英伟达开源的AI Agent沙箱运行时OpenShell已更新至v0.0.33版本。该项目通过YAML策略管控沙箱内的文件访问、数据外传和网络请求,为自主Agent的代码执行提供安全隔离。
主要更新内容
- 新增libkrun驱动:引入基于KVM的微虚拟机(micro-VM)库作为独立计算后端。其启动速度接近容器,但提供了虚拟机级别的内核隔离,为执行不可信代码增加了更强的安全边界。
- 安全加固:进一步强化了沙箱的seccomp过滤、推理路由和进程数限制。
项目背景与现状
- 此前,OpenShell的计算后端为运行在Docker容器内的K3s集群。
- 该项目在GitHub上已获得超过5.2k星,采用Apache 2.0许可证。
- 官方说明其仍处于Alpha阶段,目前仅支持单开发者、单环境、单网关的“单人模式”。
