Compliance Management FOR AI Agents
AI 智能体的合规管理:治理与审计
AI 智能体合规管理的技术指南:审计跟踪、信息治理、沙盒隔离,以及为什么 MUT 等协议层至关重要。
Ollie @puppyone2026年3月31日
Puppyone 支持的沙盒对比:Docker 沙盒 vs Cloudflare 沙盒——哪个更适合你的 AI 智能体?
2026年4月23日Guanqun @puppyone
在生产环境中运行 AI 智能体时,隔离至关重要。智能体会执行代码、读写文件、调用外部服务——如果没有适当的隔离,可能造成难以挽回的损害。
Puppyone 提供两种不同的沙盒环境,满足不同的使用场景:基于 Docker 的沙盒,适合功能完整、灵活的执行;基于 Cloudflare 的沙盒,适合快速、全球分布的轻量级工作负载。本文深入分析两者的差异、各自的优势,以及如何做出选择。
什么是沙盒?
沙盒是一个隔离的执行环境,AI 智能体的操作——运行代码、访问文件、调用工具——都在其中被包含和控制。沙盒强制执行以下边界:
- 智能体可以读写什么
- 它可以发起哪些网络调用
- 它可以消耗多少 CPU 和内存
- 在被终止之前可以运行多长时间
两种沙盒类型都强制执行这些边界;它们的区别在于如何执行以及各自的权衡。
Docker 沙盒 vs Cloudflare 沙盒:最大的区别
最大的区别只有一句话:Docker 沙盒给你一台完整的 Linux 机器,Cloudflare 沙盒给你一段能跑 JavaScript 的代码。
Docker 沙盒用的是容器技术。每个沙盒就是一台独立的 Linux 服务器——你能装包(apt install、pip install)、能跑 Python、Node、Go 任何运行时、能开子进程、能读写文件系统、能让任务跑几小时。代价是启动需要几秒,每个沙盒会占用真实的 CPU 和内存。
Cloudflare 沙盒用的是 V8 Isolate——和 Chrome 隔离不同网页标签页的是同一种技术。它只能跑 JavaScript / WebAssembly:装不了包、开不了子进程、没有文件系统、单次执行通常不超过 30 秒 CPU 时间。但它在 5 毫秒内就能启动,单台机器能塞下成千上万个,还可以自动部署到 Cloudflare 全球 300+ 个边缘节点上。
| 你想做的事 | 选哪个 |
|---|---|
| 跑 Python 脚本、装库、处理数据 | Docker |
| 让智能体编辑文件、生成报告、跑 git | Docker |
| 任务要跑几分钟到几小时 | Docker |
| 几毫秒内响应一个请求 | Cloudflare |
| 高并发的 JavaScript 逻辑(路由、转换、过滤) | Cloudflare |
| 需要在全球多个地区就近执行 | Cloudflare |
下面分别展开讲。
基于 Docker 的沙盒
工作原理
每一个智能体任务都跑在一个独立的容器里——一个基于 Linux 镜像、用 namespace 和 cgroup 与宿主机隔离的环境。任务进来时,从预构建镜像拉起一个干净容器,挂载输入文件、分配工作目录、设好资源配额;任务结束时,整个容器销毁回收。这意味着每次执行都是从已知的干净状态开始,不会有上一次任务残留的进程、文件或环境变量。
你能得到什么
可自定义的镜像。 默认基础镜像基于 Ubuntu,预装 Python、Node、Git、curl 等常用工具。如果不够用,你可以提供自己的 Dockerfile(兼容 FROM、RUN、COPY、WORKDIR、ENV 等标准指令),把团队需要的语言运行时、CLI 工具、私有依赖打进去——智能体启动时直接进入一个为你的工作流准备好的环境。
可配置的资源规格。 默认 2 vCPU + 512 MB 内存,可以按任务粒度调整到最高 8 vCPU + 8 GB 内存。资源不够导致 OOM 时容器会被杀掉而不是拖垮宿主机。
任务时长可控。 默认单次任务超时 5 分钟,最长可设到 24 小时。对于跑得更久的工作流,沙盒支持 pause / resume——挂起时整个文件系统和内存状态被快照保留,恢复时从原状态继续,不需要重新初始化环境。
