Red Hat 红帽推出 Tank OS 开源项目，将 OpenClaw 运行环境封装为专用容器以提升安全

5 月 4 日消息，Red Hat 红帽首席软件工程师 Sally O'Malley 在红帽博客发文，公布了名为 Tank OS 的开源项目。该项目主要利用容器化与无 root 权限（rootless）架构设计，以提升 OpenClaw 安全性，附项目地址（https://www.redhat.com/en/blog/building-hardened-image-based-foundation-ai-agents）。

O'Malley 指出，如果 OpenClaw 配置不当，可能带来误删数据或敏感信息泄露等风险。因此其设计了 Tank OS 项目，其核心思路是将 OpenClaw 运行环境封装进容器中，以打造专门面向 AI 智能体的运行环境，避免宿主系统权限被滥用。

在底层架构方面，Tank OS 构建于 Fedora Linux 及 fedora-bootc 技术之上，主要利用镜像作为完整运行环境，同时支持在同一设备上运行多个 AI 智能体实例，各实例之间相互隔离，彼此不共享凭据及系统资源。

此外，Tank OS 采用不可变（immutable）操作系统设计，系统将内核、运行环境及服务预先定义在镜像中，大部分文件系统保持只读，仅允许有限范围内修改，从而进一步确保安全性。