Presentación de Deno Sandbox

 (deno.com)
4 puntos por GN⁺ 2026-02-04 | 1 comentarios | Compartir por WhatsApp
  • Proporciona un entorno seguro de microVM Linux para ejecutar código no confiable de forma segura
  • Durante la ejecución del código, bloquea el riesgo de fuga de datos de código generado por LLM o código de usuario mediante protección de claves secretas y control de acceso a la red
  • Con el comando sandbox.deploy(), es posible desplegar directamente en Deno Deploy desde el entorno de desarrollo, sin necesidad de procesos separados de build o autenticación
  • Con las funciones de volúmenes y snapshots, es posible recrear rápidamente cachés, bases de datos y entornos de desarrollo
  • Adecuado para entornos de ejecución de código que requieren seguridad, como agentes de IA, sistemas de plugins y runners de CI

Descripción general de Deno Sandbox

  • Deno Sandbox ofrece la capacidad de ejecutar código no confiable en una microVM Linux ligera en la nube de Deno Deploy
    • Puede crearse mediante los SDK de JavaScript o Python, y el tiempo de arranque es de menos de 1 segundo
    • Se puede interactuar directamente mediante SSH, HTTP y VS Code
  • Su objetivo es resolver los problemas de seguridad cuando código generado por LLM o código proporcionado por usuarios realiza llamadas externas que incluyen claves de API
  • El código ejecutado dentro del sandbox está protegido con una arquitectura de aislamiento del sistema y defensa en profundidad (Defense-in-depth)

Secretos que no se pueden robar

  • En el entorno del sandbox, las claves secretas no se exponen como variables de entorno reales
    • Dentro del código, solo es posible acceder a cadenas placeholder
    • La clave real solo se inyecta al hacer solicitudes salientes a hosts autorizados
  • Por ejemplo, OPENAI_API_KEY solo se activa al hacer una solicitud a api.openai.com, y si se intenta filtrar a otro dominio queda invalidada
  • Esto permite bloquear intentos de robo de claves mediante prompt injection o código malicioso

Control de egreso de red

  • El sandbox bloquea las solicitudes de red fuera de la lista de hosts permitidos (allowNet)
    • Ejemplo: ["api.openai.com", "*.anthropic.com"]
  • Todo el tráfico de red se bloquea en el límite de la VM, y las políticas se aplican mediante un proxy saliente similar a coder/httpjail
  • Más adelante se planea agregar análisis de conexiones salientes y hooks programables para inspeccionar y modificar solicitudes
  • Al combinarse con el flag --allow-net de Deno, es posible construir una doble capa de seguridad de red

Del sandbox a producción

  • Con el comando sandbox.deploy(), es posible desplegar directamente desde el sandbox a Deno Deploy
    • Sin un proceso separado de build de CI ni autenticación, el entorno de desarrollo puede convertirse de inmediato en producción serverless
    • En el código de ejemplo, se despliega my-app con la opción production: true y luego se imprime la URL
  • Esto permite realizar un despliegue serverless con autoescalado en una sola llamada

Persistencia

  • Por defecto, el sandbox es efímero (ephemeral), pero si se necesita persistencia de estado ofrece las siguientes funciones
    • Volumes: almacenamiento de lectura/escritura para caché, bases de datos y datos de usuario
    • Snapshots: imágenes de solo lectura que incluyen toolchains o volúmenes base
  • Si se crea un snapshot después de apt-get install, luego todos los sandboxes pueden arrancar de inmediato en un entorno preinstalado
  • Con volúmenes basados en snapshots, es posible crear un nuevo entorno de desarrollo en solo unos segundos

Detalles técnicos

  • Regiones: Amsterdam, Chicago
  • vCPU: 2
  • Memoria: 768MB ~ 4GB
  • Duración: temporal (ephemeral) o basada en timeout, extensible si es necesario
  • Vida útil máxima: 30 minutos
  • Tiempo de arranque: menos de 1 segundo
  • Casos de uso adecuados: ejecución de código de agentes de IA, sistemas de plugins seguros, runners de CI temporales, entornos de ejecución de código proporcionado por usuarios

Precios

  • Incluido en los planes de Deno Deploy con cobro basado en uso
    • Tiempo de CPU: $0.05/h (40 horas incluidas en el plan Pro)
    • Memoria: $0.016/GB-h (1000 GB-h incluidos en el plan Pro)
    • Almacenamiento de volúmenes: $0.20/GiB-month (5 GiB incluidos en el plan Pro)
  • El plan Enterprise está disponible por consulta aparte

Primeros pasos

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-02-04
Comentarios en Hacker News

  • Me parece interesante que ni siquiera haga falta usar Deno o JavaScript
    Con el SDK para Python, deno-sandbox, se puede crear un sandbox y ejecutar comandos, leer y escribir archivos, etc.
    Confirmé que el protocolo de la API funciona sobre WebSocket

    • Al principio no me quedó claro que el sandbox se ejecuta en la nube y no localmente

