Cloudflare把沙盒启动时间砍到0.3毫秒

去年9月，Cloudflare扔了个概念叫Code Mode——AI代理不靠调工具，而是直接写代码调用API。当时他们晒了组数据：把MCP服务器转成TypeScript API，token消耗直降81%。更骚的是，这套玩法还能反过来套在MCP服务器外面，整个Cloudflare API只暴露两个工具，token压到1000以内。

但有个问题悬着：AI生成的代码往哪跑？直接eval()等于给黑客开后门。你需要沙盒——一个跟主应用隔离、只开放必要权限的执行环境。

行业里主流方案是容器。Linux容器确实万能，Cloudflare自己也卖容器运行时和Sandbox SDK。但容器启动要几百毫秒，内存吃掉几百兆，得靠预热池撑着，多任务复用还会稀释安全性。如果未来每个用户带十个代理、每个代理都在写代码，容器根本扛不住消费级规模。

那篇Code Mode博文里藏了个脚注：Dynamic Worker Loader API，实验性功能。允许一个Cloudflare Worker在运行时瞬间拉起另一个Worker，代码动态注入，各自沙盒隔离。

现在这东西开公测了，所有付费Workers用户都能用。

0.3毫秒 vs 200毫秒：这不是优化，是换赛道

Dynamic Worker的核心指标很直白：启动时间0.3毫秒，内存占用3MB。作为参照，传统容器冷启动普遍在100-500毫秒区间，内存开销以百兆计。

Cloudflare没藏着掖着，直接放出了调用范式。你的LLM生成代码字符串，主Worker通过LOADER绑定动态装载，指定兼容日期、模块映射、环境变量注入，还能一键掐断外网访问。代码跑在独立Worker里，RPC接口暴露出来，主进程像调本地函数一样跟它通信。

技术实现上，这利用了Cloudflare Workers本身的架构——V8隔离而非操作系统级虚拟化。每个Dynamic Worker是全新的V8上下文，代码编译缓存但执行环境干净，用完即弃。

对比容器的"重"，Dynamic Worker的"轻"体现在两个维度：启动不需要拉镜像、起进程，只是V8实例化；隔离不依赖内核namespace，而是JavaScript引擎的固有机制。代价是生态受限——你只能跑JavaScript/WebAssembly，没法塞个Python解释器进去。

安全模型：白名单比黑名单靠谱

沙盒的核心矛盾是灵活性与安全性的权衡。容器给的是"除了我禁掉的都能干"，Dynamic Worker给的是"除了我给的都不能干"。

代码里那个globalOutbound: null就是典型设计——默认断网，而非默认联网。需要外访时，你可以拦截到指定出口，或者完全放行，但起点是零权限。环境变量注入也走RPC桩机制，代理代码拿到的不是裸API密钥，而是受限的能力句柄。

Cloudflare安全团队的人去年在内部邮件里提过个观点：「AI生成代码的不可预测性，让传统的攻击面分析失效。你能做的是把爆炸半径压到最小，以及确保每次爆炸都是新鲜的——别复用容器，别留状态。」

Dynamic Worker的"用完即弃"恰好满足这点。每个用户请求、每次代理调用，都可以是全新的Worker实例，没有跨会话污染，没有容器复用的侧信道风险。

消费级代理的基建难题

Cloudflare算过一笔账：如果未来10亿用户每人每天触发100次代理调用，传统容器架构的预热池成本会把商业模式吃空。Dynamic Worker的边际成本趋近于零，因为底层是Cloudflare全球网络的闲置V8算力，实例生命周期按毫秒计费。

但这套方案也有明显边界。它假设你的代理逻辑能用JavaScript/Wasm表达——适合API编排、数据处理、轻量级计算，不适合跑PyTorch模型训练或者ffmpeg转码。Cloudflare的解法是把重活扔给专门的AI推理服务或媒体处理管道，Dynamic Worker只做"胶水层"。

生态兼容性也是个坎。MCP服务器生态现在Python占大头，Dynamic Worker想接进来，要么等社区出JS移植版，要么自己用容器桥接——后者又把延迟打回去了。Cloudflare押注的是TypeScript在AI工程中的渗透率上升，以及Wasm作为通用IR的成熟。

公测文档里有个细节耐人寻味：Dynamic Worker支持指定compatibilityDate，意味着今天写的代码可以锁定在2026年3月的运行时行为，避免Cloudflare后续更新破坏代理逻辑。这对长期运行的AI代理很重要——模型输出不可控，至少执行环境要可预期。

容器时代培养了我们对"环境一致性"的执念，Dynamic Worker反其道而行，用"环境一次性"换取规模弹性。当每个代理调用都能在0.3毫秒内获得一个干净、受限、可审计的执行上下文，AI应用的基础设施范式会不会跟着变？你的下一个代理，还想困在200毫秒的容器冷启动里吗？