Wenn Ihr KI-Agent Code schreiben kann, kann er schlechten Code schreiben. Wenn er Tools aufrufen kann, kann er das falsche Tool mit den falschen Argumenten aufrufen. Die Lösung ist kein intelligenterer Prompt. Es ist eine Isolationsgrenze zwischen der Ausgabe des Modells und der Maschine, die es ausführt. CubeSandbox ist eines der Systeme, die genau für diese Grenze entwickelt wurden, und es lohnt sich zu verstehen, was es tut, wie es sich von anderen Ansätzen unterscheidet und wo es passt, wenn Ihre Agenten beginnen, echte APIs und echte Daten zu berühren.
Kurz gesagt (TL;DR)
CubeSandbox ist ein quelloffener, hardwareisolierter Sandbox-Dienst von Tencent Cloud zum Ausführen von KI-Agent-Code. Jede Sandbox erhält einen eigenen Gast-OS-Kernel über KVM, startet in etwa 60 ms und verbraucht weniger als 5 MB Speicher-Overhead. Es ist unter der Apache 2.0-Lizenz verfügbar und ist drop-in-kompatibel mit dem E2B SDK.
Einleitung
Agentenbasierte Systeme schreiben und führen nun Code in der Produktion aus. Ein Codierungsagent generiert ein Python-Skript und führt es aus. Ein Recherche-Agent scrapt eine Seite, parst sie und leitet das Ergebnis in einen weiteren Schritt. Ein Datenagent lädt eine CSV-Datei und führt Transformationen aus, die das Modell zur Laufzeit entschieden hat. Keiner dieser Codes wurde vor der Ausführung von einem Menschen überprüft. Das ist das Kernproblem, das Agenten-Sandboxing löst: Sie müssen nicht vertrauenswürdige, vom Modell generierte Anweisungen ausführen, ohne ihnen Ihren Host, Ihr Dateisystem, Ihre Anmeldeinformationen oder Ihr Netzwerk preiszugeben.
Dies wird wichtiger, je autonomer Agenten werden. Ein Modell, das bei einer SQL-Abfrage falsch liegt, ist ärgerlich. Ein Modell, das bei rm -rf falsch liegt oder das einer eingeschleusten Anweisung auf einer gescrapten Webseite folgt, ist ein Sicherheitsvorfall. Sandboxing zieht eine klare Linie: Der Agent kann innerhalb einer wegwerfbaren, isolierten Umgebung tun, was er will, und nichts, was er tut, dringt nach außen.
Es gibt ein zweites, stilleres Problem. Agenten führen nicht nur Code aus; sie rufen APIs und Tools auf. Bevor Sie einem Agenten vertrauen, Ihre Zahlungs-API oder Ihre internen Dienste aus einer Sandbox heraus zu erreichen, müssen Sie wissen, dass diese APIs korrekt funktionieren und dass der Agent sie so aufruft, wie Sie es erwarten. Hier kommt die API-Tooling neben der Laufzeitisolation ins Spiel. Eine Plattform wie Apidog ermöglicht es Ihnen, die Endpunkte, die ein Agent aufrufen wird, zu mocken und zu testen, sodass Sie den Vertrag validieren, bevor ein autonomes System ihn in einem Sandbox-Lauf antreibt. Wenn Sie bereits über Agentenarchitektur nachdenken, behandelt unser Leitfaden zur agentenbasierten KI-Architektur, wie diese Ausführungs- und Tool-Schichten zusammenpassen.
Der Rest dieses Artikels erklärt, was CubeSandbox ist, warum KI-Agenten überhaupt eine Sandbox benötigen, wie sich Isolationsmodelle unterscheiden und wie dies mit dem Testen der APIs zusammenhängt, von denen Ihre Agenten abhängen.
Was ist CubeSandbox?
CubeSandbox ist ein Sicherheitssandbox-System zum Ausführen von KI-Agent-Code, das von Tencent Cloud im April 2026 unter der Apache 2.0-Lizenz als Open Source veröffentlicht wurde. Sein GitHub-Slogan beschreibt es einfach: „Sofortige, gleichzeitige, sichere und leichte Sandbox für KI-Agenten.“ Es ist nicht nur ein SDK. Es ist der gesamte Sandbox-as-a-Service-Stack, der hauptsächlich in Rust geschrieben ist und den Sie selbst bereitstellen können.
