sandbox-sdk
sandbox-sdk 是一款由 Cloudflare 推出的开源开发工具,旨在帮助开发者在边缘网络上构建安全、隔离的代码执行环境。它核心解决了在云端运行不可信代码时的安全风险难题,通过为每段代码提供独立的容器化沙箱,有效防止恶意操作影响主系统或其他服务。
这款工具特别适合需要集成代码解释器、交互式开发环境、数据分析平台或自动化 CI/CD 流程的后端开发者与架构师。无论是构建能实时运行用户提交 Python 脚本的 AI 助手,还是搭建在线编程练习平台,sandbox-sdk 都能让应用在 Cloudflare 的全球边缘节点上直接执行命令、管理文件系统甚至暴露临时服务,而无需自建复杂的容器集群。
其独特亮点在于“边缘原生”架构,将沉重的容器隔离技术与轻量的 Serverless 模式完美结合。开发者只需几行代码即可调用沙箱能力,既享受了容器级的严格安全隔离,又保留了边缘计算的低延迟与高扩展性优势。配合完善的 TypeScript 支持和本地调试功能,sandbox-sdk 让高风险的代码执行场景变得简单、可控且高效,是构建下一代动态 Web 应用的理想基石。
使用场景
一家在线教育平台需要为用户提供实时的 Python 代码练习环境,让用户在浏览器中编写并运行数据分析脚本,同时确保恶意代码不会破坏服务器。
没有 sandbox-sdk 时
- 安全风险高:直接在主服务器上使用
eval或子进程运行用户代码,一旦遇到死循环或文件系统攻击,极易导致整个服务瘫痪。 - 部署架构重:为了隔离风险,不得不维护独立的虚拟机集群或复杂的 Kubernetes 容器组,运维成本高昂且扩容缓慢。
- 全球延迟大:集中式的代码执行服务器位于单一区域,海外用户提交代码后需等待数秒才能看到运行结果,体验流畅度差。
- 资源浪费严重:即使没有用户在使用,预分配的容器实例也在持续消耗计算资源和费用。
使用 sandbox-sdk 后
- 原生安全隔离:sandbox-sdk 利用 Cloudflare 边缘网络为每个用户请求启动独立的微容器,彻底阻断代码对宿主系统的访问,杜绝逃逸风险。
- 无服务器化运维:开发者只需在 Worker 中调用几行 API 即可管理文件与执行命令,无需关心底层容器编排,实现真正的 Serverless 体验。
- 边缘低延迟执行:代码在全球最近的边缘节点运行,用户提交脚本后毫秒级返回结果,提供如同本地 IDE 般的流畅交互感。
- 按需弹性计费:仅在代码实际运行时才消耗资源,空闲时无任何成本,完美适配波峰波谷明显的教育场景。
sandbox-sdk 将高风险的代码执行任务转化为安全、低成本且全球分布的边缘原子能力,让构建实时交互式编程平台变得像编写普通网页一样简单。
运行环境要求
- 未说明
未说明
未说明
快速开始
Cloudflare 沙箱 SDK
在 Cloudflare 上构建安全、隔离的代码执行环境。
Sandbox SDK 允许您在隔离的容器中安全地运行不受信任的代码。您可以从 Workers 应用程序中执行命令、管理文件、运行后台进程以及暴露服务。
非常适合用于 AI 代码执行、交互式开发环境、数据分析平台、CI/CD 系统,以及任何需要在边缘进行安全代码执行的应用场景。
快速入门
前提条件
- 安装 Node.js(版本 16.17.0 或更高)
- 确保本地已运行 Docker(参见设置指南)
- 若要部署到生产环境,请注册一个 Cloudflare 账户
1. 创建新项目
使用最小模板创建一个新的 Sandbox SDK 项目:
npm create cloudflare@latest -- my-sandbox --template=cloudflare/sandbox-sdk/examples/minimal
cd my-sandbox
2. 在本地测试
启动开发服务器:
npm run dev
注意: 首次运行会构建 Docker 容器(2-3 分钟)。后续运行会快得多。
测试端点:
# 执行 Python 代码
curl http://localhost:8787/run
# 文件操作
curl http://localhost:8787/file
3. 部署到生产环境
部署您的 Worker 和容器:
npx wrangler deploy
等待资源调配: 首次部署后,请等待 2-3 分钟再发起请求。
📖 查看完整的入门指南,获取详细说明和解释。
API 快速示例
import { getSandbox, proxyToSandbox, type Sandbox } from '@cloudflare/sandbox';
export { Sandbox } from '@cloudflare/sandbox';
type Env = {
Sandbox: DurableObjectNamespace<Sandbox>;
};
export default {
async fetch(request: Request, env: Env): Promise<Response> {
// 预览 URL 所需
const proxyResponse = await proxyToSandbox(request, env);
if (proxyResponse) return proxyResponse;
const url = new URL(request.url);
const sandbox = getSandbox(env.Sandbox, 'my-sandbox');
// 执行 Python 代码
if (url.pathname === '/run') {
