AI agent에 셸과 파일시스템까지, Cloudflare Sandboxes가 GA로

Cloudflare는 agent 데모와 실제 개발 환경 사이의 간격을 줄이려 한다. 2026-04-13 공개한 Sandboxes GA 글에서 회사는 Sandboxes와 Containers가 이제 generally available 상태라고 적었다. 요지는 단순하다. AI agent가 repo를 clone하고, 개발 서버를 띄우고, 상태를 유지한 채 private service에 안전하게 접근하려면, 얇은 툴 호출 루프가 아니라 실제 컴퓨터에 가까운 실행 환경이 필요하다는 것이다. 지금 시장의 많은 agent 스택은 여전히 셸을 한 턴씩 명령을 던지고 응답을 받는 구조로 다룬다. 하지만 실제 엔지니어링 작업은 파일, 터미널, background process, 재시작 후 복구 같은 요소가 엮인 지속형 환경에서 이루어진다.

Cloudflare도 이 점을 정면으로 짚는다. 회사는 Sandboxes를 지난 6월 처음 내놓았을 때부터 개발자처럼 행동하는 agent에게는 완전한 컴퓨터가 필요하다고 봤다고 설명한다. 동시에 고객들은 burstiness, 빠른 상태 복구, 보안, lifecycle control, ergonomics 문제를 풀기 위해 VM과 container를 직접 이어 붙이고 있었다고 한다. 이번 일반 제공 전환이 중요한 이유는, 그 아이디어가 실험이 아니라 장기 지원되는 제품 약속으로 바뀌었기 때문이다. 글 안에서는 Figma가 agent와 사용자가 작성한 신뢰할 수 없는 코드를 container에서 돌리는 사례도 언급되는데, 수요가 장난감 수준을 넘어섰다는 신호로 읽힌다.

이번 글의 핵심은 GA 딱지보다 기능 묶음이다. Cloudflare는 최근 7가지 업그레이드를 전면에 세웠다. agent가 raw secret을 직접 보지 않도록 네트워크 계층에서 처리하는 secure credential injection, WebSocket 기반 PTY 지원, Python·JavaScript·TypeScript용 persistent interpreter, live app을 바로 확인할 수 있는 background process와 preview URL, native inotify 기반 file watching, 더 빠른 복구를 위한 snapshots, 그리고 idle CPU에 비용을 덜 쓰도록 설계한 higher limits와 Active CPU Pricing이다. 같은 sandbox ID를 쓰면 전 세계 어디서든 같은 환경을 다시 불러오고, idle 상태에서는 잠들었다가 요청이 오면 다시 깨어난다는 설명도 들어 있다. agent 빌더들이 직접 구현하던 패턴을 플랫폼이 기본값으로 제공하겠다는 뜻이다.

더 큰 의미는 인프라 업체가 AI agent를 부가 기능이 아니라 독립적인 runtime target으로 다루기 시작했다는 점이다. 실제 PTY, 재개 가능한 상태, credential injection이 agent 자체를 더 똑똑하게 만들지는 않는다. 대신 더 덜 깨지고, 더 오래 돌고, 실제 팀의 개발 흐름에 더 가까이 붙게 만든다. 현장에서 중요한 건 바로 그 부분이다. Sandboxes가 production 부하에서 버텨낸다면, Cloudflare는 agent 스택의 큰 부분을 prompt choreography에서 떼어내 클라우드 위의 개발 워크스테이션에 가까운 형태로 옮겨 놓게 된다.