Die Architektur basiert auf RustVMM und KVM, derselben Linux-Kernel-Virtualisierungsebene, die von vielen Cloud-Hypervisoren verwendet wird. Laut der Projektdokumentation und der offiziellen Ankündigung ist das System in mehrere Komponenten aufgeteilt:
- CubeAPI: ein REST-Gateway, das die E2B-Sandbox-Schnittstelle spiegelt.
- CubeMaster: der Cluster-Orchestrator, der Sandboxes über Knoten hinweg plant.
- CubeHypervisor und CubeShim: die KVM-Virtualisierungsebene, die jede MicroVM startet und verwaltet.
- Cubelet und CubeProxy: Agenten auf Knotenebene, die Sandboxes ausführen und an sie weiterleiten.
- CubeVS: eine eBPF-gestützte Netzwerkschicht, die die Netzwerkisolation zwischen Sandboxes auf Kernelebene durchsetzt.
Die herausragende Eigenschaft ist, dass jede Sandbox einen eigenen dedizierten Gast-OS-Kernel erhält. Das ist ein anderes und stärkeres Isolationsmodell als ein Container, der den Host-Kernel gemeinsam nutzt. Die veröffentlichten Zahlen von Tencent geben eine Kaltstartzeit von etwa 60 ms bei einfacher Parallelität (durchschnittlich 67 ms mit P95 um 90 ms bei 50 gleichzeitigen Erstellungen), weniger als 5 MB Speicher-Overhead pro Instanz und die Möglichkeit, Tausende von Sandboxes auf einem einzigen großen Host auszuführen, an. Die Pressematerialien zitieren einen 96-vCPU-Server, der mehr als 2.000 gleichzeitige Sandboxes unterstützt. Tencent gibt an, dass CubeSandbox in seiner eigenen Infrastruktur in großem Maßstab eingesetzt wurde und dass MiniMax es für großangelegtes agentenbasiertes Reinforcement-Learning-Training in heterogenen Umgebungen verwendet hat.
Einige erweiterte Funktionen, wie das ereignisbasierte Snapshot-Rollback zum Speichern und Wiederherstellen des Sandbox-Zustands, werden noch als in Entwicklung beschrieben. Betrachten Sie zukunftsgerichtete Elemente als Roadmap, nicht als garantierte Lieferungen, und überprüfen Sie das Repository auf den aktuellen Status. Die öffentliche Benchmark-Methodik über die eigenen Zahlen des Anbieters hinaus ist begrenzt, daher sollten Sie die Leistungsangaben anhand Ihrer eigenen Arbeitslast validieren.
Für die maßgeblichen Details sind die CubeSandbox GitHub-Repository und die offizielle Dokumentationsseite die primären Quellen.
Warum KI-Agenten eine Sandbox benötigen
Es hilft, die Bedrohungen konkret zu benennen, denn „Sicherheit“ ist zu vage, um darauf basierend zu entwickeln. Es gibt drei Fehlermodi, die Teams zum Sandboxing drängen.
Riskante generierte Codes. Ein Modell erstellt Code, den es für korrekt hält. Manchmal ist er es nicht. Er löscht das falsche Verzeichnis, erschöpft den Speicher in einer engen Schleife oder schreibt eine Datei an eine Stelle, an die er nicht sollte. Nichts davon ist böswillig; es ist einfach falsch, und falscher Code mit Host-Zugriff ist gefährlich. Der Agent hat kein Konzept von Explosionsradius, es sei denn, Sie geben ihm eines.
Nicht vertrauenswürdige Tool-Aufrufe. Agenten rufen Tools und APIs auf, basierend auf dem, was das Modell zur Laufzeit entscheidet. Wenn das Modell durch eine Prompt-Injection gesteuert wird, die in einem Dokument, einer Webseite oder einer Tool-Antwort verborgen ist, kann es ein destruktives Tool aufrufen, vom Angreifer kontrollierte Argumente übergeben oder Aufrufe auf eine Weise verketten, die Sie nie beabsichtigt haben. Das Modell ist hier kein vertrauenswürdiger Akteur; es ist ein Interpreter jeglichen Textes, der sein Kontextfenster erreicht. Wir gehen in unserem Artikel über KI-Agenten als neue API-Konsumenten tiefer darauf ein, der erklärt, warum traditionelle API-Vertrauensannahmen bei autonomen Aufrufern zerbrechen.