细粒度的网络出口控制。 默认拒绝所有外网请求。需要访问外部服务时,按域名或端口显式放行(例如只允许调用 api.openai.com 或 *.github.com),其他请求一律阻断。这对防止智能体被注入式攻击带去偷数据很关键。
与文件系统打通的工作空间。 每个沙盒挂载的不是临时目录,而是 Puppyone 文件系统中的一个有版本、有权限、有审计的命名空间。智能体在容器里写一个文件,等同于在 Puppyone 中提交一次变更——可以回滚、可以被另一个智能体读取、可以被审计追溯到具体哪个任务、哪一步操作产生的。
按容器存在时间计费。 容器从启动到销毁的每一秒都计费,不管 CPU 是不是真的在算。所以这种沙盒奖励"用完即销毁"的模式——任务跑完就把容器关掉,比让它挂在那等下一个任务划算得多。如果智能体大部分时间在等 LLM 返回或等用户输入,等待的时间也照样算钱。
不适合什么
- 需要毫秒级响应的请求(冷启动是秒级的)
- 一秒内要处理几千个独立请求的高并发场景(每个容器都要占真实资源)
- 只是跑一段轻量 JavaScript 逻辑(杀鸡用牛刀)
适合什么
- 跑 Python / Node / Shell 脚本,处理文件、调库、生成产出物
- 多步骤工作流,每一步都要在上一步的工作空间基础上继续
- 需要装包、跑编译、调用系统命令的任务
- 任何需要"一台机器"才能干的事
Puppyone 的支持程度
Puppyone 的 Docker 沙盒在接口层与 E2B 兼容,意味着已有的基于 E2B 写的智能体代码几乎可以零改动迁移过来——Sandbox.create()、runCode()、commands.run()、文件读写 API 都对得上。差异在于:Puppyone 把沙盒和文件系统做成了一体的。你不需要再单独管理"沙盒里的文件 → 持久化到对象存储 → 同步到下一个沙盒"这条繁琐链路;所有写入都自动落到 Puppyone 文件系统里,拥有版本快照、权限策略和审计日志,跨任务、跨智能体、跨沙盒形态都是同一份状态。
基于 Cloudflare 的沙盒
工作原理
智能体代码运行在 Cloudflare 全球边缘网络的 V8 Isolate 上——和 Chrome 隔离不同网页标签页用的是同一种技术。每个 Isolate 是一个密封的 JavaScript 执行上下文,启动只需要几毫秒(不需要拉起操作系统),用完即销毁。请求会被路由到离用户最近的边缘节点执行,往返延迟可以压到几十毫秒以内。
你能得到什么
毫秒级冷启动。 单个 Isolate 启动通常在 5 毫秒以内,比容器快 3 个数量级。这意味着可以为每个请求按需启一个新沙盒,不需要预热池或常驻实例。
仅支持 JavaScript / WebAssembly。 没有 Python、没有 shell、没有原生二进制——所有逻辑要么用 JS/TS 写,要么编译成 WASM。Node.js 内置模块大多可用,但底层依赖系统调用的库(如 fs、child_process、原生 C 扩展)不可用。
128 MB 内存上限,单请求 30 秒 CPU。 每个请求最多用 128 MB 内存、30 秒 CPU 时间(付费计划可配到 5 分钟)。注意这里只计活跃 CPU 时间——等 fetch()、等数据库返回的时间不算,所以一个 30 秒 CPU 限额的请求实际可以挂几分钟。
无本地文件系统。 Isolate 是无状态的。需要持久化时只能写到外部存储——Cloudflare 自家的 KV、R2、D1,或外部数据库。中间产物想跨请求共用,要么序列化进存储,要么走另一个常驻服务。
全球边缘执行 + 自动扩缩容。 代码自动部署到 Cloudflare 全球 300+ 个边缘节点,按用户请求位置就近执行。并发量从 0 到几万 QPS 之间不需要做任何容量规划,平台自动调度。
平台自带的安全层免费用。 DDoS 防护、速率限制、Bot 管理、TLS 终止都是 Cloudflare 网络默认带的——你不需要再额外搭一层。
