpreter,需要安全执行大模型生成的不可信代码、又要快启动和高密度的团队;②已用 E2B、想要更快/更省/可自托管的平替;③需要内核级隔离 + 网络细粒度管控的多租户 agent 平台;④想在自己机器/集群上跑大量并发沙箱的场景。不适合:只需轻量进程隔离、不在意内核级安全的简单场景(Docker 即可);以及没有 KVM/裸金属条件、或不愿自建沙箱基础设施、只想用托管服务的小团队。

透明度声明
本页内容由 AI(大语言模型)基于以下公开材料自动生成:GitHub README、代码目录结构、依赖文件、Release 信息。 分析时间: 2026-05-22 20:32. 质量评分: 100/100.

数据来源:README、GitHub API、依赖文件