Un desarrollador ha presentado Nucleus, un nuevo tiempo de ejecución de contenedores Linux escrito en Rust que abandona la arquitectura tradicional de Docker para enfocarse en dos casos de uso específicos: sandbox de agentes de inteligencia artificial efímeros y servicios declarativos de NixOS. Se trata de un binario único que no requiere demonio, una aproximación radicalmente diferente a la forma en que hemos concebido la virtualización ligera en los últimos quince años.
La propuesta de Nucleus representa un cambio filosófico fundamental. Mientras que Docker se construyó sobre la premisa de portabilidad mediante imágenes distribuibles, Nucleus ha eliminado deliberadamente toda esa infraestructura: no hay Dockerfile, sin capas de imagen, sin registros, sin mecanismos de descarga y carga, y sin capas de almacenamiento persistente. En su lugar, el sistema de archivos raíz se define de dos formas: como un directorio copiado en tmpfs para modo agente, o como un closure construido con Nix montado en solo lectura para producción.
La seguridad es el verdadero diferenciador de Nucleus. El proyecto implementa una estrategia de defensa en profundidad como comportamiento por defecto. Todas las capacidades del kernel están deshabilitadas de base, utiliza una lista blanca de aproximadamente 100 llamadas al sistema (frente a las 300 de Docker), implementa hasta 8 espacios de nombres incluyendo tiempo y cgroups, e integra Landlock, un subsistema de control de acceso obligatorio del Linux moderno, para politicas granulares de ruta por servicio.
Una característica particularmente notable es el enfoque de "denegación por defecto" para el tráfico de salida. Cualquier comunicación de red saliente está prohibida a menos que se autorice explícitamente hacia CIDR específicas o dominios DNS resueltos. Esta política se implementa mediante reglas de iptables locales del espacio de nombres, garantizando que incluso un contenedor comprometido no puede comunicarse hacia el exterior sin permiso explícito.
Nucleus también introduce una capa de politicas de seguridad externalizadas y verificadas criptográficamente mediante SHA-256. Las configuraciones de seccomp en JSON, capacidades en TOML y politicas de Landlock en TOML residen en archivos separados del sistema de archivos raíz. El proyecto incluye un comando `nucleus seccomp generate` que puede registrar llamadas al sistema en modo traza y emitir un perfil minimal, simplificando el proceso de auditoría de seguridad.
La integración de gVisor, el tiempo de ejecución de máquina virtual de Google, ocupa un lugar privilegiado en la arquitectura de Nucleus, no como un complemento sino como una opción de primera clase. Esto permite ejecutar cargas de trabajo con diferentes niveles de aislamiento según los requisitos, incluyendo un modo gvisor-host que está explícitamente separado del acceso nativo a la red del host.
Para entornos de producción, Nucleus ofrece una ruta integrada con Nix. La biblioteca `nucleus.lib.mkRootfs` construye closures bloqueados, la atestación de rootfs verifica un manifiesto SHA-256 por archivo al iniciar, y existe un módulo de NixOS de primera clase. El proyecto ha invertido esfuerzos significativos en verificación formal, especificando el comportamiento de los subsistemas de aislamiento, recursos, sistema de archivos, seguridad e integración de gVisor en TLA+, verificados con la herramienta Apalache, complementados con pruebas basadas en propiedades que validan la implementación en Rust contra las especificaciones.
Los rendimientos son competitivos: el arranque en frío alcanza aproximadamente 12 milisegundos en el tiempo de ejecución nativo, y los números de pgbench de PostgreSQL 18 bajo Nucleus se encuentran dentro del margen de error respecto al hardware desnudo.
Pero Nucleus es explícitamente honesto sobre sus limitaciones. Solo soporta Linux x86_64, sin planes para macOS, Windows o BSD. No implementa CNI, no proporciona redes superpuestas, y no está diseñado para orquestación de clusters. Su herramienta `nucleus compose` es un DAG TOML de un único host integrado con systemd, no comparable con Docker Swarm o Kubernetes. El almacenamiento es efímero por defecto, con persistencia disponible únicamente mediante enlaces de volumen explícitos.
Esta propuesta emerge en un momento donde la seguridad de los agentes de inteligencia artificial autónomos se ha convertido en una preocupación crítica. A medida que los modelos de lenguaje grandes ganan la capacidad de ejecutar código y tomar acciones en sistemas reales, la necesidad de sandboxes robustos y auditables es cada vez más urgente. Nucleus se posiciona precisamente en esta intersección: proporciona garantías de aislamiento verificables formalmente para workloads efímeros y de alto riesgo.