推出「outbound Workers」為沙盒注入認證，實現零信任代理而不暴露 token

推出「outbound Workers」為沙盒注入認證，實現零信任代理而不暴露 token。

Cloudflare 於 2026-04-13 推出「outbound Workers」給沙盒與容器，提供程式化出口代理，讓 AI Agent 安全存取 GitHub 等服務，記錄流量並強制零信任政策，全程透明無需 Agent 直接看到 token。

沙盒核心優勢
沙盒超越傳統容器，提供安全、速度與控制三要素：

• 安全：透過 microVM 隔離，讓不受信任的使用者或惡意 LLM 運行而不危害主機或其他沙盒。
• 速度：使用者可快速啟動新沙盒並從先前狀態快速還原。
• 控制：平台可在不受信任沙盒內執行動作，如掛載檔案、控制請求存取或執行特定指令。

傳統 Agent 認證缺點
常見 Agent 認證方法各有缺陷，無法完全信任工作負載：

• 標準 API token：透過環境變數或掛載秘密檔案注入，最簡單但最不安全，需依賴沙盒不洩漏 token，並麻煩設定過期與輪替。
• 工作負載身分 token（如 OIDC token）：Agent 交換短效存取 token，易管理過期，但許多服務缺乏原生 OIDC 支援，平台須自建交換服務，採用不易。
• 自訂代理：靈活性最高，可自訂規則彌補上游服務 RBAC 不足，但攔截沙盒流量、動態程式化與高效代理難以解決。

理想認證機制特徵
Outbound Workers 滿足零信任、簡單、靈活、身分感知、可觀察、高效能、透明與動態等理想條件，不授予不受信任使用者任何 token。

運作原理示範
沙盒程式碼請求「github.com」時，經 outbound Worker 代理處理，可記錄、修改或取消請求，並安全注入秘密金鑰至 header。代理運行於沙盒同一機器，存取分散狀態，並以簡單 JavaScript 修改，低延遲因 Workers 原設計服務快取 CDN 流量。

基本限制與可觀察性
使用 outbound 函數攔截所有沙盒 HTTP 出口請求，僅允許 GET 並記錄拒絕其他方法。Workers 提供即時可觀察性，可在 Workers 儀表板查看記錄或匯出至 APM 工具。

零信任憑證注入
針對「my-internal-vcs.dev」等特定網域，使用 outboundByHost 注入受保護憑證，沙盒 Agent 永不存取 token，並依容器身分條件化回應，不同沙盒可注入不同 token。

Cloudflare 生態整合
無需注入 R2、KV、Agents 等憑證，直接從 outbound Workers 呼叫綁定，使用沙盒 ID 精準範圍存取，取代解析 token 與政策設定。

動態控制機制
OutboundHandlers 允許程式化套用自訂出口處理器，透過 setOutboundHandler 方法動態切換。例如，啟動沙盒後允許 NPM 與 GitHub 下載依賴，再鎖定出口最小化開放時間；Agent 可依使用者確認動態修改規則，如允許特定 POST 請求。

TLS 中介代理支援
為 HTTPS 解密，每沙盒產生獨特短效 CA 與私鑰置入沙盒（預設信任，容器可選擇性啟用）。Cloudflare 隔離網路程序執行 TLS 握手，使用 ClientHello 中的 SNI 產生葉 CA，於同一機器呼叫 Worker 處理。私鑰永不離開容器執行階段 sidecar，不跨實例共享，實現真正透明代理，所有 HTTP/HTTPS 流量自動經處理。

底層實作細節
新增 ctx.container 方法：interceptOutboundHttp 與 interceptOutboundHttps，針對特定主機名（支援 glob）、IP 範圍或全攔截，搭配 WorkerEntrypoint 作為出口前門。代理於沙盒 VM 同一機器本地進行，即使無認證通訊仍安全。可隨時呼叫修改，現有連線自動切換新入口點不中斷 TCP 或 HTTP。

本地開發支援
Wrangler dev 自動產生 sidecar 程序「proxy-everything」，於本地容器網路命名空間套用 TPROXY nftable 規則，將流量導向 Cloudflare 開源 JavaScript 執行階段 workerd，模擬生產環境，簡化測試開發。

啟用指南
新使用者參考「Getting Started」指南；現有 Containers 或沙盒使用者升級至 @cloudflare/[email protected] 或 @cloudflare/[email protected]，並查閱文件即刻使用 outbound Workers。