NVIDIA、自律型AIエージェント向け安全ランタイム「OpenShell」をオープンソース化
NVIDIAは自律型AIエージェントの安全なコード実行を可能にするランタイム環境「OpenShell」をApache 2.0ライセンスで公開し、エージェントのセキュリティリスクを解決する。
キーポイント
カーネルレベルのサンドボックス化
エージェントが生成するPythonやBashコマンドを隔離された一時的な環境で実行し、ホストファイルへの不正アクセスやシステム設定の変更を防止する。
細粒度なポリシーエンジン
バイナリ、ネットワークエンドポイント、APIメソッドごとにアクセスを制御し、すべての操作を監査ログに記録してデバッグとコンプライアンスを可能にする。
プライベート推論ルーティング
モデルへの通信をインターセプトして機密データの外部漏洩を防ぎ、組織の要件に応じてローカルとクラウドのLLMをシームレスに切り替える。
エージェント非依存のラッパー設計
既存のClaude CodeやLangChainベースのシステムを再構築せずに統合可能であり、開発パイプラインへの導入障壁を大幅に低減する。
エージェント非依存のランタイム設計
特定のSDKやフレームワークへの書き換えが不要で、多様なAIエージェントを統一されたセキュリティレイヤーとしてラップし管理できる。
ライブポリシー更新とCLI/TUI統合
サンドボックス再起動なしでリアルタイムにアクセス権限を調整可能であり、CLIとターミナルUIにより既存の開発・CI/CD環境にシームレスに組み込める。
リモートサンドボックス実行対応
分散チームや大規模な計算負荷に対応し、ローカル端末から高性能GPUクラスター上で動作するサンドボックスを直接管理・操作できる。
影響分析・編集コメントを表示
影響分析
自律型AIエージェントの実用化において「セキュリティと実行権限の管理」は最大のボトルネックの一つであった。OpenShellの公開により、開発者はエージェントの能力を制限せずに安全にデプロイできるようになる。これは企業内のAIガバナンス基準を満たしつつ、実装コストを抑制する標準的な解決策となる可能性が高い。
編集コメント
自律型エージェントの普及には「安全な実行環境」が必須条件となる。OpenShellは既存エコシステムとの互換性を重視した設計であり、実務レベルでの標準化が進めばセキュリティ対策のデファクトスタンダードになる可能性がある。
自律型 AI エージェント(ツールを使用しコードを実行できるシステム)の展開は、独自のセキュリティ課題を提示します。標準的な大規模言語モデル(LLM)アプリケーションがテキストベースの対話に制限されている一方で、自律型エージェントはタスクを実行するためにシェル環境、ファイルシステム、ネットワークエンドポイントへのアクセスを必要とします。この能力の向上は、モデルの「ブラックボックス」性質が意図しないコマンドの実行や不正なデータアクセスにつながる可能性があるため、重大なリスクをもたらします。
NVIDIA はこのギャップに対処するため、自律型エージェントの安全な実行を促進するために設計された専用ランタイム環境である OpenShell をオープンソース化しました。Apache 2.0 ライセンスの下でリリースされた OpenShell は、サンドボックス化、アクセス制御、推論管理のためのフレームワークを提供します。
imagehttps://developer.nvidia.com/blog/run-autonomous-self-evolving-agents-more-safely-with-nvidia-openshell/
エージェントの安全性アーキテクチャ
OpenShell は、AI エージェントとオペレーティングシステムの間に保護層として機能します。AI 開発者にとって、これはエージェントの「ツール使用」機能がモデル内部のアライメントに依存するのではなく、事前定義されたセキュリティ姿勢によって制限されることを意味します。
- サンドボックス化された実行
OpenShell はカーネルレベルの分離(isolation)を利用して、一時的な実行環境を構築します。エージェントをサンドボックス化することで、生成されたコードが Python スクリプトであっても Bash コマンドであっても、制限された空間内で実行されます。これにより、明示的に許可されていない限り、エージェントが機密性の高いホストファイルにアクセスしたり、システム設定を変更したりすることを防止できます。
- ポリシー強制型アクセス制御(Policy-Enforced Access Control)
OpenShell のガバナンスコアは、微細な粒度のポリシーエンジンです。従来のコンテナセキュリティが広範な権限に基づいて動作することが多いのに対し、OpenShell では以下のような制御が可能です:
バイナリごとの制御(Per-binary control): エージェントが呼び出せる実行ファイル(例:git, curl, python など)を制限します。
エンドポイントごとの制御(Per-endpoint control): ネットワークトラフィックを特定の IP アドレスやドメインに限定します。
メソッドごとの制御(Per-method control): 特定の API 呼び出しやシェル関数を管理します。