只按活跃 CPU 毫秒计费。 Isolate 在等 fetch()、等数据库返回、等用户事件时不计费——只有 V8 真正在执行代码的那些毫秒进账单。这意味着大量 I/O 等待型的任务(比如 Agent 调用 LLM、聚合多个 API 结果)成本会非常低,几乎可以忽略等待时间的开销。
不适合什么
- 需要装包、跑 Python / Shell / 原生二进制的任务
- 单次执行需要超过几分钟 CPU 的重计算
- 需要在沙盒里读写本地文件、维护跨请求状态的工作流
- 需要超过 128 MB 内存的内存密集型任务
适合什么
- 高并发、短耗时的请求(解析、转换、过滤、路由)
- 给智能体做"前置入口"——快速判断、提取参数、决定调哪个工具
- 全球分发的低延迟服务(如智能 API 网关、边缘 RAG)
- 把 Cloudflare 生态(KV / R2 / D1 / Queues)串起来的胶水代码
Puppyone 的支持程度
Cloudflare 沙盒目前正在支持中,尚未对外开放。 我们正在把它和 Puppyone 文件系统打通:JS 代码在 Isolate 里读写"文件",背后等同于在 Puppyone 中提交一次有版本、有权限、有审计的变更,并和 Docker 沙盒共享同一份状态——同一个智能体可以在 Docker 沙盒里跑重计算、在 Cloudflare 沙盒里做边缘响应,看到的是同一份工作空间。
如果你的智能体场景需要边缘执行,订阅我们的更新——开放时第一时间通知你。
并排对比
把前面散落在各段的细节汇总成一张表,方便你快速决策。
| 维度 | Docker 沙盒 | Cloudflare 沙盒 |
|---|---|---|
| 底层技术 | Linux 容器(namespace + cgroup) | V8 Isolate |
| 冷启动 | 2-10 秒 | < 5 毫秒 |
| 运行时 | Python、Node、Go、Shell——任意 Linux 二进制 | JavaScript / TypeScript / WebAssembly |
| 能装包吗 | ✅ apt、pip、npm、自定义 Dockerfile | ❌ 必须打包好上传 |
| 能开子进程吗 | ✅ | ❌ |
| 本地文件系统 | ✅ 完整 POSIX,挂载到 Puppyone 文件系统 | ❌ 只能读写外部存储(KV / R2 / D1) |
| 默认资源 | 2 vCPU + 512 MB | 128 MB 内存 |
| 资源上限 | 8 vCPU + 8 GB(可调) | 128 MB 内存(固定) |
| 单次执行时长 | 默认 5 分钟,最长 24 小时 | 默认 30 秒 CPU,最长 5 分钟(付费) |
| 状态保留 | pause / resume 快照(内存 + 文件系统) | 无(每次请求一个新 Isolate) |
| 并发模型 | 一容器=一沙盒(占真实资源) | 一台机器塞下数千 Isolate |
| 地理分布 | 单区域部署 | 全球 300+ 边缘节点自动分发 |
| 网络出口控制 | 域名/端口白名单 | 通过 Workers 配置 |
| 平台安全层 | 自己叠加 | DDoS / Rate limit / Bot / TLS 内置 |
| 计费颗粒度 | 容器存在的每一秒(含等待时间) | 实际活跃 CPU 的每一毫秒(等待不算) |
| 进程模式 | 用完即销毁,跑完就关 | 按需启停,无需维护 |
| 接口兼容 | 与 E2B 兼容 | Cloudflare Workers API |
| Puppyone 状态 | ✅ 已支持 | 🚧 正在支持中,尚未开放 |
| 典型场景 | 跑 5 分钟数据处理、装包跑 Python、多步工作流 | 毫秒级请求路由、高并发 JS 逻辑、边缘 API |
| Agent 跑 10 分钟该选哪个? | 如果在算东西 → Docker | 如果 90% 时间在等 LLM/API → Cloudflare |
如何选择
选哪种沙盒不是看哪个"更好",而是看你的工作负载长什么样。下面五个维度逐个对照,几乎能覆盖所有决策场景。
1. 运行时语言
