Show HN：AIエージェントとMCPサーバー向けデスクトップGUIサンドボックス

nilboxは、AIエージェントとMCPサーバーのためのデスクトップGUIサンドボックスです。従来のコンテナベースの分離とは異なり、nilboxは完全な仮想マシン内でワークロードを実行し、真の分離を実現します。中核となる「ゼロトークンアーキテクチャ」により、APIキーがゲストVM内に保持されることはなく、ホスト上のプロキシが信頼できるドメインへのリクエストに対してのみ動的にキーを差し替えます。これにより、プロンプトインジェクションや悪意のある依存関係による認証情報の漏洩を防ぎます。

nilboxはOpenAI、Anthropic、AWS Bedrock、Geminiなど複数のプロバイダーに対応しています。ユーザーはインターフェースで環境変数を設定するだけで、エージェントはVM内でプレースホルダーを参照し、実際のトークンはホストプロキシが透過的に交換します。また、ドメインレベルのネットワーク制御（一回許可、常時許可、拒否）や、トークン使用量の監視と制限機能を備えています。

MCPブリッジ、OAuthスクリプトエンジン、マルチVM管理、ターミナル、ポートマッピング、ファイル共有などの機能を統合。アプリストアからアプリやMCPサーバーをワンクリックでインストールでき、Linuxに不慣れなユーザーでも容易に利用できます。

nilboxはRust、TypeScript、Swiftで記述され、Tauriフレームワークを採用。デスクトップクライアントはmacOS（Apple Virtualization）およびLinux/Windows（QEMU）に対応しています。GPL-3.0ライセンスで公開されており、コミュニティからのコントリビューションを歓迎しています。

実際の使用例として、自律型AIコーディングエージェントOpenClawの実行を考えます。OpenClawはOpenAI、Anthropic、GitHubのAPIキーと、コード作成・実行のためのシェルアクセスを必要とします。nilboxを使用しない従来のDockerやホスト設定では、これらのキーがコンテナ内に完全に露出し、1回のプロンプトインジェクションや悪意のある依存関係でキーが盗まれ、API予算を枯渇させる可能性があります。nilboxを使用すると、VM内にはダミーのプレースホルダーのみが存在し、実際のキーはホストプロキシが動的に交換します。悪意のあるリクエストはドメインゲーティングプロキシによってブロックされるか、ダミー値のみが渡されます。これにより、侵害が発生してもキーのローテーションは不要で、キーはエージェントに一度も露出しません。

nilboxは豊富なセキュリティと分離機能を提供します：暗号化キーストア（SQLCipher + OSキーリング）、ドメインゲーティング（ランタイムでドメインごとに「一回許可」「常時許可」「拒否」）、DNSブロックリスト（ブルームフィルター）、認証委任（Bearer、AWS SigV4、RhaiスクリプトOAuth）。AIエージェントサポートには、MCPブリッジ、トークン使用量監視（80%で警告、95%でブロック可能）、OAuthスクリプトエンジンが含まれます。VM管理では、マルチVMの作成・開始・停止・監視、統合ターミナル（xterm.js）、ポートマッピングの永続化、SSHゲートウェイ、FUSE-over-VSOCKファイル共有、ディスク自動拡張などをサポート。エコシステムにはアプリストアがあり、Linuxに不慣れなユーザーでもアプリやMCPサーバーをワンクリックでインストールできます。

nilboxのアーキテクチャにより、AIエージェントはコード変更なしでVM内で実行できます。エージェントはベアメタルと同様に環境変数を読み取りAPI呼び出しを行い、トークン交換はホストプロキシ層で透過的に行われます。ユーザーはエージェントや依存関係、スクリプトを修正する必要はありません。AIエージェントを安全に実行したい開発者や企業にとって、nilboxは完全なVM分離とゼロトークンアーキテクチャにより、鍵漏洩やコスト暴走を防ぐ効果的なソリューションを提供します。総じて、nilboxはAIエージェントのセキュリティにおいて重要な一歩を踏み出しています。