これらのポリシーは「説明可能」であり、すべてのアクションが監査ログに記録されます。これにより、デバッグやコンプライアンス対応のための明確な追跡履歴が提供され、開発者はなぜ特定のアクションがブロックされたのか、あるいは許可されたのかを正確に検証できます。
- プライベート推論ルーティング(Private Inference Routing)
OpenShell には、プライベート推論ルーティング専用のレイヤーが含まれています。このメカニズムはモデルのトラフィックをインターセプトして、プライバシーとコストの制約を強制します。これにより、機密データが外部のモデルプロバイダに漏洩しないことを保証し、エージェントのコアロジックを変更することなく、ローカル環境とクラウドベースの大規模言語モデル(LLM)の間で切り替えが可能になります。
エージェント非依存型統合(Agent Agnostic Integration)
OpenShell の重要な技術的利点は、エージェント非依存であることです。特定の SDK やフレームワークを使用してエージェントを書き換える必要はありません。チームが Claude Code、Codex、OpenClaw、またはカスタムの LangChain ベースシステムを利用している場合でも、OpenShell はランタイムラッパーとして機能します。これにより、多様なエージェントアーキテクチャ全体で一貫したセキュリティレイヤーを実現できます。
開発者ワークフローと CLI
OpenShell は、既存の CI/CD パイプラインやローカル開発環境への統合を目的として設計されています。エージェントの動作をリアルタイムで監視するためのコマンドラインインターフェース (CLI: Command Line Interface) とターミナル UI (TUI: Terminal User Interface) を提供します。
エンジニアは簡単なコマンドでサンドボックスを初期化できます:
Copy CodeCopiedUse a different Browser
特定のエージェント用のサンドボックスを作成する
openshell sandbox create --
サンドボックスターミナルに入って監視または対話を行う
openshell term
ランタイムはライブポリシー更新もサポートしています。タスク中にエージェントが追加の権限を必要とする場合、開発者はサンドボックスを再起動せずにポリシーファイルを変更でき、変更は即座に適用されます。
リモートサンドボックスサポート
分散チームや大規模な計算負荷の場合、OpenShell はリモート実行をサポートします。これにより、開発者はローカルターミナルから高性能 GPU クラスター上で動作しているサンドボックスを管理できます:
Copy CodeCopiedUse a different Browser
openshell sandbox create --remote user@host --
主要なハイライトの概要
機能 | 技術的利点
Apache 2.0 | エンタープライズおよび個人利用のためのオープンソースの柔軟性。
Landlock LSM
カーネルレベルの分離による堅牢なサンドボックス化。
L7 ポリシー強制実行
ネットワークおよびバイナリ実行に対する微細な制御。
監査ログ
エージェントの行動と意思決定に関する完全な透明性の確保。
プライベートルーティング
LLM 推論トラフィックにおけるコストおよびプライバシー制御。
OpenShell は、現実世界のツールアクセスを必要とする自律型エージェントシステムを構築するすべての人にとって基盤となるツールです。ランタイムを標準化することで、NVIDIA は業界が実験的なスクリプトから、安全で統制された自律型エージェントへと移行するのを支援しています。
コード、ドキュメント、技術詳細をご覧ください。また、Twitter でフォローすることもできますし、12 万人以上の ML サブレッドに参加したり、ニュースレターを購読したりするのもご自由です。待ってください!Telegram をご利用ですか?今なら Telegram でも私たちに参加いただけます。
本記事「NVIDIA AI が『OpenShell』をオープンソース化:自律型 AI エージェント向けの安全なランタイム環境」は、MarkTechPost に最初に掲載されました。
原文を表示
The deployment of autonomous AI agents—systems capable of using tools and executing code—presents a unique security challenge. While standard LLM applications are restricted to text-based interactions, autonomous agents require access to shell environments, file systems, and network endpoints to perform tasks. This increased capability introduces significant risks, as a model’s ‘black box’ nature can lead to unintended command execution or unauthorized data access.
