Schnell. Skalierbar. Vollständig isoliert: auf eurem Cluster, in eurer Region, unter eurer Kontrolle. Eure KI-Agenten schreiben Code, analysieren Daten und erledigen echte Arbeit, ohne dass Daten jemals euren Perimeter verlassen.
Wofür eine Sandbox
Function Tools und MCP-Server sind perfekt, solange ihr vorher wisst, welches Werkzeug der Agent braucht. Aber sobald er improvisieren muss – eine unbekannte CSV einlesen, zwei APIs verknüpfen, den eigenen Output debuggen – reicht ein fertig bestückter Kasten nicht mehr. Dann braucht er Platz zum Selberbauen. Genau dafür sind Sandboxes da.
Eine unbekannte CSV einlesen, pandas live schreiben, das Chart zurückgeben.
Den Code laufen lassen, den das LLM gerade erst geschrieben hat, ohne den Rest eures Systems zu riskieren.
Ein PDF parsen, das gerade per Mail kam. Ein undokumentiertes JSON zurechtbiegen. Typen umcasten, bis es läuft.
Statistik, Optimierung, Simulationen, schnell ein Modell trainieren. Arbeit, für die ein Function Call nicht reicht.
Code schreiben, ausführen, Fehler lesen, reparieren. Und nochmal. Bis es läuft.
Browser, Terminal, Paketmanager, Dateisystem. Alles, was ein Mensch auch öffnen würde – für die Momente, in denen sonst nichts mehr passt.
Sandboxes mit dem SDK steuern
Mit dem Python-SDK holt sich euer Agent eine Sandbox, führt Code aus und liest Ergebnisse zurück.
from prokube.sandbox import Sandboxwith Sandbox.from_pool("python-pool") as sbx:sbx.commands.run("pip install pandas matplotlib")sbx.run_code("""import pandas as pd, matplotlib.pyplot as pltdf = pd.read_csv('/workspace/sales.csv')df.groupby('region').sum().plot.bar()plt.savefig('/workspace/chart.png')""")chart = sbx.files.read('/workspace/chart.png')
Sandbox aus einem Warm Pool holen, beliebigen Code ausführen, Ergebnisse auslesen. Der Context Manager räumt am Ende auf.
Die UI
Die Management-UI, ein Web-Terminal für Coding-Agents und MCP-basierter Sandbox-Zugriff aus euren eigenen Tools.
Einzelne Sandboxes oder Warm Pools verwalten — in persönlichen oder geteilten Team-Workspaces.

Für CISOs
Sandboxes sind für den Worst Case gebaut: Der Code, der gleich läuft, wurde vor einer Sekunde von einem LLM geschrieben. Niemand weiß genau, was er tut. Defense in Depth ist hier Pflicht, nicht Kür.
Sandbox-Pods laufen mit automountServiceAccountToken: false. Der Code darin hat keinen Token, keinen Client, keinen Pfad zur Control Plane – selbst wenn er wollte.
Ausgehenden Traffic pro Sandbox erlauben oder blockieren. Fremden Code auf rein interne Services eingrenzen.
Ein User-Space-Kernel fängt Syscalls ab, bevor sie den Host erreichen. Selbst ein Container-Escape bringt dem Angreifer nichts.
Wir geben eurem Team Zugriff auf einen Test-Cluster, damit ihr Agent Sandboxes mit euren eigenen Workflows ausprobieren könnt.
Source-available. Entwickelt in Deutschland. Kein Lock-in. Garantiert.