Datenexfiltration. Das ist der Punkt, den viele unterschätzen. Ein Agent mit Netzwerkzugriff und Zugriff auf Geheimnisse kann in einen Exfiltrationskanal verwandelt werden. Eine vergiftete Anweisung befiehlt dem Agenten, eine Umgebungsvariable mit einem API-Schlüssel zu lesen und sie an einen externen Endpunkt zu POSTen. Ohne Egress-Filterung und Anmeldeinformationsisolation ist die Sandbox-Grenze bedeutungslos, da die Daten durch die Vordertür entweichen. Aus diesem Grund kombiniert CubeSandbox Kernel-Level-Isolation mit eBPF-basierter Egress-Filterung durch CubeVS; die Isolation des Prozesses ist nicht ausreichend, wenn das Netzwerk weit offen ist.
Der gemeinsame Nenner: Sie können nicht davon ausgehen, dass der Agent sich angemessen verhält, da das Verhalten des Agenten teilweise durch die nicht vertrauenswürdigen Daten kontrolliert wird, die er aufgenommen hat. Eine Sandbox ermöglicht es Ihnen, aufzuhören, darüber nachzudenken, ob das Modell vertrauenswürdig ist, und stattdessen über eine Grenze nachzudenken, die in jedem Fall hält. Für eine praktische Sichtweise zur Untersuchung dieser Verhaltensweisen, bevor sie in die Produktion gelangen, siehe wie man KI-Agenten testet, die APIs aufrufen.
Wie Agenten-Sandboxes funktionieren: Die Isolationsmodelle
Nicht alle Sandboxes isolieren auf die gleiche Weise, und die Unterschiede sind sowohl für die Sicherheit als auch für die Leistung wichtig. Im Agenten-Ökosystem finden Sie vier grobe Ansätze.
Isolation auf Prozessebene. Der Code wird als eingeschränkter OS-Prozess mit seccomp-Filtern, herabgestuften Fähigkeiten, Namespaces und Cgroups ausgeführt. Dies ist die leichteste und schwächste Option. Sie teilt sich den Host-Kernel, sodass ein Kernel-Exploit einen Host-Kompromiss bedeutet. Gut für Code, dem Sie größtenteils vertrauen; dünn für beliebige Modelloutputs.
Container. Docker-ähnliche Container fügen Namespacing und Ressourcenlimits hinzu und sind betrieblich vertraut. Aber Container teilen sich den Host-Kernel von Design her. Container-Escape-Schwachstellen sind eine reale und wiederkehrende Klasse von Fehlern, und „nicht vertrauenswürdiger Code in einem Container mit gemeinsamem Kernel“ ist eine bekannte Schwachstelle. Viele Teams beginnen hier, weil es einfach ist, stoßen dann aber an die Isolationsgrenze.
MicroVMs. Eine MicroVM bootet einen minimalen Gast-Kernel innerhalb der Hardware-Virtualisierung (KVM). Der Code des Agenten läuft auf einem eigenen Kernel, sodass ein Kernel-Exploit auf eine Wegwerf-VM beschränkt ist, nicht auf den Host. Firecracker hat dieses Modell für serverlose Workloads populär gemacht, und CubeSandbox fällt in diese Kategorie, indem es RustVMM und KVM mit einem pro-Sandbox-Gast-Kernel verwendet. Der historische Kompromiss war die Startzeit; MicroVMs waren langsamer zu booten als Container. Moderne Implementierungen begegnen dem mit Snapshotting und Ressourcen-Vorprovisionierung, wodurch CubeSandbox Startzeiten unter 100 ms meldet.
Anwendungs-Kernel. gVisor geht einen anderen Weg: Es fängt Systemaufrufe im Userspace ab und implementiert selbst eine Linux-ähnliche Schnittstelle, sodass die Arbeitslast niemals direkt mit dem Host-Kernel kommuniziert. Dies ist eine starke Isolationsschicht ohne eine vollständige VM, mit einigen Kompromissen bei der Syscall-Kompatibilität und Leistung.
