- NVIDIA vừa phát hành OpenShell v0.0.34 (21/4/2026) với tính năng chính là hot-reload chính sách mạng trên sandbox đang chạy, install-vm gộp gateway và VM driver, sandbox get phản ánh policy runtime thực tế, cùng hardening supervisor seccomp và chuẩn hóa HTTP request-target trước khi đánh giá L7.
TL;DR
Ngày 21/4/2026, NVIDIA release OpenShell v0.0.34 — bản point release của runtime dành cho autonomous AI agents. Thay đổi đáng chú ý nhất là incremental sandbox policy updates: bạn có thể chỉnh policy mạng trên sandbox đang chạy mà không cần destroy rồi recreate. Kèm theo: install-vm nay dựng luôn gateway + VM driver với cờ --driver-dir, sandbox get trả về policy runtime đang enforce, và hardening ở lớp supervisor seccomp + canonicalize HTTP request-target trước L7 evaluation.
What's new
- Live sandbox policy updates (PR #860) —
openshell policy updatemerge incremental,openshell policy setthay toàn bộ; cả hai hỗ trợ--waitđể xác nhận kích hoạt. - install-vm bundled (PR #887) — một lệnh cài cả control-plane gateway lẫn VM compute driver;
--driver-dircho phép trỏ tới thư mục libkrun driver đã staged sẵn. - sandbox get runtime-accurate (PR #880) — trước đây có thể trả policy đã khai báo; nay phản ánh đúng policy runtime sau hot-reload.
- Supervisor seccomp prelude (PR #891) — siết syscall filter cho tiến trình supervisor bên trong sandbox.
- HTTP request-target canonicalization (PR #878) — chuẩn hóa path trước khi evaluate L7 policy, chặn bypass qua encoded path / dot-segments.
- CLI/TUI SSH hardening (PR #876) — escape + validate response fields trong SSH session.
Why it matters
Với long-running agents — Claude Code, Codex, OpenCode, Cursor — thứ đau nhất là khi cần nới một network rule giữa phiên: trước đây phải destroy sandbox, agent mất state, bạn kick lại từ đầu. Hot-reload policy phá bỏ đánh đổi đó. Thêm nữa, bug L7 bypass qua request-target non-canonical là lớp lỗi quen thuộc của proxy/WAF — fix này đóng một họ bypass luôn từ runtime, không cần app-level chắp vá.
Technical facts
| Thay đổi | PR | Ảnh hưởng |
|---|---|---|
| Incremental policy updates | #860 | Hot-reload network_policies trên sandbox đang chạy |
| install-vm + --driver-dir | #887 | Một lệnh dựng gateway + libkrun driver |
| sandbox get runtime policy | #880 | Quan sát policy thực thi, không phải policy khai báo |
| Supervisor seccomp prelude | #891 | Thu hẹp kernel attack surface |
| HTTP canonicalization | #878 | Chặn bypass L7 qua request-target encode |
| SSH field validation | #876 | Defense-in-depth cho TUI |
Lưu ý: hot-reload chỉ áp dụng cho dynamic sections (network/inference). Các section tĩnh — filesystem_policy, landlock, process — vẫn khóa ở thời điểm tạo sandbox và cần recreate để thay đổi.
Comparison với các bản trước
- v0.0.32 (17/4): thêm system CA trust cho TLS upstream, ra standalone
openshell-gatewaybinaries. - v0.0.33 (20/4): hardened seccomp, giới hạn process, thêm standalone libkrun compute driver (PR #858).
- v0.0.34 (21/4): biến libkrun driver ở v0.0.33 thành install-able một lệnh, đồng thời nâng policy management từ "apply rồi restart" lên true hot-reload.
So với Docker/VM truyền thống: OpenShell không phải container runtime generic. Nó là policy-enforced runtime dành riêng cho agent — out-of-process policy engine + privacy router — như bài blog NVIDIA mô tả, mục tiêu là đạt đồng thời safety + capability + autonomy thay vì "pick two".
Use cases
- Self-evolving agents: thêm một API endpoint vào allowlist giữa session mà không mất working memory của agent.
- Policy iteration / red-team: tweak L7 rules live, verify tức thời qua
sandbox get. - Fleet bootstrap: gọn quy trình "clone repo → build driver → wire gateway" còn một lệnh
install-vm. - Security engineers: HTTP canonicalization fix cần ngay nếu bạn gate egress theo host/path — bản cũ có thể bị bypass qua encoded path.
Limitations & pricing
- Dự án vẫn ở trạng thái alpha — "single-player mode", một developer, một environment, một gateway. Chưa cho production multi-tenant.
- License Apache 2.0, open source trên GitHub — free. Bạn bring your own GPU (RTX, DGX Spark, DGX Station, hoặc cluster).
- Static policy sections vẫn yêu cầu recreate sandbox để thay đổi.
- GPU passthrough còn experimental.
- Scope hẹp: hướng tới agent runtimes (Claude Code, Codex, OpenCode, Cursor) — không phải generic container workloads.
What's next
Timeline: OpenShell ra mắt tại GTC 2026 (16/3), rồi release cadence rất nhanh — v0.0.32 ngày 17/4, v0.0.33 ngày 20/4, v0.0.34 ngày 21/4. Tín hiệu từ blog NVIDIA: chuyển từ single-player alpha sang multi-tenant trên enterprise GPU cluster, đồng thời mở rộng Privacy Router và OpenClaw catalog.
Nguồn: GitHub Releases, Sandbox Policies docs, NVIDIA Developer Blog, @NVIDIAAIDev.
