NVIDIA anunció en GTC 2026 OpenShell, un runtime open source (Apache 2.0) que resuelve un problema que llevaba meses sin respuesta: cómo ejecutar agentes de IA de larga duración y auto-evolutivos («claws») sin terminar en uno de estos escenarios imposibles:
- Seguro + autónomo, sin acceso a tools/datos → el agente no puede terminar el trabajo
- Capaz + seguro, con aprobaciones constantes → estás babysitting todo el tiempo
- Capaz + autónomo, con acceso total → auto-policing: los guardrails viven en el mismo proceso que protegen
OpenShell permite las tres cosas simultáneamente mediante out-of-process policy enforcement: se sitúa entre el agente y la infraestructura, y sus restricciones no pueden ser sobreescritas por el agente aunque esté comprometido.
Los tres componentes
Sandbox: aislamientos de sesiones, permisos verificados antes de cada acción. El agente puede romper cosas dentro del sandbox sin tocar el host. Diseñado específicamente para agentes auto-evolutivos que desarrollan skills en runtime.
Policy Engine: deny-by-default. Restricciones a nivel de binary, destination, method y path. Instalar un skill verificado, sí. Ejecutar un binary no revisado, no. Cada allow/deny queda logged. Si el agente choca con una restricción, puede razonar sobre el bloqueo y proponer una actualización de policy — el humano tiene la aprobación final.
Privacy Router: contexto sensible se queda on-device con modelos locales (open models). Frontier models (Claude, GPT) solo se invocan cuando la policy lo permite, basándose en política de coste y privacidad del usuario, no del agente.
Compatibilidad
Un comando: openshell sandbox create --remote spark --from openclaw. Sin cambios de código. Compatible con OpenClaw, Claude Code, Codex, Cursor y OpenCode. Escala desde una RTX PC individual hasta enterprise GPU clusters con las mismas primitives.
Por qué importa ahora
Cada prompt injection es un potencial credential leak. Cada skill que instala un claw es un binary no revisado con filesystem access. Cada subagent puede heredar permisos que nunca debería haber tenido. El article lo dice sin rodeos: los agent runtimes actuales son como la early web — potentes pero missing core security primitives. OpenShell es la infraestructura que faltaba para tomarse los agentes de producción en serio.