Cloudflare Dynamic Worker Loader: AIエージェントをアイソレートでサンドボックス化

Dynamic Worker Loaderの機能

Dynamic Worker Loaderは、Cloudflare Workerがランタイムで指定されたコードで新しいWorkerを作成し、独自の安全なサンドボックス内で実行できるようにするAPIです。これにより、AI生成コードを実行する際のセキュリティニーズに対応し、アプリケーションを脆弱性から保護します。

技術的な実装

この機能は、基盤となるサンドボックス機構としてV8 JavaScript実行エンジンのインスタンスであるisolateを使用しています。Isolateは数ミリ秒で起動し、数メガバイトのメモリしか使用しないため、一般的なLinuxコンテナと比べて約100倍高速で、10倍から100倍のメモリ効率を実現しています。

以下はソースからの基本的なコードパターンです：

// LLMにこのようなコードを生成させます。
let agentCode: string = `
  export default {
    async myAgent(param, env, ctx) {
      // ...
    }
  }
`;

// コードを実行するWorkerをロード
let worker = env.LOADER.load({
  compatibilityDate: "2026-03-01",
  mainModule: "agent.js",
  modules: {
    "agent.js": agentCode
  },
  env: {
    CHAT_ROOM: chatRoomRpcStub
  },
  globalOutbound: null,
});
// エージェントコードがエクスポートするRPCメソッドを呼び出し
await worker.getEntrypoint().myAgent(param);

主な機能

• グローバルな同時実行制限なし： コンテナベースのソリューションとは異なり、同時実行サンドボックス数や作成レートに制限はありません
• ゼロレイテンシー： Dynamic Workerは通常、作成元のWorkerと同じマシン、同じスレッドで実行されます
• グローバルなデプロイメント： Cloudflareの世界中の数百の拠点すべてでサポートされています
• セキュリティ制御： インターネットアクセスをブロック（globalOutbound: null）したり、インターセプトしたりできます
• RPCベースのAPIアクセス： エージェントはenvパラメータで定義されたRPCスタブを通じて特定のAPIにアクセスできます

背景と制限事項

このアプローチは、エージェントがツール呼び出しではなくコードを書くCloudflareのCode Modeコンセプトを基盤としています。コンテナと比較した主な制限は、エージェントがJavaScriptを書く必要があることです（ただしWorkerは技術的にはPythonとWebAssemblyもサポートしています）。AIエージェントが生成する小さなコードスニペットの場合、JavaScriptの方が読み込みと実行が高速です。