Aller au contenu

Zeroboot — Sandboxes VM Firecracker sub-milliseconde pour agents IA

Resume

Zeroboot (2.1K stars, Apache 2.0, Rust) cree des sandboxes VM Firecracker en <1ms via copy-on-write forking de snapshots KVM. Principe : demarrer une microVM, precharger un runtime (Python/Node.js), capturer l'etat memoire+CPU, puis forker via mmap(MAP_PRIVATE) — seules les pages modifiees sont copiees. Resultats : 0.79ms de latence mediane (vs ~150ms E2B, ~200ms microsandbox), ~265KB de RAM par sandbox (vs ~128MB E2B). SDKs Python et TypeScript. Prototype fonctionnel, pas production-ready (pas de reseau interne, 1 vCPU par fork, PRNG partage entre forks).

Analyse critique

La technique est elegante. Le snapshot Firecracker + CoW fork est une application directe de primitives noyau connues (KVM + mmap MAP_PRIVATE), mais l'implementation en Rust avec des latences sub-milliseconde est un resultat d'ingenierie solide. L'isolation hardware KVM est strictement superieure aux containers Docker pour du code untrusted genere par LLM.

Limites reelles : - PRNG partage entre forks = danger pour tout usage crypto (meme IV, meme seed). Redhibitoire pour ProbatioVault sans workaround. - Pas de reseau interne — les agents ne peuvent pas appeler d'API depuis la sandbox. - 1 vCPU par fork — pas de parallelisme intra-agent. - Linux-only (KVM) — inutilisable sur macOS. - 15 secondes pour mettre a jour un template — acceptable pour du dev, pas pour du CI rapide.

2.1K stars pour un projet Rust infra est modeste mais honnete. Le positionnement "AI agent sandboxes" est pertinent dans un contexte ou les agents executent du code genere de plus en plus autonomement.

Pertinence ProbatioVault

Impact faible, a surveiller pour un usage serveur.

Notre workflow multi-agents step 6b lance 17 agents claude -p en subprocess directement sur la machine, sans isolation. Si on voulait isoler chaque agent dans une sandbox (securite, non-regression, environnement reproductible), Zeroboot serait le bon candidat — 17 VMs en ~14ms au lieu de containers Docker lourds.

Mais : Linux-only (KVM), donc inutilisable sur le MacBook. Pertinent uniquement pour l'IA-Server (2x RTX 5090, Linux) ou un eventuel deploiement CI/CD serveur. Le PRNG partage est un red flag pour notre domaine (crypto/scellement). A surveiller si le projet mature vers une v1 production-ready avec reseau et PRNG re-seed.