NVIDIA has addressed this gap by open-sourcing OpenShell, a dedicated runtime environment designed to facilitate the safe execution of autonomous agents. Released under the Apache 2.0 license, OpenShell provides a framework for sandboxing, access control, and inference management.
imagehttps://developer.nvidia.com/blog/run-autonomous-self-evolving-agents-more-safely-with-nvidia-openshell/
The Architecture of Agent Safety
OpenShell functions as a protective layer between the AI agent and the operating system. For AI devs, this means the agent’s ‘tool-use’ capabilities are restricted by a predefined security posture rather than relying on the model’s internal alignment.
- Sandboxed Execution
OpenShell utilizes kernel-level isolation to create an ephemeral execution environment. By sandboxing the agent, any code generated—whether it is a Python script or a Bash command—is executed within a restricted space. This prevents an agent from accessing sensitive host files or modifying system configurations unless explicitly permitted.
- Policy-Enforced Access Control
OpenShell’s governance core is its granular policy engine. Unlike traditional container security, which often operates on broad permissions, OpenShell allows for:
Per-binary control: Restricting which executables (e.g., git, curl, python) the agent can invoke.
Per-endpoint control: Limiting network traffic to specific IP addresses or domains.
Per-method control: Governing specific API calls or shell functions.
These policies are ‘explainable,’ meaning every action is logged in an audit log. This provides a clear trail for debugging and compliance, allowing devs to verify exactly why a specific action was blocked or permitted.
- Private Inference Routing
OpenShell includes a dedicated layer for private inference routing. This mechanism intercepts model traffic to enforce privacy and cost constraints. It ensures that sensitive data is not leaked to external model providers and allows organizations to switch between local and cloud-based LLMs without modifying the agent’s core logic.
Agent Agnostic Integration
A key technical advantage of OpenShell is that it is agent agnostic. It does not require developers to rewrite agents using a specific SDK or framework. Whether a team is utilizing Claude Code, Codex, OpenClaw, or a custom LangChain-based system, OpenShell acts as a runtime wrapper. This allows for a consistent security layer across diverse agent architectures.
Developer Workflow and CLI
OpenShell is designed for integration into existing CI/CD pipelines and local development environments. It provides a Command Line Interface (CLI) and a Terminal UI (TUI) for real-time monitoring of agent behavior.
Engineers can initialize a sandbox using simple commands:
Copy CodeCopiedUse a different Browser
Create a sandbox for a specific agent
openshell sandbox create -- <agent_name>
Enter the sandbox terminal to monitor or interact
openshell term
The runtime also supports live policy updates. If an agent requires additional permissions during a task, devs can adjust the policy file without restarting the sandbox, and the changes are applied immediately.
Remote Sandbox Support
For distributed teams or heavy compute workloads, OpenShell supports remote execution. This allows a developer to manage a sandbox running on a high-performance GPU cluster from a local terminal:
Copy CodeCopiedUse a different Browser
openshell sandbox create --remote user@host -- <agent_name>
Summary of Key Highlights
FeatureTechnical Benefit
Apache 2.0Open-source flexibility for enterprise and personal use.
Landlock LSMKernel-level isolation for robust sandboxing.
L7 Policy EnforcementGranular control over network and binary execution.
Audit LoggingFull transparency for agent actions and decision-making.
Private RoutingCost and privacy controls for LLM inference traffic.
OpenShell is a foundational tool for anyone building autonomous agent systems that require real-world tool access. By standardizing the runtime, NVIDIA is helping the industry move past experimental scripts toward secure, governed autonomous agents.
Check out Codes, Docs and Technical details. Also, feel free to follow us on Twitter and don’t forget to join our 120k+ ML SubReddit and Subscribe to our Newsletter. Wait! are you on telegram? now you can join us on telegram as well.
The post NVIDIA AI Open-Sources ‘OpenShell’: A Secure Runtime Environment for Autonomous AI Agents appeared first on MarkTechPost.
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み