Cloud 2.0: los cimientos técnicos del agente cloud presentados en Agents Week 2026

Introducción

El modelo de one-app-serves-many-users que sostuvo al cloud durante años ya no alcanza cuando cada usuario ejecuta varios agentes en paralelo y 24/7. Según Dane Knecht y Rita Kozlov (Cloudflare), si solo el 1% de los trabajadores del conocimiento del planeta ejecutara unos pocos agentes cada uno, necesitaríamos capacidad de cómputo para decenas de millones de sesiones simultáneas. Esto exige redefinir la infraestructura desde cero: entornos de ejecución que arranquen en milisegundos, redes privadas seguras para identidades no humanas, y primitivas de IA integradas en el mismo stack donde corren los agentes.

Durante Agents Week 2026, Cloudflare presentó una batería de lanzamientos agrupados en tres ejes: cómputo escalable, seguridad por defecto y herramientas para agentes productivos. Lo que sigue es un desglose técnico de cada bloque, con versiones, comandos y arquitecturas listas para implementar hoy.

Qué ocurrió

Cloudflare anunció 14 componentes nuevos o mejorados agrupados en tres ejes:

1. Cómputo para agentes: sandboxes persistentes, almacenamiento Git-compatible y límites de concurrencia escalables.
2. Seguridad para identidades no humanas: OAuth gestionado, revocación automática y mallas privadas para nodos y agentes.
3. Primitivas de agentes: memoria persistente, pipelines de voz, email nativo y un catálogo de modelos de inferencia unificado.

A continuación, las novedades más relevantes para equipos de DevOps, SRE y seguridad.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

DevOps y SRE

• Sandboxes GA permite ejecutar agentes en entornos aislados con filesystem, shell y procesos en background, eliminando la necesidad de VMs tradicionales. Cada sandbox arranca en <100ms y puede mantener estado entre invocaciones.
• Workflows ahora soporta 50.000 concurrencias y 300 creaciones/segundo, gracias a un redesign del plano de control. Ideal para orquestar flujos de agentes durables (ej.: agentes que procesan tickets hasta completarlos).
• Artifacts ofrece repositorios Git-compatibles sin límite de cantidad, escalando a millones. Cada repositorio puede ser un workspace para un agente específico.

Cloud

• Durable Object Facets permite instanciar Durable Objects con bases de datos SQLite aisladas por agente generado dinámicamente. Esto elimina cuellos de botella de I/O en arquitecturas stateful.
• Unweight comprime modelos de lenguaje hasta un 22% sin pérdida de calidad, reduciendo costos de GPU en inferencia. La técnica aplica a modelos >70B de parámetros.

Seguridad

• Cloudflare Mesh extiende VPC a identidades no humanas (agentes, nodos), aplicando políticas de zero-trust sin túneles manuales.
• Managed OAuth para Access adopta RFC 9728, permitiendo que agentes autentiquen en apps internas sin cuentas de servicio. Se revocan credenciales automáticamente al detectar inactividad.
• Agent Memory introduce persistencia distribuida para agentes, con políticas de forget basado en edad y contexto. Reduce tokens almacenados y mejora privacidad.

Detalles técnicos

Cómputo escalable para agentes

1. Cloudflare Sandboxes (GA)

• Entorno: Máquina virtual ligera con kernel Linux 6.6, filesystem tmpfs, y procesos en background persistentes.
• Rendimiento:

– Memoria base: 64MB (escalable a 1GB por sandbox).

– Soporte nativo para ejecución de scripts Rust (v1.75+) y Python 3.12.

• Integración:

  # Lanzar sandbox con acceso a internet restringido
  npx wrangler sandbox create \
    --image=cloudflare/agents:sandbox-1.0 \
    --egress-policy=deny-all \
    --env=STAGING
  

• Vectores de riesgo: Ninguno reportado; el aislamiento usa KVM + seccomp (similar a Firecracker).

2. Artifacts: almacenamiento Git-compatible a escala

• Arquitectura:

– Frontend: Git-compatible v2.43.0 con extensiones para manejo masivo de repositorios.

• Límites:

– Forks ilimitados con referencias a repos remotos arbitrarios.

• Costo: $0.0001/GB/mes (precio listado en abril 2026).

3. Workflows: ejecución durable escalable

• Cambios en el plano de control:

– Nuevo algoritmo de scheduling basado en tokens de prioridad (evita starvation en colas).

• Métricas:

– Throughput: 300 tareas/segundo en us-central-1.

Seguridad para identidades no humanas

1. Cloudflare Mesh

• Integración con Workers VPC:

  # workers/vpc-config.yaml
  network:
    mesh:
      enabled: true
      private_subnets: ["10.42.0.0/16"]
      default_egress_policy: "deny"
      agent_scopes:
        - name: "db-reader"
          allowed_ips: ["10.42.0.10/32"]
          protocols: ["tcp/5432"]
  

• Políticas dinámicas:

– CVE relevantes mitigados:

– CVE-2024-3094 (OpenSSH) bloqueado por defecto.

