10.07.2026
Google Cloud открыла публичное preview Cloud Run sandboxes — встроенной в Cloud Run среды изоляции для запуска кода, сгенерированного LLM, пользовательских скриптов и headless-браузеров. Песочницы создаются внутри существующих инстансов Cloud Run и по умолчанию изолированы от переменных окружения, metadata server и исходящего сетевого доступа.
Google Cloud объявила о публичном preview Cloud Run sandboxes. Cloud Run — serverless-платформа Google Cloud для запуска контейнерных приложений; новая возможность добавляет легковесные изолированные среды внутри уже работающих экземпляров сервиса.

Основной сценарий — безопасное выполнение недоверенного кода: скриптов, сгенерированных языковой моделью, пользовательских расширений, webhook-обработчиков или задач headless-браузера. Google приводит пример запуска 1000 песочниц для выполнения Python-кода со средней задержкой около 500 мс.
Функция включается при деплое Cloud Run-сервиса флагом --sandbox-launcher. После этого в окружение монтируется CLI sandbox, который можно вызывать из приложения, например через стандартный subprocess в Python.
Модель безопасности построена по принципу deny-by-default: песочницы не получают доступ к переменным окружения Cloud Run-сервиса и к Google Cloud metadata server, а исходящие сетевые соединения по умолчанию заблокированы. Файловая система контейнера доступна только для чтения, а изменения пишутся во временный изолированный overlay и удаляются после завершения выполнения; при необходимости данные можно импортировать и экспортировать через архивы.
Google также заявила поддержку в следующей версии Agent Development Kit через CloudRunSandboxCodeExecutor и добавление Cloud Run sandboxes в ComputeSDK — вендорно-нейтральный SDK для запуска песочниц. Отдельной надбавки за использование функции Google не вводит: песочницы потребляют CPU и память уже выделенных экземпляров Cloud Run.
Источник: cloud.google.com