Nvidia abriu o código do OpenShell, um ambiente seguro para agentes autônomos de AI

Nvidia открыла исходный код OpenShell — среды выполнения для автономных ИИ-агентов, которым нужен доступ к shell, файлам и сети. Проект должен закрыть главный страх вокруг агентных систем: как дать модели инструменты, не отдавая ей полный контроль над машиной и корпоративными данными.

Почему это важно Обычный чат-бот отвечает текстом и почти не имеет поверхности атаки.

Автономный агент — совсем другой класс системы: он хранит контекст между сессиями, запускает команды, пишет код, устанавливает пакеты, ходит во внутренние API и может работать часами без участия человека. В такой модели любая prompt injection превращается не просто в плохой ответ, а в риск утечки ключей, чтения приватных файлов или выполнения нежелательных действий в инфраструктуре. Именно этот разрыв Nvidia и пытается закрыть OpenShell. Компания выложила проект под лицензией Apache 2.0, показала его в контексте GTC 2026 и встроила в свой стек для агентных систем. Идея простая: безопасность должна обеспечиваться не только промптами и внутренними ограничениями модели, а отдельным слоем исполнения, который стоит между агентом и операционной системой и не зависит от того, насколько аккуратно ведёт себя сам агент.

Как устроен OpenShell OpenShell работает как внешний контур управления.

Агент внутри него может пользоваться привычными инструментами, но все реальные действия проходят через отдельные механизмы контроля. Nvidia описывает это как перенос политики безопасности за пределы самой модели: даже если агент скомпрометирован или ошибся, он не должен суметь обойти инфраструктурные ограничения. Такой подход делает OpenShell агент-агностичным: внутрь можно завернуть OpenClaw, Claude Code, Codex и другие системы без переписывания логики под новый SDK.

• Изолированная песочница ограничивает доступ к файловой системе и не даёт агенту свободно менять хост-машину.
• Движок политик задаёт точечные правила для бинарников, сетевых адресов, HTTP-методов и путей доступа.
• Privacy router решает, куда отправлять инференс: в локальную модель или во внешний API, если это разрешено политикой.
• Audit log фиксирует, почему действие было разрешено, заблокировано или перенаправлено. В основе лежат декларативные YAML-политики. Статические ограничения на файловую систему и процессы задаются при создании sandbox, а сетевые и inference-политики можно обновлять на лету без перезапуска. В документации Nvidia отдельно подчёркивает, что OpenShell использует kernel-level isolation, включая Landlock для путей файловой системы и seccomp для блокировки опасных системных вызовов. Заодно это даёт объяснимый след: команда видит не только факт блокировки, но и конкретную причину решения.

Что получает разработчик

Практический плюс в том, что OpenShell не требует переписывать уже существующих агентов. Разработчик может поднять sandbox командой CLI, подключиться к ней через терминал, затем точечно открыть нужные доступы политикой. Есть и удалённый режим: sandbox можно запускать не только локально, но и на удалённой машине или GPU-кластере, а управлять ей из обычного терминала.

Это делает проект пригодным и для локальной разработки, и для CI/CD, и для более тяжёлых production-сценариев. Ещё один важный момент — работа с секретами. OpenShell не складывает ключи в файловую систему sandbox, а подставляет их как переменные окружения во время запуска.

Параллельно privacy router позволяет удерживать чувствительный контекст на локальном контуре и отправлять запросы во внешние модели только по правилам компании. По сути, это попытка превратить безопасность агентных систем из набора ad hoc ограничений в воспроизводимую инфраструктурную практику.

«Сессии изолированы, ресурсы контролируются, а разрешения проверяются до любого действия», — так

Nvidia описывает базовую логику OpenShell.

Что это значит

Для рынка это важный сигнал: следующая конкуренция в ИИ-агентах пойдёт не только по качеству моделей, но и по качеству среды исполнения. Если OpenShell приживётся, компании смогут запускать более самостоятельных агентов без привычного компромисса между полезностью и риском. Для бизнеса это открывает дорогу к более длинным и дорогим сценариям автоматизации в корпоративных контурах, которые раньше тормозились вопросами безопасности и контроля.