Hier ist ein Vergleich der Ansätze hinsichtlich der für Agenten relevanten Dimensionen:
| Ansatz | Isolationsstärke | Kaltstart | Overhead | Kernel-Sharing | Beispiele |
|---|---|---|---|---|---|
| Prozess + seccomp | Niedrig | Sofort | Minimal | Geteilter Host-Kernel | Eingeschränkter Subprozess, nsjail |
| Container | Mittel | ~Zehner von ms | Niedrig | Geteilter Host-Kernel | Docker, containerd |
| MicroVM | Hoch | ~50–150ms | Niedrig–Mittel | Dedizierter Gast-Kernel | CubeSandbox, Firecracker |
| Anwendungs-Kernel | Hoch | ~Zehner von ms | Niedrig–Mittel | Im Userspace abgefangen | gVisor |
| Gehostete Sandbox-API | Hoch (verwaltet) | Variiert | Für Sie verwaltet | Für Sie verwaltet | E2B, gehostete Angebote |
Es gibt keinen alleinigen Gewinner. Die richtige Wahl hängt davon ab, wie sehr Sie dem Code vertrauen, wie schnell Kaltstarts sein müssen, ob Sie KVM ausführen können und ob Sie die Infrastruktur selbst betreiben oder als Dienstleistung nutzen möchten.
CubeSandbox in der Landschaft
Die Positionierung von CubeSandbox ist spezifisch: Hardware-Level-Isolation mit Kaltstarts, die schnell genug sind, um sich wie ein Container anzufühlen, bereitgestellt als etwas, das Sie selbst betreiben, anstatt als gemieteter Dienst. Das führt zu einem direkten konzeptuellen Vergleich mit drei Referenzpunkten.
Im Vergleich zu Containern. Ein Container teilt sich den Host-Kernel; CubeSandbox gibt jeder Sandbox einen eigenen. Für beliebigen, von Agenten generierten Code ist das das Sicherheitsargument. Der Preis ist, dass Sie einen KVM-fähigen x86_64 Linux-Host benötigen (einen Bare-Metal-Server, eine Cloud-VM, die verschachtelte Virtualisierung unterstützt, oder WSL 2 für lokale Arbeiten). Wenn Ihre Plattform KVM nicht bereitstellen kann, ist eine MicroVM-basierte Isolation für Sie nicht verfügbar, und ein Userspace-Ansatz wie gVisor oder eine gehostete API könnte besser passen.
Im Vergleich zu Firecracker. Firecracker ist die bekannte MicroVM für Serverless und selbst ein Baustein, kein Agenten-Sandbox-Produkt. CubeSandbox basiert ebenfalls auf KVM/RustVMM, befindet sich aber höher im Stack: ein Orchestrator, ein E2B-kompatibles API-Gateway und eBPF-Netzwerkisolation, sodass Sie einen Agenten-Sandbox-Dienst bereitstellen, anstatt einen zusammenzubauen. Wenn Sie Primitive wollen, Firecracker. Wenn Sie einen Sandbox-Dienst mit einer Agenten-gerechten API wollen, zielt CubeSandbox darauf ab.
Im Vergleich zu E2B und gehosteten Sandboxes. E2B bietet isolierte Sandboxes als Managed Service an; Sie rufen eine API auf und die Infrastruktur ist das Problem eines anderen. Die bemerkenswerte Designentscheidung von CubeSandbox ist die E2B SDK-Kompatibilität. Die Dokumentation beschreibt es als Drop-in-Ersatz: Zeigen Sie E2B_API_URL auf Ihre selbst gehostete Cube-Instanz und der vorhandene Code funktioniert weiterhin. Das macht die eigentliche Entscheidung weniger zu „welche Sandbox“ und mehr zu „Managed Service versus selbst gehostete Infrastruktur“, wobei Datenresidenz, Kosten im Maßstab und Betriebsverantwortung die entscheidenden Faktoren sind. Laut Ankündigung von Tencent unterstützt es auch nativ das OpenAI Python SDK.
Die ehrliche Zusammenfassung: CubeSandbox ist ein glaubwürdiger Neuzugang im Bereich der Agenten-Sandboxes mit einer klaren These (starke Isolation, schnelle Starts, selbst gehostet, E2B-kompatibel). Es ist jedoch auch neu und größtenteils vom Hersteller dokumentiert, sodass unabhängige Benchmarks rar sind. Prototypisieren Sie es mit Ihrer Arbeitslast und messen Sie Kaltstart, Dichte und Isolationsverhalten, bevor Sie sich festlegen.
