TencentCloud/CubeSandbox는 AI 에이전트용 샌드박스를 빠르게 띄우는 프로젝트다. README는 RustVMM과 KVM 기반, E2B SDK 호환, 60ms 미만 cold start, 5MB 미만 메모리 오버헤드를 전면에 둔다. 숫자만 보면 고성능 샌드박스처럼 보이지만, 더 흥미로운 지점은 브라우저 자동화를 다루는 방식이다.
examples/browser-sandbox는 Chromium을 샌드박스 VM 안에서 remote-debugging-port=9000으로 실행하고, 바깥의 Playwright가 CDP WebSocket으로 접속하는 구조를 보여준다. CubeProxy는 <port>-<sandbox_id>.<domain> 형태의 주소를 해당 VM 포트로 라우팅한다. 호스트 브라우저를 여러 에이전트가 같이 만지는 모델이 아니라, 에이전트 실행마다 분리된 브라우저 VM을 받는 모델에 가깝다.
이 설계는 웹 스크래핑, 임의 사이트 UI 테스트, screenshot/PDF 생성, 에이전트 브라우징 작업과 잘 맞는다. 이런 작업은 페이지 안의 JavaScript, 다운로드 파일, 쿠키, 세션, 네트워크 호출이 모두 섞인다. CubeSandbox는 각 샌드박스가 Guest OS kernel을 갖는 KVM MicroVM이라고 설명하며, Docker의 shared-kernel 모델과 다른 격리 경계를 제시한다.
네트워크 쪽도 repo가 공을 들인 부분이다. CubeVS는 eBPF 기반으로 샌드박스별 NAT와 정책을 처리하고, CubeEgress는 HTTP/HTTPS egress를 L7에서 필터링하거나 차단하거나 credential을 주입한다. v0.4 설명에는 credential vault가 추가되어, 에이전트가 외부 API를 호출해도 키가 샌드박스나 모델 컨텍스트, 로그에 들어가지 않도록 하는 방향이 담겨 있다.
물론 이것은 단순한 개발 편의 도구라기보다 운영 컴포넌트에 가깝다. x86_64 Linux와 KVM이 필요하고, 템플릿, CubeProxy 라우팅, egress rule, 감사 로그까지 이해해야 한다. 작은 로컬 자동화에는 과할 수 있다. 대신 에이전트가 브라우저와 셸을 함께 다루고, 외부 사이트와 API를 계속 만지는 환경이라면 질문이 달라진다. 얼마나 빨리 실행하느냐만큼, 그 실행을 어디까지 믿고 어디서 끊을지가 중요해진다. CubeSandbox는 그 경계를 MicroVM, eBPF 네트워크 정책, egress proxy, credential vault로 나눠 잡는 프로젝트다.