如果智能体需要跑 Python、Shell、Go、原生二进制(比如 ffmpeg、pandoc、git)——必须是 Docker。Cloudflare 只能跑 JavaScript / TypeScript / WebAssembly,连 pip install 都没法做。
如果业务逻辑本身就是 JS / TS 写的,并且不依赖系统调用——两者都行,下面几个维度继续看。
2. 任务时长
| 任务持续时间 | 选谁 | 原因 |
|---|---|---|
| < 30 秒 CPU | Cloudflare | 毫秒启动 + 按毫秒计费,最划算 |
| 30 秒 - 5 分钟 CPU | Cloudflare(付费档可上调到 5 分钟) | 仍在 Cloudflare 限额内 |
| 几分钟到几小时 | Docker | Cloudflare 会触发 CPU 上限 |
| 跨天的长任务 | Docker + pause/resume 快照 | 用快照把状态冻结再恢复 |
3. 成本结构(这是最容易选错的)
两种沙盒计费模型完全不同——同一个工作负载,选错沙盒成本能差一个数量级。
- Docker 按"容器存在的时间"计费。 容器一启动就在烧钱,不管 CPU 是不是真的在算。这种模型奖励短而密集的工作——任务来了、跑完、立刻销毁。如果让一个空闲容器挂在那等用户输入或等 LLM 返回,等待的时间也照样算钱。
- Cloudflare 按"实际活跃 CPU 毫秒"计费。 Isolate 在等
fetch()、等数据库返回、等 LLM 流式响应时不计费——只有 V8 真正在执行代码的那些毫秒进账单。
放到具体场景里看:
- 跑 5 分钟做数据处理(CPU 一直在算) → Docker 便宜
- 一万个用户每秒触发一次 50 毫秒的逻辑判断 → Cloudflare 便宜出几个数量级
- 一个 Agent 跑 30 分钟,但 90% 时间在等 LLM 流式返回 → Cloudflare 极便宜,Docker 贵
判断时不要看小时单价——看你的工作负载里有多少时间真正在用 CPU。这个比例决定了哪个模型更划算。
4. 并发量级
- 每秒几次到几十次请求 → 两者都行
- 每秒几百次以上、且单次任务很短 → Cloudflare(一台机器塞下数千 Isolate;Docker 要为每个并发起一个独立容器)
- 每秒几次但每次都是几分钟重计算 → Docker(Cloudflare 顶不住单次时长)
5. 数据量级与状态
- 任务需要读写大量文件、生成 GB 级产出物、维护跨步骤的工作空间 → Docker(有完整文件系统,挂载到 Puppyone 一切自动版本化)
- 任务只需要拉几个 API 结果、做点轻量转换、塞回外部存储 → Cloudflare(无本地文件系统,但读 KV / R2 / D1 都很快)
- 需要超过 128 MB 内存 → Docker(Cloudflare 单 Isolate 内存就 128 MB 上限)
实在拿不准? 默认选 Docker。它的能力是 Cloudflare 的超集,几乎不会"选错"——只是某些极端高并发或大量等待 I/O 的场景成本会高一些。等流量真的起来了,再把热路径迁移到 Cloudflare 也来得及。
未来当 Cloudflare 沙盒开放后,最理想的架构是两者组合:Cloudflare 沙盒作为智能体的"前置入口",处理毫秒级的请求路由、参数解析、轻量判断;判断出需要重计算时,把任务分派到 Docker 沙盒里执行。Cloudflare 处理快速路径,Docker 处理深层工作——同一份 Puppyone 文件系统贯穿两边。
在 Puppyone 上开始用沙盒
如果你的智能体已经在用 E2B,可以直接把 endpoint 切到 Puppyone——Sandbox.create()、runCode()、commands.run() 这些 API 完全兼容,不需要改业务代码,立刻获得文件系统的版本控制、权限管理和审计能力。
如果是从零开始,参考 Puppyone 文档的快速上手指南,几行代码就能起一个带版本化文件系统的沙盒。
需要 Cloudflare 边缘沙盒?订阅更新,开放时第一时间通知你。