Web基础设施巨头Cloudflare发布了Dynamic Workers的公开测试版,这是一种新型轻量级隔离沙箱系统。相比传统Linux容器,它的启动速度约快100倍,内存效率提高10到100倍。

重新定义AI代理执行环境

Cloudflare数月来一直推广所谓的”代码模式”理念——让大语言模型针对API编写代码,而非被迫进行一次又一次工具调用。公司表示将MCP服务器转换为TypeScript API可以减少81%的token使用,现在Dynamic Workers正成为让这种方法规模化实用的安全执行层。

对于企业技术决策者,这代表着更大的故事:Cloudflare正在将沙箱本身转变为AI栈的战略层。如果代理越来越多地即时生成小段代码来检索数据、转换文件、调用服务或自动化工作流,那么运行时的经济性和安全性几乎与模型能力一样重要。

隔离运行环境的演进

现代沙箱已通过三种主要模型演进:

  • 隔离体模型:Google在2011年引入v8::Isolate API,让V8 JavaScript引擎在单进程内高效运行多个独立执行上下文。Cloudflare在2017年将其适配到云端,创建了可在毫秒内启动代码、在单机上打包多个环境的运行时。
  • 容器模型:Docker在2013年普及容器,解决了巨大的可移植性问题。但容器启动需要数百毫秒,运行需要数百兆内存,对于AI生成的短时任务来说成本过高。
  • 微虚拟机模型:AWS Firecracker在2018年推广微虚拟机,提供比容器更强的机器级隔离,但仍比隔离体更慢更重。

Cloudflare的论点是:对于越来越多的网络规模、短生命周期AI代理工作负载,默认的盒子太重了,隔离体可能是更合适的选择。

Dynamic Worker Loader详解

Dynamic Worker Loader API允许一个Worker在运行时实例化另一个Worker,代码由语言模型即时提供。由于这些动态Worker基于隔离体构建,可以按需创建、运行一段代码后立即丢弃。多数情况下,它们运行在创建它们的Worker所在的同一机器甚至同一线程上,无需在网络其他地方寻找预热沙箱。

Cloudflare强调规模化能力:许多基于容器的沙箱提供商限制并发沙箱数量或创建速率,而Dynamic Workers继承了Workers平台每秒扩展到数百万请求的能力。这让每个面向用户的AI请求都能获得独立隔离的执行环境成为可能。

安全挑战与应对

Cloudflare坦言加固基于隔离体的沙箱比依赖硬件虚拟机更困难,V8安全漏洞比典型虚拟机监控程序更常见。这是重要的承认,因为整个论点依赖于说服开发者超快的软件沙箱对AI生成的代码来说足够安全。

Cloudflare的回应是它已近十年经验:数小时内自动推出V8安全补丁、自定义第二层沙箱、基于风险的租户动态隔离、使用MPK等硬件功能扩展V8沙箱、研究Spectre侧信道攻击防御,以及扫描恶意模式代码并自动阻止或进一步隔离可疑工作负载。

TypeScript胜过HTTP

Cloudflare还论证了不同的接口层。MCP定义了扁平工具调用的模式但未定义编程API;OpenAPI可以描述REST API但模式和使用都很冗长。相比之下,TypeScript简洁、在模型训练数据中广泛存在,能用更少的token传达API形状。

Workers运行时可自动在沙箱和管控代码之间建立Cap’n Web RPC桥接,让动态Worker像使用本地库一样跨安全边界调用这些类型化接口。开发者可精确暴露希望代理拥有的能力,而非强迫模型推理庞大的HTTP接口。

凭证注入与出站控制

实用的企业功能globalOutbound允许开发者拦截动态Worker的每个出站HTTP请求:检查、重写、注入凭证、直接响应或完全阻止。这让代理能够连接需要认证的第三方服务,而无需将原始密钥暴露给生成的代码本身。

定价与可用性

Dynamic Worker Loader现已在Workers付费计划中公开测试。动态加载的Worker按每个唯一Worker每天0.002美元计费,加上标准CPU和调用费用,测试期间该费用豁免。对于一次性代码生成用例,这成本通常比生成代码本身的推理成本低得多。

Cloudflare押注:执行应成为代理循环中微小、常规的部分,而非昂贵的特例。这一范式转变可能重新定义互联网规模AI代理的默认执行层。