Rivet Agent OS: Das In-Process-Betriebssystem, das KI-Agenten 500x günstiger als Sandboxes ausführt

Rivet Agent OS: Das In-Process-Betriebssystem, das KI-Agenten 500x günstiger als Sandboxes ausführt

lschvn9 Min. Lesezeit

Wir haben vollständige Linux-Virtual Machines eingesetzt, um KI-Agenten auszuführen. Dann hat jemand erkannt, dass wir es komplett falsch gemacht haben.

In den letzten zwei Jahren lautete die Standardantwort auf die Frage „Wie führt man einen Coding-Agenten sicher aus?"ans: Starten Sie eine Cloud-VM, booten Sie Linux, öffnen Sie eine Shell-Session, führen Sie Ihren Agenten aus. E2B. Daytona. Modal. Jedes Agent-Framework setzte auf dasselbe mentale Modell wie beim Bereitstellen eines Webservers, ein vollständiges Betriebssystem, ein vollständiges Dateisystem, Syscalls an einen echten Kernel, und das alles für einen Agenten, der 95 % seiner Zeit darauf wartet, dass ein LLM antwortet.

Rivets Antwort ist anders. Sehr anders.

Was ist agentOS?

agentOS ist ein In-Process-Betriebssystemkernel, geschrieben in JavaScript, der innerhalb eines Node.js-Host-Prozesses läuft. Das ist kein Marketing-Jargon, das ist eine präzise Beschreibung der Architektur.

Der Kernel verwaltet:

  • Ein virtuelles Dateisystem mit Mount-Treibern (S3, SQLite, Host-Verzeichnisse, In-Memory)
  • Eine Prozesstabelle zur Nachverfolgung von Kindprozessen, PIDs, Exit-Codes
  • Pipes und PTYs für die Inter-Prozess-Kommunikation
  • Einen virtuellen Netzwerk-Stack mit programmierbaren Allow/Deny/Proxy-Regeln

In diesen Kernel werden drei Runtimes gemountet:

1. V8-Isolates für Agent-Code. Der Agent (Pi, Claude Code, Codex, demnächst) läuft in einem V8-JavaScript-Kontext. Dies ist dieselbe Isolationstechnologie, die Chrome verwendet, um jeden Browser-Tab zu sandboxen. Jedes Isolate hat seinen eigenen Heap und Stack, keinen gemeinsamen Status, Berechtigungen, die standardmäßig verweigert werden, für Dateisystem-, Netzwerk- und Prozesszugriff. Cold Start liegt bei ~4–6 ms, weil Sie nichts booten, Sie erstellen lediglich einen neuen JavaScript-Kontext innerhalb einer bereits laufenden V8-Engine.

2. WebAssembly für POSIX-Tools. GNU coreutils, grep, sed, gawk, curl, jq, ripgrep, sqlite3 und über 80 weitere Unix-Befehle, die von C und Rust nach WebAssembly kompiliert wurden. Sie laufen in einem WASM-Runtime, das vom Kernel verwaltet wird, nicht in V8. Der Agent kommuniziert mit ihnen über eine virtuelle PTY, wie in einer Shell.

3. Sandbox-Erweiterung für schwere Workloads. Wenn Sie tatsächlich einen echten Browser, native Linux-Binaries oder GPU-Zugriff benötigen, kann agentOS bei Bedarf eine E2B- oder Daytona-Sandbox mounten und sie als Teil des virtuellen Dateisystembaums bereitstellen. Das ist das Hybridmodell: leichte, schnelle Agenten für die 80 % der Aufgaben, die kein vollständiges OS brauchen, vollständige Sandboxes, wenn doch.

Host Tools: Das Integrationsmuster, das zählt

Das „Host Tools"-Modell ist agentOS' meistunterschätztes Feature. Ihr Backend exponiert JavaScript-Funktionen für den Agenten, als wären sie CLI-Befehle:

const weatherToolkit = toolKit({
  name: "weather",
  tools: {
    get: hostTool({
      description: "Das Wetter für eine Stadt abrufen.",
      inputSchema: z.object({ city: z.string() }),
      execute: async ({ city }) => ({ temperature: 18, conditions: "teilweise bewölkt" }),
    }),
  },
});

Der Agent ruft auf: agentos-weather get --city Berlin. Kein HTTP. Keine Auth-Headers. Kein Netzwerk-Hop. Der Kernel überbrückt direkt zu Ihrer Node.js-Funktion. Das ist das richtige Modell für Backend-Integration.

