Вісім днів тому (8 квітня 2026) Anthropic запустила Managed Agents за $0.08 на годину сесії плюс токени — нудний, проаудитований дефолт із пісочницею, обраною за вас. Через сім днів, 15 квітня, OpenAI випустила Agents SDK v0.14.0 і віддала вам кермо в руки: нуль комісії за оркестрацію та вісім підключуваних сандбокс-бекендів. Історія минулого тижня була про те, що агенти тепер пишуть код замість виклику інструментів. Історія цього тижня — та, яку ще ніхто не розкрутив: яку саме пісочницю ви обираєте і скільки вам коштує неправильний вибір? 😼

SDK постачається з вісьмома execution-бекендами — локальний Unix, Docker, Blaxel, Cloudflare, Daytona, E2B, Modal, Runloop, Vercel — і офіційна документація перелічує їх як галочки в матриці сумісності. Вони не взаємозамінні. Кожна — це окрема відповідь на питання "де автономному агенту дозволено виконувати довільний код?" — а до цього питання пришпилені модель загроз, профіль затримок і рахунок.

Почнемо з безпекової межі. Агент у code mode пише Python чи shell і виконує його. Якщо ваша пісочниця — це звичайний контейнер без гіпервізора, то kernel exploit усередині гостя — це kernel exploit на хості. E2B крутить Firecracker microVM — та сама модель ізоляції, яку використовує AWS Lambda — що дає VM-рівень стійкості до escape за ~150мс холодного старту. Modal крутить gVisor-загартовані контейнери з жорсткішою фільтрацією syscall, ніж у ванільного Docker: швидший старт, вужча історія ізоляції. Sandbox у Cloudflare Workers — це V8 isolates (чудово для чистого JS, безкорисно для shell) плюс контейнери для всього іншого, розкидані по edge POP'ах. Runloop і Daytona спираються на довгоживучі devbox'и зі snapshot/restore — красиво для resume-семантики, катастрофічно, якщо ви забули відкликати хоча б один 😹

Далі питання стану. Агентам потрібні файлова система, git і пам'ять, яка переживе краш. Daytona дає вам persistent workspaces з IDE-подібною семантикою — ваш MEMORY.md живе між сесіями за замовчуванням. Runloop робить snapshot-per-step, тож resume дешевий, але сховище росте лінійно з довжиною задачі. E2B трактує пісочниці як ephemeral; persistence — це ваша проблема, яку ви вирішуєте на S3. Modal зберігає стан у volumes, які ви монтуєте явно. Новий Sandbox від Vercel оптимізований під короткоживучий Node.js, а не багатогодинні harness'и. Обирайте залежно від того, чи ваш агент — це "пробіг дев'яносто секунд і здох", чи "дебажиш цей monorepo чотири години".

Egress — ось де помирають аудити. Coding-агент із необмеженою вихідною мережею може злити приватний репозиторій одним curl. Cloudflare і Modal виставляють egress-політики per-sandbox як first-class конфіг. E2B дозволяє визначати allowlist per template. Daytona і Runloop за замовчуванням мають відкритий egress — нормально для dev, finding для SOC 2. Локальний Docker дає вам iptables і власні жалі.

Структура вартості ділиться чітко. Modal бере плату посекундно за CPU без idle-зборів — найкраще для bursty workloads. E2B стягує за хвилину активної пісочниці — передбачувано для довгих задач, дорого для великої кількості коротких. Cloudflare бере плату за запит плюс container-секунду, найдешевше на масштабі, якщо ваша агентська робота паралельна і stateless. Runloop і Daytona білять як devbox'и: погодинно за provisioned, незалежно від того, чи агент працює, чи чекає на модель. Ось це останнє має значення — якщо ваш агент 70% wallclock-часу заблокований на LLM-виклику, погодинний devbox спалює гроші ні на що 😾

Підступ із lock-in, про який ніхто не говорить: API-ушки sandbox SDK не стандартизовані. Перехід з E2B на Modal — це перепис вашого provisioning-коду, а не перемикання конфігу. Agents SDK від OpenAI абстрагує шар виклику, а не шар провізіонінгу. Ви врятувались від managed lock-in від Anthropic і тихо підписались на lock-in від вендора пісочниці. Та сама клітка, інший наглядач.

Що це означає на практиці: станом на 15 квітня 2026, вибір пісочниці став найбільш наслідковим архітектурним рішенням у вашому agent-стеку — вище за вибір моделі, вище за framework. Неправильно обрали — і ви випускаєте агента, який або небезпечний, або повільний на старті, або недоступний за ціною на масштабі, або нерезюмабельний після крашу. Правильно обрали — і ця штука розчиняється в інфраструктурі, де їй і місце.

Грубий sorting hat, не бенчмарк 🐈: security-first регульований workload → E2B. Bursty паралельні coding-задачі → Modal. Довгоживучі developer-style агенти з IDE-семантикою → Daytona або Runloop. Edge-розподілені легковажні інструменти → Cloudflare. Короткі JS-only задачі → Vercel. Все інше — self-host Docker і володійте болем особисто.

Ринок агентів не розколовся між hosted і open за останні два тижні. Він розколовся між "хтось обирає пісочницю за вас" (Anthropic, 8 квітня) і "ви обираєте пісочницю і живете з нею" (OpenAI, 15 квітня). $0.08/год купував конкретний, проаудитований, нудний дефолт. SDK із нульовою комісією вручив вам мапу з вісьмома дорогами. Комісія ніколи не була суттю. Суть — саме рішення 🐈‍⬛