Wie dies mit dem Testen der APIs und Tools zusammenhängt, die Ihre Agenten aufrufen
Laufzeitisolation beantwortet die Frage „was ist, wenn der Code schlecht ist“. Sie beantwortet nicht die Frage „was ist, wenn die API, die der Agent aufruft, schlecht ist, oder der Agent sie falsch aufruft“. Das sind unterschiedliche Probleme, und Sie müssen beide abdecken.
Stellen Sie sich einen Sandkasten-Agenten vor, der Reisen bucht. Der Code läuft sicher innerhalb von CubeSandbox. Aber der Agent ruft immer noch eine Flug-API, eine Zahlungs-API und einen internen Reiseplan-Dienst auf. Wenn eine davon eine falsch formatierte Antwort zurückgibt, kann der Agent in einer Schleife hängen bleiben, eine Wiederherstellung halluzinieren oder schlechte Daten weiterleiten. Wenn er die Zahlungs-API mit dem falschen Idempotenzschlüssel aufruft, rettet Sie die Isolation nicht; das Geld bewegt sich trotzdem. Die Sandbox schützt den Host vor dem Agenten. Sie schützt Ihre Systeme nicht vor einem verwirrten Agenten, der echte Aufrufe an echte Dienste tätigt.
Der Workflow, der tatsächlich Bestand hat, hat also zwei Schichten, die zusammenarbeiten:
- Ausführung isolieren, damit vom Modell generierter Code und Tool-Aufrufe den Host nicht schädigen oder Daten exfiltrieren können. Das ist die CubeSandbox-Schicht.
- Den Vertrag validieren jeder API und jedes Tools, das der Agent erreichen kann, vor und während Sandbox-Läufen. Das ist die API-Tooling-Schicht.
Für die zweite Ebene mocken Sie die Abhängigkeiten, sodass der Agent während des Testens des Verhaltens mit einem kontrollierten Stellvertreter kommuniziert, und testen dann die realen Endpunkte auf Schema-Konformität, Fehlerbehandlung, Authentifizierung und Grenzfälle. Mit Apidog können Sie einen Mock-Server erstellen, der deterministische, schema-genaue Antworten zurückgibt, den Sandkasten-Agenten darauf zeigen und beobachten, wie der Agent auf Erfolgs- und Fehlerpfade reagiert, ohne die Produktion zu berühren. Wenn Sie bereit sind, führen Sie dieselben Szenarien gegen die Live-API aus, um zu bestätigen, dass der Vertrag hält. Unser Leitfaden zum Sandbox-Testen behandelt die allgemeine Praxis des Testens in isolierten, kontrollierten Umgebungen, was hier direkt anwendbar ist.
Diese Kombination ist wichtig, weil Agenten die Vertragsdrift verstärken. Ein Mensch bemerkt, wenn eine API-Antwort seltsam aussieht. Ein Agent tut dies oft nicht; er nimmt die Antwort auf und handelt danach. Strikte API-Verträge, die mit Mocks und Tests überprüft werden, verhindern, dass ein autonomer Aufrufer eine einzelne schlechte Antwort zu einer Kaskade verstärkt. Wenn Ihre Agenten das Model Context Protocol sprechen, erweitert das Testen von MCP-Servern mit Apidog die gleiche Disziplin auf die Tool-Ebene. Und wenn Sie APIs für Agenten-Konsumenten entwerfen, behandelt das Entwerfen von APIs für KI-Agenten die Vertragmuster, die autonome Aufrufe vorhersehbar machen.
Anwendungsfälle in der Praxis
Einige Muster, bei denen der Isolations-plus-Vertrags-Ansatz seinen Wert zeigt:
Programmieragenten und Code-Interpreter. Ein Modell schreibt und führt Code aus, um eine Frage zu beantworten, Daten zu transformieren oder ein Diagramm zu generieren. Dies ist der kanonische Sandbox-Anwendungsfall und derjenige, den E2B-kompatible APIs direkt ansprechen. Der Pro-Sandbox-Kernel von CubeSandbox ist hier wichtig, da der Code vollständig beliebig ist und sich bei jeder Ausführung ändert.
