币须知道据动察 Beating 监测,英伟达开源的 AI Agent 沙箱运行时 OpenShell 发布 v0.0.33。项目通过 YAML 策略管控沙箱里的文件访问、数据外传和网络请求,给自主 Agent 跑代码提供安全隔离。本次版本新增 libkrun 独立计算驱动,并加固 sandbox 的 seccomp 过滤、推理路由和进程数限制。
此前 OpenShell 的计算后端是 Kubernetes,底层是跑在单个 Docker 容器里的 K3s 集群。libkrun 是基于 KVM 的微 VM 库,启动速度接近容器,隔离级别对齐虚拟机。对 Agent 执行的不可信代码来说,这比容器多出一层内核级边界。
项目在 GitHub 已累积 5.2k star,采用 Apache 2.0 许可。官方 README 注明仍处于 alpha 阶段,目前只支持单开发者、单环境、单网关的 single-player 模式。
