Điểm nổi bật
- 1.587 sao GitHub và 58 sao trong ngày trên bảng Rust trending, cho thấy nhu cầu sandbox cho agent đang tăng cùng tốc độ với coding agent.
- Triết lý sản phẩm rất mạnh: không tin vào guardrail có thể bị “thuyết phục”, mà hạ quyền ở mức kernel/OS.
- Hỗ trợ profile cho nhiều agent như Claude Code, Codex, OpenCode, OpenClaw và các custom agent khác.
- Có proxy credential, rollback snapshot, audit log và host allowlist, tức bao phủ cả secret, filesystem lẫn network.
- Hàm ý chiến lược: bảo mật agent đang tiến hóa từ guideline sang execution boundary có thể kiểm chứng.
Biểu đồ
Tóm tắt
nono là một repo rất đúng nhịp thời điểm. Khi coding agent ngày càng được trao quyền chạy lệnh, đọc ghi file và truy cập mạng, câu hỏi an toàn không thể chỉ dừng ở việc thêm vài prompt cấm hay chờ người dùng bấm approve. nono đi thẳng vào lớp thực thi: dùng sandbox dựa trên cơ chế của OS để giới hạn điều agent có thể làm.
Điểm khiến dự án đáng theo dõi là cách tiếp cận “structurally impossible”. Thay vì kỳ vọng model cư xử đúng, nono cố làm cho các hành vi nguy hiểm khó hoặc không thể xảy ra từ đầu. Đây là kiểu tư duy mà doanh nghiệp bảo mật cao thường muốn thấy trước khi agent được đưa vào workflow thật.
Chi tiết
Trang repo của nono mở rất trực diện: AI agents có thể đọc filesystem, chạy shell và dễ bị prompt injection; guardrail và policy thì có thể bị lách hoặc bị thuyết phục. Vì vậy, thay vì tranh luận liệu prompt có đủ mạnh không, nono hạ bài toán xuống tầng OS. Dự án dùng Seatbelt trên macOS, Landlock trên Linux và WSL2 support để áp capability theo path, khóa network, kiểm soát credentials và ghi audit. Đây là một framing rất trưởng thành vì nó đặt đường biên an toàn ở nơi model không dễ vượt qua.
Một điểm mạnh nữa là nono không đóng khung mình cho một vendor. Repo có sẵn profile cho Claude Code, Codex, OpenCode, OpenClaw và các agent tùy chỉnh. Điều này quan trọng vì rủi ro an toàn không gắn với một hãng riêng; nó đến từ bản chất “agent có quyền thực thi”. Một lớp sandbox trung lập theo capability sẽ dễ được chấp nhận hơn trong tổ chức đa công cụ. Khi doanh nghiệp đổi harness, phần execution boundary vẫn giữ nguyên.
Dự án cũng đáng chú ý ở chỗ không chỉ khóa filesystem. nono đi khá đầy đủ vòng tròn bảo vệ: network allowlist qua local proxy, proxy credential để agent không thấy API key thật, env credential mapping từ OS keystore/1Password, rollback snapshot để phục hồi thay đổi, audit log có cấu trúc, thậm chí hỗ trợ ký và xác minh instruction files như AGENTS.md hay SKILLS.md. Điều này phản ánh một nhận thức mới: trong kỷ nguyên agent, instruction supply chain cũng là bề mặt tấn công giống dependency code.
Tất nhiên repo vẫn tự nhận đây là alpha và chưa nên dùng production. Nhưng ngay cả điều đó cũng là tín hiệu tích cực. Các dự án bảo mật tốt thường mô tả rõ trạng thái trưởng thành thay vì hứa quá tay. Với người ra quyết định kỹ thuật, điều quan trọng không phải là nono có thể triển khai rộng ngay hôm nay, mà là nó cho thấy hướng đi hợp lý của execution security cho agent: capability-based, auditable, reversible khi cần và không lệ thuộc vào “đạo đức” của prompt.
Về chiến lược, nono đại diện cho lớp control plane an toàn mà agent economy bắt buộc phải có nếu muốn bước vào môi trường doanh nghiệp thực. Model càng mạnh, nhu cầu sandbox càng tăng. Thị trường có thể sẽ còn nhiều đối thủ xuất hiện, nhưng repo này đang đứng đúng ở giao điểm giữa hype agent và yêu cầu zero-trust.