Mandantenfähige Agenten-Plattformen. Wenn Agenten vieler Kunden Code auf einer gemeinsamen Infrastruktur ausführen, ist die Isolation auf Containerebene zwischen den Mandanten riskant. Hardware-Isolation pro Sandbox bietet eine Mandantengrenze, die auch dann hält, wenn der Agent eines Mandanten feindselig ist. Die gemeldete Dichte (Tausende von Sandboxes pro Host) macht dies praktikabel, anstatt eine VM pro Mandant zu verwenden.
Agentenbasiertes RL und Trainingsschleifen. Das Training von Agenten mit Reinforcement Learning bedeutet, eine enorme Anzahl kurzlebiger, nicht vertrauenswürdiger Rollouts auszuführen. Tencent zitiert MiniMax, das CubeSandbox genau dafür in heterogenen Umgebungen einsetzt. Schneller Kaltstart und geringer Overhead pro Instanz machen den Unterschied zwischen einem Trainingslauf, der machbar ist, und einem, der es nicht ist.
Werkzeugverwendende Recherche- und Datenagenten. Ein Agent ruft externe Inhalte ab, parst sie und ruft nachgelagerte APIs auf. Die abgerufenen Inhalte sind nicht vertrauenswürdig (Prompt-Injection-Risiko), daher gehören das Parsen und der generierte Code in eine Sandbox, während nachgelagerte APIs zuerst gegen Mocks getestet werden sollten. Hier zahlt sich die Kombination von Isolation mit API-Vertragstests am meisten aus.
Ausführung nicht vertrauenswürdiger Plugins oder Erweiterungen. Wenn Benutzer Tools oder Code bereitstellen können, die Ihr Agent ausführt, führen Sie per Definition nicht vertrauenswürdigen Drittanbietercode aus. Eine MicroVM-Grenze pro Ausführung ist die angemessene Haltung, die gleiche Argumentation, die Serverless-Plattformen bei der Einführung von Firecracker verwendeten.
Fazit
Agenten-Sandboxing wurde nicht mehr optional, sobald Agenten ohne menschliche Überprüfung Code auszuführen und Tools aufzurufen begannen. CubeSandbox ist eine konkrete, offene Antwort auf die Isolationshälfte dieses Problems.
Wichtige Erkenntnisse:
- CubeSandbox ist real und spezifisch: Tencents Cloud’s Apache 2.0 Open-Source-Sandbox für KI-Agenten, basierend auf RustVMM und KVM, mit dedizierten Gast-Kerneln pro Sandbox.
- Das Isolationsmodell ist der entscheidende Punkt: Ein dedizierter Kernel pro Sandbox ist stärker als Container-Isolation für beliebigen, vom Modell generierten Code, mit gemeldeten Kaltstarts unter 100 ms und weniger als 5 MB Overhead.
- E2B-Kompatibilität senkt die Umstiegskosten: Wenn Sie E2B nutzen, formuliert der dokumentierte Drop-in-Pfad die Wahl als verwaltet versus selbst gehostet um, nicht als Neuschreibung.
- Betrachten Sie Herstellerangaben als Ausgangspunkt: Die Leistungs- und Dichteansprüche stammen größtenteils von Tencent; benchmarken Sie gegen Ihre eigene Arbeitslast und überprüfen Sie das Repository, welche Funktionen bereits ausgeliefert wurden und welche noch in Entwicklung sind.
- Isolation ist notwendig, aber nicht ausreichend: Eine Sandbox schützt Ihren Host vor dem Agenten; sie schützt Ihre APIs nicht vor einem verwirrten Agenten, der sie aufruft.
- Kombinieren Sie Laufzeitisolation mit API-Vertragstests: Mocken und testen Sie jeden Endpunkt, den ein Agent erreichen kann, damit eine einzelne schlechte Antwort keine Kaskade auslöst.
Wenn Ihre Agenten APIs aufrufen, die Sie besitzen oder von denen Sie abhängen, richten Sie die Vertragsebene parallel zur Isolationsebene ein. Laden Sie Apidog herunter, um die Dienste, die Ihre Sandkasten-Agenten erreichen, zu mocken und auf Schema, Authentifizierung und Fehlerverhalten zu testen, bevor ein autonomes System sie in der Produktion antreibt.