Red Hatは2026年4月28日、同社ブログにて、サリー・オマリーによる記事「Building a hardened, image-based foundation for AI agents」を公開した。Red Hat Emerging Technologiesチームのオマリーが、AIエージェント実行用コミュニティOSイメージ「agentic OS」のプロトタイプを開発した内容である。
本プロトタイプは、Containerfileでブータブルなlinux OSを定義できるFedoraのコミュニティプロジェクトfedora-bootcを基盤とし、ベースOSにquay.io/fedora/fedora-bootc:latestを採用する。エージェントランタイムにはOpenClawを用い、Podman、Quadlet、service-gatorで構成、シークレットはPodman secretsで起動後に注入する。更新はsudo bootc upgradeで行う。Red HatはNVIDIAとの協業計画も今年公表済みで、試用イメージはquay.io/redhat-et/tank-os:latestで提供される。
From: 
Building a hardened, image-based foundation for AI agents
【編集部解説】
Red HatのEmerging Technologiesチームに所属するサリー・オマリー氏が個人プロジェクトとして公開した今回のプロトタイプは、一見すると「fedora-bootcでOpenClawを動かしただけ」の小さな実験に見えます。しかし背景を読み解くと、AIエージェントを取り巻く本番運用の課題に対する、極めて示唆に富んだ「青写真」であることが分かります。
そもそもfedora-bootcとは、OS全体を1つのコンテナイメージとして扱い、Dockerfileに似た記述で「ブート可能なLinux」を定義できる技術です。アップデートはレジストリへの新イメージのプッシュとマシン側のbootc upgradeで完結し、gitのチェックアウトのようにロールバック可能。ファイルシステムは原則読み取り専用となるため、運用中の構成のずれ、いわゆる「システムドリフト」が構造的に発生しません。
この特性が、AIエージェントの運用と極めて相性が良いというのが今回の核心です。エージェントは長時間稼働しながらシェル実行、ファイル操作、API呼び出し、ブラウザ操作を行うため、攻撃を受けた際の被害を最小化する設計が不可欠です。読み取り専用OS、非rootユーザー、rootless Podman、Quadletという多層の「分離」を、ビルド時に宣言的に固められる点が、従来の手作業セットアップに対する優位性となります。
ペアとなるOpenClawは、PSPDFKit創業者ピーター・シュタインベルガー氏が開発した、MITライセンスのオープンソースエージェントランタイムです。前身プロジェクトの名称がAnthropic社のClaudeに由来していたことから商標上の経緯を経て、2026年1月末に現在の「OpenClaw」へと改称されました。公開からわずか数日で数万GitHubスター、報道によっては最初の1週間で10万スターを獲得するなど、GitHub史上最速級の成長を遂げた存在として知られています。
オマリー氏が「個人ユースには理想的」と紹介するservice-gatorと、対比される「本番・クラスタ向け」のMCP Gatewayの関係も重要です。Red Hatは別ブログでMCP Gatewayについて、複数のMCPサーバーを単一エンドポイントに集約し、OAuth2トークン交換やJWTによるツール単位のアクセス制御を行うEnvoyベースの仕組みとして紹介しており、今回の個人OSは将来のエンタープライズ展開と地続きの設計思想で作られていることがうかがえます。
さらに記事末尾に登場するNVIDIAとの協業は、NVIDIA社が公開している「NemoClaw」リファレンススタックを指していると考えられます。これはNVIDIA OpenShellでOpenClawをサンドボックス化し、Nemotronなどのオープンモデルを使ってDGX Spark上で完全ローカル動作させる構成で、ネットワーク送信フィルタリングやファイルシステム制限といったガードレールを提供します。Red Hat側がOSライフサイクルを、NVIDIA側がエージェント実行サンドボックスを担うという「2層モデル」が、業界として固まりつつある段階だと読み取れます。
可能性の側面としては、エッジAIのフリート運用が現実味を帯びてきます。倉庫、工場、店舗、車両など分散環境に同一イメージのエージェントOSを配り、bootc upgrade一発で全台同期更新する、といったオペレーションが、Kubernetesクラスタを必要としない軽量な形で成立しうるためです。
一方、リスクにも目を向ける必要があります。OpenClaw自体はWikipediaにも記載があるように、広範な権限を要求する設計ゆえにプロンプトインジェクションや第三者スキルによるデータ流出のリスクが指摘されており、Cisco社のAIセキュリティ研究チームが実際に悪意あるスキルを検出した事例も報告されています。中国政府は2026年3月、国家機関や国有企業、銀行に対してOpenClawの利用を制限する措置を取りました。エージェントを「囲う器」がいかに堅牢でも、中身であるエージェント自体の振る舞いに対する規律は別軸で必要だということです。
規制面では、自律エージェントが本人の意図を超えて行動した際の「責任の所在」が今後の論点となります。EU AI Actや各国のAI関連規制は現状、モデルやアプリケーションを対象としていますが、エージェントの運用基盤(ホストOS、ID、権限スコープ)にも審査の目が向くのは時間の問題でしょう。fedora-bootcのように「ビルド時に何が許可されているか」を宣言的に証明できる仕組みは、監査適合性という意味でも追い風になります。
長期的な視点で言えば、今回の試みは「クラウドネイティブで成熟した運用パターン(イミュータブル、宣言的、トランザクショナル)を、AIエージェントというまったく新しいワークロードへ持ち込む」という大きな潮流の一例です。記事末尾の免責にある通り、これはあくまで研究段階のプロトタイプですが、Red Hatが本年2月に発表したRed Hat AI Enterpriseの「metal-to-agent」戦略の最下層、つまりOSそのものをエージェント仕様に再設計する試みとして、innovaTopia読者の皆様が注目しておくべき動きだと編集部は捉えています。
【用語解説】
agentic OS
