# Red Hat 红帽推出 Tank OS 开源项目，将 OpenClaw 运行环境封装为专用容器以提升安全

- 来源：IT之家（RSS）
- 发布时间：2026-05-04 21:11
- AIHOT 分数：52
- AIHOT 链接：https://aihot.virxact.com/items/cmor813io01faslru5nu3yed3
- 原文链接：https://www.ithome.com/0/946/311.htm

## AI 摘要

红帽公司近日公布了名为 Tank OS 的开源项目，旨在通过容器化技术提升 OpenClaw 运行环境的安全性。该项目将 OpenClaw 封装在专用容器中，采用无 root 权限架构，以防止宿主系统权限被滥用。Tank OS 基于 Fedora Linux 和 fedora-bootc 技术构建，支持在同一设备上运行多个相互隔离的 AI 智能体实例，各实例间不共享凭据和系统资源。此外，系统采用不可变操作系统设计，内核、运行环境及服务均预定义在镜像中，文件系统大部分为只读，从而进一步增强安全防护。

## 正文

IT之家 5 月 4 日消息，Red Hat 红帽首席软件工程师 Sally O'Malley 在红帽博客发文，公布了名为 Tank OS 的开源项目。该项目主要利用容器化与无 root 权限（rootless）架构设计，以提升 OpenClaw 安全性，IT之家附项目地址（https://www.redhat.com/en/blog/building-hardened-image-based-foundation-ai-agents）。

O'Malley 指出，如果 OpenClaw 配置不当，可能带来误删数据或敏感信息泄露等风险。因此其设计了 Tank OS 项目，其核心思路是将 OpenClaw 运行环境封装进容器中，以打造专门面向 AI 智能体的运行环境，避免宿主系统权限被滥用。

在底层架构方面，Tank OS 构建于 Fedora Linux 及 fedora-bootc 技术之上，主要利用镜像作为完整运行环境，同时支持在同一设备上运行多个 AI 智能体实例，各实例之间相互隔离，彼此不共享凭据及系统资源。

此外，Tank OS 采用不可变（immutable）操作系统设计，系统将内核、运行环境及服务预先定义在镜像中，大部分文件系统保持只读，仅允许有限范围内修改，从而进一步确保安全性。