const result = await sandbox.exec('python3 -c "print(2 + 2)"');
return Response.json({ output: result.stdout, success: result.success });
}
// 处理文件
if (url.pathname === '/file') {
await sandbox.writeFile('/workspace/hello.txt', 'Hello, Sandbox!');
const file = await sandbox.readFile('/workspace/hello.txt');
return Response.json({ content: file.content });
}
return new Response('尝试 /run 或 /file');
}
};
文档
📖 完整文档
核心特性
- 安全隔离 - 每个沙箱都在独立的容器中运行
- 原生边缘 - 运行在 Cloudflare 的全球网络上
- 代码解释器 - 执行 Python 和 JavaScript,并获得丰富的输出
- 文件系统访问 - 读取、写入和管理文件
- 命令执行 - 运行任意命令,并支持流式处理
- 预览 URL - 使用公共 URL 暴露服务
- Git 集成 - 直接克隆仓库
贡献
我们欢迎社区贡献!请参阅 CONTRIBUTING.md,了解以下内容的指导原则:
- 设置开发环境
- 创建拉取请求
- 代码风格和测试要求
开发
此仓库包含 SDK 的源代码。快速入门:
# 克隆仓库
git clone https://github.com/cloudflare/sandbox-sdk
cd sandbox-sdk
# 安装依赖
npm install
# 运行测试
npm test
# 构建项目
npm run build
# 类型检查和代码格式化
npm run check
示例
请参阅 examples 目录,获取完整的可运行示例:
- 最小示例 - 从这里开始:执行命令、读写文件
- 代码解释器 - 为 Workers AI 上的 gpt-oss 提供一个 Python REPL
- Claude Code - 在任何仓库上无头运行 Claude Code
- OpenAI 代理 - 为 OpenAI 代理 SDK 提供
Shell和Editor工具 - OpenCode - 将 OpenCode 的 Web UI 或 SDK 放置在沙箱中
- TypeScript 验证器 - 在沙箱中使用 npm 构建,并在 isolates 中执行
当前状态
Beta - SDK 处于积极开发中。API 在 v1.0 发布前可能会发生变化。
许可证
链接
版本历史
@cloudflare/sandbox@0.8.112026/04/15@cloudflare/sandbox@0.8.102026/04/13@cloudflare/sandbox@0.8.92026/04/10@cloudflare/sandbox@0.8.82026/04/09@cloudflare/sandbox@0.8.72026/04/08@cloudflare/sandbox@0.8.62026/04/07@cloudflare/sandbox@0.8.52026/04/07@cloudflare/sandbox@0.8.42026/04/01@cloudflare/sandbox@0.8.32026/04/01@cloudflare/sandbox@0.8.22026/04/01@cloudflare/sandbox@0.8.12026/03/30@cloudflare/sandbox@0.8.02026/03/26@cloudflare/sandbox@0.7.212026/03/26@cloudflare/sandbox@0.7.202026/03/24@cloudflare/sandbox@0.7.192026/03/23@cloudflare/sandbox@0.7.182026/03/16@cloudflare/sandbox@0.7.172026/03/10@cloudflare/sandbox@0.7.162026/03/10@cloudflare/sandbox@0.7.152026/03/10@cloudflare/sandbox@0.7.142026/03/09常见问题
相似工具推荐
openclaw
OpenClaw 是一款专为个人打造的本地化 AI 助手,旨在让你在自己的设备上拥有完全可控的智能伙伴。它打破了传统 AI 助手局限于特定网页或应用的束缚,能够直接接入你日常使用的各类通讯渠道,包括微信、WhatsApp、Telegram、Discord、iMessage 等数十种平台。无论你在哪个聊天软件中发送消息,OpenClaw 都能即时响应,甚至支持在 macOS、iOS 和 Android 设备上进行语音交互,并提供实时的画布渲染功能供你操控。 这款工具主要解决了用户对数据隐私、响应速度以及“始终在线”体验的需求。通过将 AI 部署在本地,用户无需依赖云端服务即可享受快速、私密的智能辅助,真正实现了“你的数据,你做主”。其独特的技术亮点在于强大的网关架构,将控制平面与核心助手分离,确保跨平台通信的流畅性与扩展性。 OpenClaw 非常适合希望构建个性化工作流的技术爱好者、开发者,以及注重隐私保护且不愿被单一生态绑定的普通用户。只要具备基础的终端操作能力(支持 macOS、Linux 及 Windows WSL2),即可通过简单的命令行引导完成部署。如果你渴望拥有一个懂你
stable-diffusion-webui
