Show HN：面向AI智能体和MCP服务器的桌面GUI沙盒

nilbox是一款专为AI智能体和MCP服务器设计的桌面GUI沙盒工具。与传统的容器方案不同，nilbox在完整的虚拟机中运行工作负载，提供真正的隔离性。其核心创新在于“零令牌架构”：API密钥永远不会进入虚拟机内部，而是由主机上的代理在请求发往受信任域时动态替换。这一设计有效防止了提示注入或恶意依赖窃取凭证。

nilbox支持多种AI提供商，包括OpenAI、Anthropic、AWS Bedrock和Gemini。用户只需在界面中配置环境变量，智能体在虚拟机内看到的是占位符，实际令牌由主机代理透明交换。此外，nilbox提供域级网络控制，可设置“允许一次”、“始终允许”或“拒绝”，并内置了令牌使用监控和额度限制。

项目集成了MCP桥接、OAuth脚本引擎、多虚拟机管理、终端、端口映射和文件共享等功能。其应用商店支持一键安装应用和MCP服务器，降低了使用门槛。

nilbox使用Rust、TypeScript和Swift构建，基于Tauri框架，桌面客户端支持macOS（Apple Virtualization）和Linux/Windows（QEMU）。项目采用GPL-3.0许可证，欢迎社区贡献。

在实际使用场景中，例如运行自主AI编码代理OpenClaw，它需要OpenAI、Anthropic和GitHub的API密钥以及shell访问权限来编写和执行代码。在没有nilbox的传统Docker或主机设置中，这些密钥完全暴露在容器内，一次提示注入或恶意依赖即可窃取密钥并耗尽API预算。而在nilbox中，虚拟机内只存在占位符，真实密钥由主机代理动态交换，恶意请求会被域门控代理拦截或仅返回虚拟值。这意味着即使系统遭到入侵，也无需轮换密钥，密钥从未暴露给智能体。

nilbox还提供了丰富的安全与隔离功能：加密密钥存储使用SQLCipher和操作系统钥匙串；域门控支持运行时对每个域设置“允许一次”、“始终允许”或“拒绝”；DNS阻止列表使用布隆过滤器；认证委派支持Bearer、AWS SigV4以及Rhai脚本化的OAuth。对于AI代理支持，包括MCP桥接、令牌使用监控（可配置80%告警、95%阻止）和OAuth脚本引擎。虚拟机管理方面，支持多VM创建、启动、停止和监控，集成终端（xterm.js），端口映射持久化，SSH网关，FUSE-over-VSOCK文件映射，以及磁盘自动扩容。生态系统中还包含应用商店，允许非Linux用户一键安装应用和MCP服务器。

nilbox的架构使AI代理无需任何代码修改即可在虚拟机中运行。代理像在裸机上一样读取环境变量并进行API调用，令牌交换在主机代理层透明完成。用户无需修补代理、依赖项或脚本。对于希望安全运行AI代理的开发者和企业来说，nilbox提供了一种有效防止密钥泄露和成本失控的解决方案。总之，nilbox通过在完整的虚拟机中隔离工作负载并采用零令牌架构，在AI代理安全领域迈出了重要一步。