OpenShell v0.0.33: libkrun compute driver hạ cánh, sandbox siết chặt seccomp và inference routing

TL;DR

OpenShell v0.0.33 (phát hành 20/04/2026, 15:14 UTC) thêm standalone libkrun compute driver — con đường thực thi thứ hai song song với sandbox container hiện tại. Đồng thời hardening 3 mảng: seccomp denylist, inference routing, process limits. Dự án Rust từ NVIDIA, 5.1k sao GitHub, Apache 2.0, vẫn ở giai đoạn alpha với nhịp release gần như mỗi ngày.

What's new

• PR #858 — standalone libkrun compute driver. libkrun là thư viện microVM nhẹ (gốc từ Red Hat/containers org), giờ trở thành backend thứ hai trong OpenShell, cạnh backend K3s-in-Docker mặc định.
• PR #869 — hardening seccomp, inference routing và process limits trong cùng một PR, cho thấy đội security đang tiếp cận theo chiều ngang nhiều mặt cùng lúc.
• PR #844 — fix edge case: binary path đọc từ /proc bị dính suffix (deleted) khi process chạy từ binary đã bị xoá. Nhỏ nhưng là loại bug hay cắn khi sandbox tính policy dựa trên executable path.
• PR #881 — dập flaky test trên ARM64 liên quan procfs.
• 6 contributor ship release này. Maintainer mới: @mrunalp (veteran container runtime).

Why it matters

AI agents giờ đang tự viết code, tự gọi API, tự chạy shell. Cho chúng quyền chạy trực tiếp trên máy dev hoặc CI là công thức dẫn tới credential leak, SSRF, và prompt injection biến thành RCE. OpenShell định vị mình là Layer 0 cho agentic DevOps — nơi agent sống trong sandbox có policy, không phải trên host.

v0.0.33 quan trọng ở hai điểm:

1. libkrun driver mở đường multi-backend. Từ chỗ chỉ có 1 con đường (K3s-in-Docker), giờ OpenShell có 2. Điều này báo hiệu kiến trúc tương lai sẽ là pluggable compute drivers — container cho tốc độ, microVM cho isolation mạnh, và có thể Firecracker/gVisor sau này.
2. Security hardening dồn trong 1 PR cho 3 mảng (syscall filter, LLM routing, process cap) — cho thấy attack surface đang được nhìn holistic, không vá vặt.

Technical facts

Comparison

Nhịp release trước đó: v0.0.29 (14/04) → v0.0.30 (15/04) → v0.0.31 (16/04) → v0.0.32 (17/04) → v0.0.33 (20/04). Gần như mỗi ngày một patch — đúng chất alpha software NVIDIA vừa ra tại GTC 2026.

So với các sandbox cùng hạng:

• Firecracker — microVM mạnh, nhưng không có policy layer cho AI agent / LLM routing.
• gVisor — user-space kernel, tốt cho container isolation, không có privacy router cho inference.
• Podman + seccomp tự viết — làm được nhưng phải tự ráp filesystem / network / LLM routing từng mảnh.
• OpenShell — đóng gói sẵn toàn stack cho agent: sandbox + egress policy + credential bundle + privacy router, giờ thêm lựa chọn libkrun microVM.

Use cases

• Chạy Claude Code / Codex / Copilot CLI dưới policy — agent thấy đúng file project, không leak ~/.aws, không ping API ngoài scope.
• Agentic DevOps — cho agent chạy kubectl, terraform, nhưng chặn egress ngoài control plane cluster.
• Untrusted third-party agents — đây là chỗ libkrun driver mới toả sáng: isolation cấp kernel mà không tốn overhead full VM.
• Local inference với GPU (experimental) — giữ model và context trong sandbox, không route qua cloud LLM.
• BYOC sandbox catalog — team tự plug container image riêng.

Limitations & pricing

• Alpha. API và policy schema vẫn đổi theo từng patch. Không khuyến nghị production khi chưa có release stable.
• libkrun driver mới toe — chưa phải default, cần test kỹ trên workload của bạn trước khi switch.
• GPU support experimental.
• Yêu cầu Docker + đủ RAM cho K3s cluster.
• Pricing: Apache 2.0, miễn phí, self-hosted. Chưa có managed offering từ NVIDIA.

What's next

Với nhịp daily release và architecture hướng multi-backend, có thể đoán lộ trình: thêm compute driver (Firecracker, gVisor?), policy schema ổn định hơn để ra stable v0.1, mở rộng privacy router hỗ trợ nhiều provider LLM. Nếu đang build agentic pipeline, đây là thời điểm tốt để thử trên staging — API sẽ đổi, nhưng concept policy-driven sandbox cho agent là hướng đi đúng.

Nguồn: NVIDIA/OpenShell Releases, GitHub repo, OpenShell Docs, @NVIDIAAIDev.