stable-diffusion-webui 是一个基于 Gradio 构建的网页版操作界面,旨在让用户能够轻松地在本地运行和使用强大的 Stable Diffusion 图像生成模型。它解决了原始模型依赖命令行、操作门槛高且功能分散的痛点,将复杂的 AI 绘图流程整合进一个直观易用的图形化平台。 无论是希望快速上手的普通创作者、需要精细控制画面细节的设计师,还是想要深入探索模型潜力的开发者与研究人员,都能从中获益。其核心亮点在于极高的功能丰富度:不仅支持文生图、图生图、局部重绘(Inpainting)和外绘(Outpainting)等基础模式,还独创了注意力机制调整、提示词矩阵、负向提示词以及“高清修复”等高级功能。此外,它内置了 GFPGAN 和 CodeFormer 等人脸修复工具,支持多种神经网络放大算法,并允许用户通过插件系统无限扩展能力。即使是显存有限的设备,stable-diffusion-webui 也提供了相应的优化选项,让高质量的 AI 艺术创作变得触手可及。
everything-claude-code
everything-claude-code 是一套专为 AI 编程助手(如 Claude Code、Codex、Cursor 等)打造的高性能优化系统。它不仅仅是一组配置文件,而是一个经过长期实战打磨的完整框架,旨在解决 AI 代理在实际开发中面临的效率低下、记忆丢失、安全隐患及缺乏持续学习能力等核心痛点。 通过引入技能模块化、直觉增强、记忆持久化机制以及内置的安全扫描功能,everything-claude-code 能显著提升 AI 在复杂任务中的表现,帮助开发者构建更稳定、更智能的生产级 AI 代理。其独特的“研究优先”开发理念和针对 Token 消耗的优化策略,使得模型响应更快、成本更低,同时有效防御潜在的攻击向量。 这套工具特别适合软件开发者、AI 研究人员以及希望深度定制 AI 工作流的技术团队使用。无论您是在构建大型代码库,还是需要 AI 协助进行安全审计与自动化测试,everything-claude-code 都能提供强大的底层支持。作为一个曾荣获 Anthropic 黑客大奖的开源项目,它融合了多语言支持与丰富的实战钩子(hooks),让 AI 真正成长为懂上
opencode
OpenCode 是一款开源的 AI 编程助手(Coding Agent),旨在像一位智能搭档一样融入您的开发流程。它不仅仅是一个代码补全插件,而是一个能够理解项目上下文、自主规划任务并执行复杂编码操作的智能体。无论是生成全新功能、重构现有代码,还是排查难以定位的 Bug,OpenCode 都能通过自然语言交互高效完成,显著减少开发者在重复性劳动和上下文切换上的时间消耗。 这款工具专为软件开发者、工程师及技术研究人员设计,特别适合希望利用大模型能力来提升编码效率、加速原型开发或处理遗留代码维护的专业人群。其核心亮点在于完全开源的架构,这意味着用户可以审查代码逻辑、自定义行为策略,甚至私有化部署以保障数据安全,彻底打破了传统闭源 AI 助手的“黑盒”限制。 在技术体验上,OpenCode 提供了灵活的终端界面(Terminal UI)和正在测试中的桌面应用程序,支持 macOS、Windows 及 Linux 全平台。它兼容多种包管理工具,安装便捷,并能无缝集成到现有的开发环境中。无论您是追求极致控制权的资深极客,还是渴望提升产出的独立开发者,OpenCode 都提供了一个透明、可信
ComfyUI
ComfyUI 是一款功能强大且高度模块化的视觉 AI 引擎,专为设计和执行复杂的 Stable Diffusion 图像生成流程而打造。它摒弃了传统的代码编写模式,采用直观的节点式流程图界面,让用户通过连接不同的功能模块即可构建个性化的生成管线。 这一设计巧妙解决了高级 AI 绘图工作流配置复杂、灵活性不足的痛点。用户无需具备编程背景,也能自由组合模型、调整参数并实时预览效果,轻松实现从基础文生图到多步骤高清修复等各类复杂任务。ComfyUI 拥有极佳的兼容性,不仅支持 Windows、macOS 和 Linux 全平台,还广泛适配 NVIDIA、AMD、Intel 及苹果 Silicon 等多种硬件架构,并率先支持 SDXL、Flux、SD3 等前沿模型。 无论是希望深入探索算法潜力的研究人员和开发者,还是追求极致创作自由度的设计师与资深 AI 绘画爱好者,ComfyUI 都能提供强大的支持。其独特的模块化架构允许社区不断扩展新功能,使其成为当前最灵活、生态最丰富的开源扩散模型工具之一,帮助用户将创意高效转化为现实。
gemini-cli
gemini-cli 是一款由谷歌推出的开源 AI 命令行工具,它将强大的 Gemini 大模型能力直接集成到用户的终端环境中。对于习惯在命令行工作的开发者而言,它提供了一条从输入提示词到获取模型响应的最短路径,无需切换窗口即可享受智能辅助。 这款工具主要解决了开发过程中频繁上下文切换的痛点,让用户能在熟悉的终端界面内直接完成代码理解、生成、调试以及自动化运维任务。无论是查询大型代码库、根据草图生成应用,还是执行复杂的 Git 操作,gemini-cli 都能通过自然语言指令高效处理。 它特别适合广大软件工程师、DevOps 人员及技术研究人员使用。其核心亮点包括支持高达 100 万 token 的超长上下文窗口,具备出色的逻辑推理能力;内置 Google 搜索、文件操作及 Shell 命令执行等实用工具;更独特的是,它支持 MCP(模型上下文协议),允许用户灵活扩展自定义集成,连接如图像生成等外部能力。此外,个人谷歌账号即可享受免费的额度支持,且项目基于 Apache 2.0 协议完全开源,是提升终端工作效率的理想助手。