N
NVIDIA/OpenShell
OpenShell is the safe, private runtime for autonomous AI agents.
RustApache-2.0创建于 2026/2/24更新于 今天
README
由 Gemini 翻译整理
NVIDIA OpenShell
OpenShell 是专为自主 AI Agent 设计的安全、私密运行时环境。它提供了沙箱化的执行环境,用于保护你的数据、凭据和基础设施,并通过声明式 YAML 策略进行治理,防止未经授权的文件访问、数据泄露及不受控制的网络活动。
OpenShell 秉持“Agent 优先”的理念。该项目附带了用于从网关故障排除到策略生成等各种场景的 Agent 技能,我们期待贡献者们能充分利用这些功能。
Alpha 软件阶段 — 单机模式。 OpenShell 目前处于验证阶段:支持单一开发者、单一环境、单一网关。我们正朝着多租户企业级部署方向构建,但目前的起点是让你可以运行自己的环境。请预见可能存在的不完善之处,并携带你的 Agent 加入。
快速上手
前置要求
- 受支持的主机 — macOS、Windows (WSL 2) 或 Linux。
- 本地运行时 — Docker、Podman,或启用了主机虚拟化以支持 MicroVM 沙箱。
安装
二进制文件(推荐):
curl -LsSf https://raw.githubusercontent.com/NVIDIA/OpenShell/main/install.sh | sh
通过 PyPI 安装(需要 uv):
uv tool install -U openshell
以上两种方式默认都会安装最新的稳定版本。若需安装特定版本,请设置 OPENSHELL_VERSION(二进制安装)或使用 uv tool install openshell== 锁定版本。此外,还提供了一个跟踪 main 分支最新提交的 dev 版本。
Helm Chart:
实验性功能 — Kubernetes 部署路径正在积极开发中,请预见可能出现的不完善之处和破坏性变更。
从发布在 GHCR 的 OCI chart 将 OpenShell 网关部署到 Kubernetes 集群:
helm install openshell oci://ghcr.io/nvidia/openshell/helm-chart
请参阅 deploy/helm/openshell/README.md 以获取可用版本、dev 标签约定及配置信息。
有关在 OpenShift 上部署 OpenShell 的信息,请参阅 deploy/helm/openshell/README.md#install-on-openshift。
创建沙箱
openshell sandbox create -- claude # 或 opencode, codex, copilot
沙箱容器默认包含以下工具:
| 分类 | 工具 |
|---|---|
| Agent | claude, opencode, codex, copilot |
| 语言 | python (3.14), node (22) |
| 开发 | gh, git, vim, nano |
| 网络 | ping, dig, nslookup, nc, traceroute, netstat |
更多详情请访问:https://github.com/NVIDIA/OpenShell-Community/tree/main/sandboxes/base
查看网络策略的应用效果
每个沙箱启动时默认仅拥有最小化出站访问权限。你可以通过简短的 YAML 策略开放额外的访问权限,策略由代理在 HTTP 方法和路径级别执行,无需重启任何服务。
# 1. 创建沙箱(启动时具有最小化出站权限)
openshell sandbox create
# 2. 在沙箱内 — 被拦截
sandbox$ curl -sS https://api.github.com/zen
curl: (56) Received HTTP code 403 from proxy after CONNECT
# 3. 回到宿主机 — 应用只读 GitHub API 策略
sandbox$ exit
openshell policy set demo --policy examples/sandbox-policy-quickstart/policy.yaml --wait
# 4. 重新连接 — GET 被允许,POST 被 L7 层拦截
openshell sandbox connect demo
sandbox$ curl -sS https://api.github.com/zen
Anything added dilutes everything else.
sandbox$ curl -sS -X POST https://api.github.com/repos/octocat/hello-world/issues -d '{"title":"oops"}'
{"error":"policy_denied","detail":"POST /repos/octocat/hello-world/issues not permitted by policy"}
查看完整指南或运行自动化演示:
bash examples/sandbox-policy-quickstart/demo.sh
工作原理
OpenShell 将每个沙箱隔离在各自的容器中,并配合策略强制执行出口路由。一个轻量级的网关负责协调沙箱生命周期,所有出站连接均由策略引擎拦截,并执行以下三种操作之一:
- 允许 (Allows) — 目的地和二进制文件符合策略块定义。
- 路由至推理 (Routes for inference) — 剥离调用者凭据,注入后端凭据。