GKE Agent Sandbox: 300 песочниц в секунду для AI-агентов

Google Kubernetes Engine (GKE) получил новую возможность — Agent Sandbox: изолированные среды для запуска AI-агентов с гарантированной безопасностью. Каждый агент работает в собственной песочнице, не имеющей доступа к ресурсам других агентов или хост-системы. Скорость: 300 песочниц в секунду на кластер, с временем до первой инструкции менее секунды.

Зачем это нужно

AI-агенты выполняют код, обращаются к API, модифицируют данные — и каждое из этих действий несёт риск. Агент может ошибиться и удалить данные, может быть скомпрометирован через prompt injection, может выполнить действие, не предусмотренное разработчиком. Песочница гарантирует: даже если агент «сойдёт с рельсов», ущерб ограничен изолированной средой.

300 песочниц в секунду — масштаб для enterprise: тысячи агентов работают одновременно, каждый в своей изоляции. Для сравнения: Docker-контейнеры стартуют быстро, но не обеспечивают уровень изоляции, необходимый для агентов с доступом к production-данным. GKE Agent Sandbox использует gVisor — технологию, которая изолирует ядро ОС от агента.

Для разработчиков агентных систем — стандартизированное решение: вместо строительства собственной песочницы (что делает каждая команда по-своему) — одна кнопка в GKE.