Le probleme avec les garde-fous qui vivent a l’interieur de l’agent : un agent compromis peut les contourner. Claude Code et Cursor embarquent des prompts de securite internes, mais ces protections sont dans le meme processus qu’elles sont censees surveiller. Une injection de prompt ou un skill tiers malveillant a acces au meme environnement d’execution.
NVIDIA OpenShell deplace le point d’application en dehors. Il encapsule n’importe quel agent dans un conteneur isole avec des politiques YAML que l’agent ne peut ni lire ni modifier. L’acces reseau est refuse par defaut et rechargeable a chaud ; les contraintes sur le systeme de fichiers et les processus sont verouillees a la creation. L’agent ne peut pas escalader ses privileges parce que le noyau ne le permet pas - pas parce qu’on lui a dit de ne pas le faire.
La mise en place tient en une commande :
openshell sandbox create -- claude # or opencode, codex, copilot
Les politiques sont appliquees au niveau de la methode HTTP et du chemin. Un agent peut faire un GET sur GitHub, mais un POST pour creer des issues est bloque par le proxy - pas par un prompt.
Le routeur de confidentialite est aussi interessant : il garde le contexte sensible sur des modeles locaux et ne route vers les APIs frontier que lorsque la politique l’autorise explicitement.