网络基础设施巨头Cloudflare正在寻求通过Dynamic Workers的开放测试版改变企业部署AI代理的方式。这是一种新的轻量级隔离沙盒系统,声称可在毫秒级启动,仅使用几兆内存,并且可以在创建它的请求的同一台机器——甚至同一线程——上运行。

与传统Linux容器相比,该公司表示Dynamic Workers启动快约100倍,内存效率提高10到100倍。

现代隔离运行时的演进

要理解Cloudflare为何这样做,需要回顾安全代码执行的演变。现代沙盒经历了三个主要模型,每个都试图构建更好的数字盒子:更小、更快、更专业化。

第一个模型是隔离体。Google在2011年引入v8::Isolate API,使V8 JavaScript引擎能在同一进程内高效运行许多独立执行上下文。一个运行的程序可以生成许多紧密分隔的小隔间,每个都有自己的代码和变量。

2017年,Cloudflare将这个浏览器理念适配到云端推出Workers,押注传统云堆栈对于即时、全球分布式网络任务来说太慢。结果是一个可以在毫秒内启动代码并将许多环境打包到单台机器的运行时。代价是隔离体不是完整的计算机——它们在JavaScript、TypeScript和WebAssembly方面最强,对于期望传统机器环境的工作负载不太自然。

第二个模型是容器。容器在技术上通过Linux内核特性早已可行,但Docker在2013年将其普及为默认软件打包模型。容器解决了巨大的可移植性问题,让开发人员将代码、库和设置打包成可在系统间一致运行的预测单元。但对于Cloudflare所说的短期任务来说,它们相对笨重——启动需要数百毫秒,运行需要数百兆内存。

第三个模型是微虚拟机。AWS Firecracker在2018年普及,设计目的是提供比容器更强的机器类隔离,而无需传统虚拟机的完整体积。它们对运行不受信任代码很有吸引力,这也是它们开始出现在Docker Sandboxes等新AI代理系统中的原因。但它们仍介于其他两个模型之间:比隔离体更强的隔离和更多灵活性,但也更慢更重。

为什么容器成为瓶颈

Cloudflare的论点很直白:对于”消费规模”代理,容器太慢太贵。在公司看来,当工作负载持续存在时容器很好,但当代理需要运行一个小计算、返回结果然后消失时,它是个糟糕的选择。开发人员要么保持容器温热(花钱),要么容忍冷启动延迟(损害响应性)。他们也可能被诱惑在多个任务间重用活跃沙盒,这削弱了隔离。

Dynamic Worker Loader是Cloudflare的答案。API允许一个Worker在运行时用即时提供的代码(通常由语言模型提供)实例化另一个Worker。因为动态Worker构建在隔离体上,Cloudflare说它们可以按需创建,运行一段代码,然后立即丢弃。在许多情况下,它们在创建它的Worker的同一台机器甚至同一线程上运行,无需在网络其他地方寻找温热沙盒。

安全仍是最难的部分

Cloudflare不假装这很容易安全。事实上,公司明确表示加固基于隔离体的沙盒比依赖硬件虚拟机更棘手,并指出V8安全漏洞比典型虚拟机监控程序更常见。

Cloudflare的回应是它有近十年的经验做这件事。公司指出在数小时内自动推出V8安全补丁、定制的第二层沙盒、基于风险的租户动态隔离、使用MPK等硬件特性的V8沙盒扩展,以及对Spectre侧信道攻击的研究。它还说扫描代码中的恶意模式,可以自动阻止或进一步隔离可疑工作负载。动态Worker继承了更广泛的Workers安全模型。

代码模式:从工具编排到生成逻辑

这个发布在Cloudflare更大的代码模式战略背景下最有意义。理念很简单:与其给代理一长串工具让它一个个调用,不如给它一个编程界面让它编写一个简短的TypeScript函数自己执行逻辑。这意味着模型可以链接调用、过滤数据、操作文件并只返回最终结果,而不是用每个中间步骤填充上下文窗口。

Cloudflare指出它自己的Cloudflare MCP服务器作为概念验证。它说服务器通过两个工具——搜索和执行——在不到1000个token中暴露整个API,因为模型针对类型化API编写代码而非导航长工具目录。

这是一个有意义的架构转变。它将重心从工具编排转向代码执行。这使执行层本身变得更加重要。

隔离体与微虚拟机:代理的两个不同归宿

Cloudflare的发布也凸显了AI代理市场中日益增长的分化。一方强调快速、一次性、网络规模执行。另一方强调更深、更持久、更强机器边界的环境。

Docker Sandboxes是有用的对比。它不单独使用标准容器,而是使用轻量级微虚拟机给每个代理自己的私有Docker守护进程,允许代理安装包、运行命令和修改文件而不直接暴露主机系统。这更适合持久、本地或开发者风格的环境。Cloudflare为不同的东西优化:全球网络上的短期、大批量执行。

所以权衡不仅仅是安全与速度。是深度与速度。微虚拟机提供更坚固的私有堡垒和更广的灵活性。隔离体在网络规模上提供启动速度、密度和更低成本。这一区别可能成为明年代理基础设施的主要分界线之一。

价格与可用性

Dynamic Worker Loader现在处于开放测试,所有Workers付费计划用户可用。Cloudflare说动态加载的Worker定价为每天每个唯一Worker 0.002美元,加上标准CPU和调用费用,尽管测试期该每Worker费用免除。对于一次性代码生成用例,公司说该成本与生成代码本身的推理成本相比通常可以忽略不计。

这一定价模型强化了产品背后的更大论点:执行应成为代理循环的一个小而常规的部分,而非昂贵的特殊情况。

Cloudflare押注这第二类会非常快地变得非常大。如果发生这种情况,动态Worker可能不仅是另一个Workers功能——它们可能是Cloudflare定义互联网规模AI代理默认执行层的尝试。