  • Me impresiona la forma en que Deno Sandbox maneja los secretos
    Dentro del código solo aparecen placeholders en lugar de las claves reales, y la clave verdadera se inyecta solo cuando una solicitud sale hacia un host aprobado
    Aunque un código malicioso intente filtrar ese placeholder al exterior, no sirve de nada

    • Pero si el proxy solo hace sustitución de cadenas, queda la duda de si un atacante podría hacer que uno de los hosts aprobados devuelva la clave en eco
      Si el proxy también vuelve a sustituir la clave en la respuesta, sería más difícil, pero aun así no parecería una defensa perfecta
      Una inyección de secretos basada en proxy y con conocimiento del contexto podría ser más segura
    • Me recuerda a Tokenizer de Fly
      La aplicación no maneja directamente la clave, y el proxy agrega la API key por ella, reduciendo el riesgo de exposición de seguridad
    • El blog oficial de Deno también presenta esta idea
      Secrets that can’t be stolen
      El código malicioso no puede robar permanentemente los secretos, pero sí puede seguir usando esa clave para enviar solicitudes maliciosas
      Es parecido a cómo un XSS no puede leer una cookie httpOnly, pero sí puede hacer solicitudes usando esa cookie
    • Lo más probable es que use un proxy MITM que intercepta solicitudes HTTPS
      En ese caso, funciones como el certificate pinning podrían volverse difíciles
    • Me pregunto cómo se maneja cuando no se puede reemplazar encabezados, como en conexiones a bases de datos sobre TCP
      También me gustaría preguntar si planean añadir algo tipo Vault

  • Según explicó el equipo de Deno, últimamente han aumentado los servicios tipo plataforma que ejecutan directamente código generado por LLM
    Para que ese código pueda llamar APIs externas, necesita credenciales reales y acceso a la red
    El sandboxing por sí solo no basta; hacen falta control de red y protección de secretos al mismo tiempo
    Deno Sandbox ofrece ambas cosas y, cuando el código está listo, se puede desplegar directamente en Deno Deploy

    • Cada vez que leo la frase “esto no es solo un sandbox para plugins, sino una plataforma de ejecución de código para IA”, instintivamente pienso: “esto es IA

  • Nuestro equipo también construyó un entorno sandbox parecido directamente con Firecracker + Go
    Por temas de soberanía de datos, tenemos que operar solo dentro de la UE, así que podemos desplegarlo en cualquier lugar con virtualización por hardware
    Para que el LLM no toque directamente las credenciales, generamos al vuelo un CLI con alcance limitado y se lo damos
    El LLM simplemente lo invoca como si fuera un comando de bash
    Como los modelos recientes están entrenados como asistentes de programación, este enfoque se siente mucho más natural y eficiente

  • El método de sustitución de secretos es interesante, pero me da la impresión de que podría romperse cuando en la práctica se necesiten transformaciones de claves como OAuth 1, JWT o HMAC
    Además, si la clave forma parte del payload, la sustitución podría causar problemas HTTP como una descoordinación en Content-Length
    Encima, este enfoque no sirve contra otros ataques como la inyección SQL
    Al final, esto parece más una mitigación parcial que una defensa completa

  • Como hay un plan gratuito, dan ganas de probarlo para experimentar como con Glitch, pero siempre me da cautela porque he visto muchos servicios gratis desaparecer a medio camino

  • El diseño con placeholders para secretos parece una buena elección
    Pero últimamente hay demasiados productos de sandbox: Modal, Daytona, Fly, Cloudflare, Deno, etc.
    Me da curiosidad saber cuál usa la gente realmente en producción

    • La verdad es que la mayoría de estos servicios son poco más que wrappers de VM, así que también podría implementarse directamente con EC2 o el SDK de GCP
    • Factory, Nvidia, Perplexity y Manus usan E2B en producción y, según dicen, ya han ejecutado más de 200 millones de sandboxes hasta ahora

  • Deno Sandbox dice ofrecer una microVM ligera de Linux que corre en la nube de Deno Deploy,
    y la gran duda es si eso también puede ejecutarse en un entorno Linux self-hosted

    • Pero la mayoría de los proveedores termina optando por una estrategia de lock-in
      Si lo liberan totalmente como open source, AWS o GCP simplemente lo copian
      Al final se siente como construir un castillo dentro del sandbox de otro, pero en la práctica parece ser el único modelo de negocio rentable

  • Si se usa Claude Pro o el plan Max en este entorno, me preocupa que al conectarse cada vez desde una IP distinta Anthropic lo confunda con múltiples usuarios y termine bloqueándolo
    También me pregunto por qué la sesión está limitada a 30 minutos

    • Dicen que pronto planean extender la duración de la sesión. Parece que requiere ajustes técnicos internos, por eso está tardando
    • Como referencia, yo lo uso así desde unas 50 IP y no he tenido problemas
      Parece que Anthropic usa heurísticas para decidir simplemente si lo está usando una persona directamente
    • Me da curiosidad si el objetivo de usarlo así es intentar acceso directo a la API con un plan mensual, o si tiene algún otro propósito