CubeSandbox: 무엇인지, 어떤 문제를 해결하며, 왜 인기를 얻고 있는지

해결하는 문제

CubeSandbox는 AI 에이전트가 신뢰할 수 없는 코드를 실행할 수 있는 안전하고 고성능인 환경을 제공합니다. 보안(하드웨어 수준의 격리)과 성능(빠른 시작 및 낮은 메모리 오버헤드) 사이의 절충안을 제거하여, 개발자가 Docker 컨테이너에서 흔히 발생하는 공유 커널 탈출 위험 없이 단일 노드에서 수천 개의 격리된 샌드박스를 실행할 수 있도록 합니다.

작동 방식

RustVMM과 KVM을 기반으로 구축된 CubeSandbox는 각 샌드박스에 자체 Guest OS 커널을 제공하는 MicroVM을 생성합니다. 거의 즉각적인 클로닝 및 롤백을 위해 커스텀 Copy-on-Write (CubeCoW) 스냅샷 엔진을 사용합니다. 아키텍처는 E2B SDK와 호환되는 Rust 기반 API 게이트웨이 (CubeAPI), 클러스터 오케스트레이터 (CubeMaster), 그리고 커널 수준의 격리 및 L7 도메인 필터링을 위해 eBPF를 사용하는 특화된 네트워킹 레이어 (CubeVS 및 CubeEgress)로 구성됩니다.

대상 사용자

코드를 실행하거나, 브라우저 자동화를 수행하거나, 안전하고 확장 가능하며 격리된 환경에서 RL training을 수행해야 하는 AI 에이전트를 구축하는 개발자를 위해 설계되었습니다.

주요 특징

• Extreme Performance: 인스턴스당 5MB 미만의 메모리 오버헤드로 60ms 미만의 Cold start를 지원합니다.
• Hardware Isolation: 컨테이너 탈출 공격을 방지하기 위해 모든 샌드박스에 전용 커널을 제공합니다.
• E2B Compatibility: 비즈니스 코드 변경 없이 E2B SDK를 즉시 대체할 수 있습니다.
• State Management: 수백 밀리초 단위의 체크포인트, 클로닝 및 저장된 상태로의 롤백을 지원합니다.
• Security Tooling: API 키를 샌드박스 외부로 유지하기 위한 credential vault와 도메인 허용 목록을 위한 egress control을 포함합니다.