– CVE-2024-24786 (Rust std::process) parcheado en runtime.

2. Managed OAuth para Access (RFC 9728)

• Flujo de autenticación:

2. Cloudflare Access emite un access token con:

– scope: internal-api:read.

– exp: 5min (autorrevocable).

– oidc_claims: {"sub": "agent-<uuid>"}.

• Herramientas de revocación:

  # Revocar tokens inactivos >7d
  npx @cloudflare/agents-cli token-revoke \
    --inactive-days=7 \
    --dry-run=false
  

3. Agent Memory

• Almacenamiento:

– TTL por contexto: 7d (configurable por agente).

• API:

  from cloudflare_agents import AgentMemory

  mem = AgentMemory(agent_id="a1b2c3")
  mem.store(
    key="ticket_12345",
    value={"status": "closed", "resolution": "rebooted"},
    ttl=86400  # 1d en segundos
  )
  

Primitivas para agentes productivos

1. Cloudflare Email Service (Beta pública)

• Arquitectura:

– Soporte nativo para DKIM, SPF y ARC.

• Límite de envío:

– 1M emails/día con plan Enterprise.

2. Inference Layer unificado

• Catálogo actual:

– Multimodal: CLIP, Whisper v3, Stable Diffusion 1.6.

• Nuevas bindings para Workers:

  // worker.js
  export default {
    async fetch(request) {
      const model = "llama3.1-8b-instruct";
      const res = await this.env.AI.run(model, {
        prompt: "Resumir esta reunión..."
      });
      return new Response(res.text);
    }
  }
  

3. Pipeline de voz experimental

• Stack:

– TTS: VITS con modelo XTTS-v2.

• Latencia:

– Código mínimo:

    from cloudflare_agents.voice import VoicePipeline

    pipeline = VoicePipeline()
    async for chunk in pipeline.stream():
        print(chunk.text)  # Transcripción en tiempo real
    

Qué deberían hacer los administradores y equipos técnicos

1. Migrar entornos de agentes a Sandboxes

• Pasos:

2. Reemplazar workerd por cloudflare/sandbox:1.0:

     npx wrangler sandbox deploy \
       --image=cloudflare/sandbox:1.0 \
       --name=mi-agente-prod
     

3. Configurar políticas de egress explícitas (evitar fugas de datos).

2. Implementar OAuth gestionado para agentes

• Requisitos:

– RFC 9728 activado en el dashboard:

    # Habilitar en Terraform
    cloudflare_access_application "mi-app" {
      name = "Internal API"
      domain = "internal.api.example.com"
      type = "self_hosted"
      oauth {
        rfc9728_enabled = true
        token_expiry = "5m"
      }
    }
    

• Validación:

    curl -H "Authorization: Bearer $TOKEN" \
      https://internal.api.example.com/health
    

3. Escalar Workflows para agentes durables

• Ajustes:

    # cloudflare.yaml
    workflows:
      limits:
        max_concurrency: 50000
        creation_rate: 300
    

– Configurar checkpoints para tareas largas:

    // worker.ts
    import { DurableObject } from "cloudflare:workers";

    export default DurableObject {
      async fetch() {
        this.ctx.blockConcurrencyWhile(async () => {
          await this.ctx.storage.put("task_state", state);
        });
      }
    }
    

4. Adoptar Artifacts para código de agentes

• Migración:

     git clone https://git.artifacts.cloudflare.com/mi-organizacion/base-agent-template
     

2. Configurar remote para sincronización con GitHub:

     git remote add github https://github.com/mi-organizacion/mi-agente
     git push artifacts main
     

5. Proteger identidades no humanas con Mesh

• Pasos:

     # vpc-config.yaml
     network:
       vpc:
         cidr: "10.42.0.0/16"
         mesh:
           enabled: true
     

2. Definir políticas para agentes:

     npx @cloudflare/mesh-cli policy create \
       --name="agente-db" \
       --source="sandbox:mi-agente-123" \
       --destination="10.42.0.10:5432" \
       --action=allow
     

Conclusión

Agents Week 2026 no fue una ronda más de anuncios: presentó los cimientos técnicos del agente cloud, una capa de abstracción que une cómputo elástico, seguridad por defecto y primitivas de IA en un mismo stack. Las piezas clave —sandboxes persistentes, OAuth gestionado y Workflows escalable— resuelven los tres problemas que frenaban a los equipos: aislar agentes sin sacrificar rendimiento, autenticar identidades no humanas sin cuentas de servicio y escalar flujos durables a millones de instancias.

Para DevOps, el cambio es migrar de VMs → Sandboxes y adoptar Artifacts como repositorio único para código y datos. Para seguridad, el foco está en Mesh + revocación automática de credenciales. Y para los equipos de producto, las nuevas bindings de inferencia y voz abren la puerta a agentes multi-modal que interactúan por email, voz o API.

El agente cloud ya no es un concepto futurista: es una realidad que se despliega hoy con herramientas listas para producción.

Fuentes

https://blog.cloudflare.com/agents-week-in-review/

https://www.envoyproxy.io/blog/