Notion Workers запускает чужой код в Vercel Sandbox: microVM и изоляция

Notion Workers — это возможность писать и деплоить код, который расширяет Custom Agents: синхронизация CRM, триггеры автоматизаций, вызов любых API. Под капотом каждый Worker выполняется в Vercel Sandbox.

Проблема очевидна: любой разработчик или AI-агент может загрузить произвольный код, который выполняется от имени пользователя, в том числе в корпоративном workspace. Без изоляции один Worker получал бы доступ к секретам агента, правам и данным других пользователей — достаточно prompt injection, чтобы утечь credentials или чужие данные.

Vercel Sandbox запускает каждый Worker в эфемерной Firecracker microVM: свой kernel, свой файловый стек, свой сетевой контекст. Изоляция жёстче, чем в контейнерах. Credential injection: ключи передаются через прокси — код может вызывать внешние сервисы, но не может их экспфильтрировать. Enterprise-клиенты получают контроль над тем, к каким внешним сервисам Worker имеет доступ. Плюс быстрые cold starts за счёт snapshot/restore файловой системы и биллинг под низкую утилизацию CPU агентами.

Источник: How Notion Workers run untrusted code at scale with Vercel Sandbox