AIエージェントを第一級のワークロードとして想定し、エージェントランタイムの隔離・更新・権限管理を設計段階から組み込んだLinuxシステムを指す概念。汎用OSの上にエージェントを「後付け」するのではなく、OS自体を用途特化させる発想である。今回のRed Hatのプロトタイプは、その実装例の一つだ。
Containerfile
Dockerfileと互換のある、コンテナイメージの構築手順を記述したテキストファイルである。fedora-bootcでは、このファイルにベースOS、追加パッケージ、ユーザー、サービス定義を記述するだけで、ブート可能なLinux OSそのものをビルドできる。
システムドリフト(system drift)
複数の実機やVMを長期運用するうちに、手動更新や個別パッチ適用の積み重ねで構成が少しずつずれていき、本来同一であるはずのマシン間に差異が生じる現象。トラブルシュートの難易度を跳ね上げる原因となる。
rootless Podman
コンテナを管理者権限(root)ではなく一般ユーザー権限で実行するPodmanの動作モード。万が一コンテナ内が侵害されてもホストOSへの影響範囲を限定できるため、エージェント実行のような高リスクなワークロードに適している。
Quadlet
コンテナをsystemdサービスとして宣言的に定義・管理するためのPodmanの機能。.containerや.kubeといった専用ファイルを書くだけで、systemdユニットが自動生成されサービスとして起動・監視される。
service-gator
記事の筆者が個人セットアップ用に追加した、軽量なゲートウェイツール。エージェントと外部サービス(GitHub、JIRAなど)の間に立ち、生のパーソナルアクセストークンの代わりにスコープを絞った権限を強制する役目を持つ。
プロンプトインジェクション
ユーザー入力や外部データの中に悪意ある命令を仕込み、LLMにそれを正規の指示と誤認させて実行させる攻撃手法。エージェントのように外部データを自動で読み込み行動するシステムでは特に深刻なリスクとされる。
【参考リンク】
Red Hat Emerging Technologies Blog(外部)
今回の筆者が所属する、Red Hatの先端研究開発チームによる技術ブログである。
bootc プロジェクト解説(Red Hat Developer)(外部)
ブータブルコンテナの基礎概念とContainerfileによるOSイメージ構築手順を解説した公式ガイド。
OpenClaw GitHub リポジトリ(外部)
今回エージェントランタイムとして採用された、MITライセンスのオープンソースAIエージェント。
OpenClaw 公式ドキュメント(外部)
エージェント実行モデル、ワークスペース構造、設定ファイルなどの公式リファレンス。
NVIDIA NemoClaw 解説(NVIDIA Developer Blog)(外部)
OpenShellでOpenClawをサンドボックス化しDGX Sparkで動かす構成を解説するNVIDIA記事。
Red Hat Image Mode for RHEL クイックスタート(外部)
fedora-bootcの企業向け派生「image mode for RHEL」の入門記事。Containerfileでの構築手順を確認できる。
Red Hat AI(外部)
Red Hatのエンタープライズ向けAIプラットフォーム総合ページ。「metal-to-agent」戦略の上位レイヤーにあたる。
【参考記事】
Build a More Secure, Always-On Local AI Agent with OpenClaw and NVIDIA NemoClaw(外部)
NVIDIA NemoClawがOpenShellを介してOpenClawをサンドボックス化し、DGX SparkとNemotron 3 Super(120Bモデル)で完全ローカル動作させる構成を、Telegram連携まで含めて解説したNVIDIAの公式チュートリアル記事。Red Hat側がOSライフサイクルを担い、NVIDIA側がエージェント実行サンドボックスを担う2層モデルの根拠となる。
What is OpenClaw? Your Open-Source AI Assistant for 2026 (DigitalOcean)(外部)
OpenClawが数日でGitHubスターを9,000から60,000以上に急増させ、72時間で60,000+スターを集めた経緯、100以上の事前構成済みAgentSkills、50以上の統合機能、PSPDFKit創業者ピーター・シュタインベルガー氏による開発背景を整理した解説記事。
How to Build and Secure a Personal AI Agent with OpenClaw (freeCodeCamp)(外部)
2026年1月末にリリースから1週間で10万GitHubスターを突破した経緯、開発者AJ Stuyvenberg氏がOpenClawに自動車購入交渉を任せて4,200ドルの値引きを得た実例、3層アーキテクチャと7段階のエージェントループを技術的に解剖した記事。
Operationalizing “Bring Your Own Agent” on Red Hat AI, the OpenClaw edition (Red Hat Blog)(外部)
今回のプロトタイプを「個人セットアップ」と位置付けるのに対し、本記事はそのエンタープライズ版の方向性を示す。MCP Gatewayの開発者プレビュー、Kagentiオペレーター、SPIFFE/SPIREによるサービス間認証など、Red Hat AIの本番展開戦略を提示している。
Advanced authentication and authorization for MCP Gateway (Red Hat Developer)(外部)
Envoyベースの「MCP Gateway」が複数MCPサーバーを単一エンドポイントへ集約し、ID連携によるツールフィルタリング、RFC 8693に基づくOAuth2トークン交換、HashiCorp Vault連携を実現する仕組みを技術解説した記事。
【編集部後記】
「AIエージェントを動かすOSは、エージェント専用に作り直されるべきなのか」――今回のプロトタイプは、その問いを私たちに投げかけている気がします。
クラウドネイティブで磨かれてきた「不変・宣言的・トランザクショナル」という考え方が、AIエージェントという新しい住人を迎えてどう変わっていくのか。皆さんなら、ご自身の業務や趣味のどんな場面で、こうした「使い捨てのように更新できる小さなエージェントOS」を試してみたいと感じるでしょうか。よろしければご意見、お聞かせください。
