AI Agent Sandbox 全景 2026 — Cloudflare GA 2 周前、AgentCore 改写格局、EchoLeak 让致命三要素具象化

Industry Survey

18 个工具 / 4 个 Tier / 真实 CVE / 价格 + 冷启动横评。

过去 12 个月，AI Agent 沙箱从"小众工具"跃升为"基础设施品类"——AWS Bedrock AgentCore 在 2025-10-13 GA^[1]、Cloudflare Containers + Sandbox SDK 在 2026-04-13（不到 2 周前）GA^[2]、Microsoft 365 Copilot 在 2025-06 被 Aim Security 用一封邮件偷光数据（EchoLeak / CVE-2025-32711，CVSS 9.3）^[3]、OWASP 在 2025-12-09 发布首份 Agentic Top 10^[4]。"在哪里跑 AI 写出来的代码"已经从工程师私人选型问题变成 CISO 决策问题。

工具横评 · 4 个 Tier 全覆盖

2026-04-13

Cloudflare Containers GA · 改写定价基线

$0.011

4 分钟 Python 任务最低成本 · Daytona / E2B / CF

9.3

EchoLeak CVE 评分 · Copilot 零点击数据泄露

E2B 官网首页 — E2B（e2b.dev）—— 2025 年 Series A 融资 $21M，Apache 2.0 开源（GitHub 8.9k stars），Firecracker microVM 隔离，是「Agent 跑代码」当前事实标准。

Lethal Trifecta

致命三要素：为什么需要沙箱。

2025-06-16，Simon Willison 提出 Lethal Trifecta（致命三要素）^[5]，三个能力同时存在 = 数据被偷只是时间问题：

换中文表述：

能读私密数据（邮箱 / 日历 / 源码 / 客户库）
会接触不可信内容（用户邮件 / 网页 / Issue / 客服工单）
能对外通信（发邮件 / 调 API / 写公开文件 / Git push）

三者重合的瞬间，攻击者只需在不可信内容里塞 prompt injection，agent 就会乖乖把私密数据通过外部通道送出去。Sandbox 就是切断"对外通信"这一边的工具。

4 Tiers

全景分层：18 工具按"做什么"分 4 个 Tier。

按 agent 在沙箱里到底干什么分层。Tier 1 是「跑代码」核心战场（E2B / Modal / AgentCore / Daytona / Cloudflare / Vercel）；Tier 2 是「驱动浏览器」（Browserbase / Anchor 等）；Tier 3 是底层引擎（Firecracker / gVisor）；Tier 4 是被 agent 借道用的传统 dev environment。
Tier	定位	代表工具	适用场景
Tier 1	Agent 原生云沙箱	E2B · Modal · AgentCore · Daytona · Cloudflare · Vercel · Replit	跑 Python / Node / 数据分析 / 工具调用
Tier 2	浏览器沙箱	Browserbase · Anchor · Browserless · Hyperbrowser	Agent 自动化网页操作
Tier 3	底层隔离引擎	Firecracker · gVisor · Kata · WASM	自建沙箱必备地基
Tier 4	传统 dev 环境	Ona (前 Gitpod) · CodeSandbox · Coder	云 IDE / agent 借道

Tier 1 横评