CubeSandbox: とは何なのか、どのような問題を解決し、なぜ注目を集めているのか

解決する問題

CubeSandboxは、AIエージェントが信頼できないコードを実行するための、安全で高性能な環境を提供します。セキュリティ（ハードウェアレベルの分離）とパフォーマンス（高速な起動と低いメモリオーバーヘッド）のトレードオフを解消し、Dockerコンテナで一般的な共有カーネルからの脱出リスクなしに、単一のノード上で数千の分離されたサンドボックスを実行することを可能にします。

仕組み

RustVMMとKVMに基づいて構築されたCubeSandboxは、各サンドボックスに独自のGuest OSカーネルを提供するMicroVMを作成します。ほぼ瞬時のクローニングとロールバックを実現するために、カスタムのCopy-on-Write (CubeCoW) スナップショットエンジンを使用しています。アーキテクチャは、E2B SDKと互換性のあるRustベースのAPIゲートウェイ (CubeAPI)、クラスターオーケストレーター (CubeMaster)、およびカーネルレベルの分離とL7ドメインフィルタリングにeBPFを使用する特化型ネットワークレイヤー (CubeVSおよびCubeEgress) で構成されています。

対象ユーザー

コードの実行、ブラウザの自動化、または安全でスケーラブルかつ分離された環境でのRLトレーニングを行う必要があるAIエージェントを構築している開発者向けに設計されています。

ハイライト

• 極限のパフォーマンス: インスタンスあたりのメモリオーバーヘッドが5MB未満で、コールドスタートが60ms未満。
• ハードウェア分離: コンテナ脱出攻撃を防ぐために、すべてのサンドボックスに専用のカーネルを提供。
• E2B互換性: ビジネスロジックの変更なしで、E2B SDKのドロップインリプレースメントとして使用可能。
• 状態管理: 数百ミリ秒単位のチェックポイント、クローニング、および保存された状態へのロールバックをサポート。
• セキュリティツール: APIキーをサンドボックスから隔離するためのクレデンシャルヴォルト、およびドメインのホワイトリスト登録のためのエグレス制御を含みます。