ACP: LSP für Agenten

Das Agent Communication Protocol (ACP) ist ein standardisiertes Protokoll für die Kommunikation zwischen Editor und Agent, explizit nach dem Vorbild des Language Server Protocol (LSP) modelliert, das Sprachserver von IDEs entkoppelte. ACP definiert Sessions, Transkripte, Reconnect-Logik und universelle Agent-Formate. Wenn es sich durchsetzt, werden Agenten portabel zwischen Editoren (Cursor, VS Code usw.) und Editoren erhalten Zugriff auf das gesamte ACP-Agenten-Ökosystem. Die Parallele zu LSP ist passend: Es dauerte ein Jahrzehnt, bis sich LSP durchsetzte, obwohl die Lösung offensichtlich richtig war. ACP ist noch am Anfang.

Die Zahlen

Alle unten aufgeführten Benchmarks stammen aus Rivets eigenen Materialien. Die Benchmarks der secure-exec-Bibliothek (die granulärste Schicht) sind unabhängig reproduzierbar, Rivet veröffentlicht die Skripte. Alles andere ist selbst berichtet.

PerzentilagentOSE2B (schnellste Sandbox)Beschleunigung
Cold Start p504,8 ms440 ms92x
Cold Start p955,6 ms950 ms170x
Cold Start p996,1 ms3.150 ms516x

Speicher pro Instanz: ~131 MB (vollständiger Coding-Agent) vs. ~1.024 MB (Daytona). Einfache Shell: ~22 MB vs. ~1 GB.

Self-hosted-Kosten auf Hetzner ARM: 0,0000011 $/Sekunde. Vergleichen Sie das mit Daytona bei 0,0504 $/vCPU-Stunde: 17x günstiger. Bei voller Self-hosted-Auslastung sind die Kosten in einer völlig anderen Liga.

Dies sind die Self-hosted-Zahlen. Rivet Cloud beginnt bei 20 $/Monat für den verwalteten Tier.

Wettbewerbslandschaft

agentOS konkurriert nicht mit Modal (serverloses GPU, ein anderes Problem), und es konkurriert nicht wirklich mit E2B oder Daytona, es ist darauf ausgelegt, sie zu ergänzen. Die Sandbox-Mount-Erweiterung macht die Beziehung explizit: Sie verwenden agentOS für leichte Arbeit, und starten bei Bedarf eine Sandbox.

Echte Konkurrenz: Lambda (schlechte Wahl für Agenten, 100 ms+ Cold Starts, keine Agent-Primitiven, 15-Minuten-Ausführungslimits), Cloudflare Workers AI (nur Inference, kein Agent-Runtime).

Hauptkäufer: Backend- und Plattformingenieure in Startups, die KI-Agenten-Funktionen entwickeln und eine schnelle, günstige, einbettbare Agent-Infrastruktur in ihrem Node.js-Backend benötigen. NichtSolo-Entwickler (obwohl das kostenlose Apache-2.0-Angebot real ist), und nicht Unternehmen, die HIPAA oder SOC 2 benötigen, agentOS hat diese Zertifizierungen noch nicht.

Das Unternehmen

Rivet Gaming, Inc., unterstützt von YC W23 + a16z Speedrun SR002. Gründer Nathan Flurry und Nicholas Kissel. Flurry hat zuvor Infrastruktur für Spiele mit 15M+ MAU und 20k gleichzeitigen Spielern aufgebaut. Das Spieleserver-Erbe ist erkennbar: Das ist Infrastruktur-Denken in großem Maßstab auf Agenten angewendet, Kosten bei Skala, schnelle Ausführung, minimaler Overhead.

Die grundlegende Sandbox-Bibliothek, secure-exec, ist separat Open Source. Rivet Cloud bietet verwaltetes Hosting (100k Actor-Stunden/Monat kostenlos, kostenpflichtig ab 20 $/Monat). YC- und a16z-Speedrun-Unternehmen erhalten 12 Monate lang 50 % Rabatt.

Implikationen

Wenn agentOS seine Zahlen in großem Maßstab liefert, steht jeder Sandbox-Anbieter unter Druck. Das Ausführungssubstrat für eine einfache Agent-Aufgabe, Dateioperationen, API-Aufrufe, Scripting, kann von ca. 0,05 $/vCPU-Minute auf 0,0000011 $/Sekunde fallen. Das ist eine 500-fache Kostenreduzierung für den Runtime, nicht für das LLM.

Für OpenClaw, Hermes und jedes Agent-Framework: Die V8-Isolate-Architektur ist das, was es zu beobachten gilt. Selbst wenn Sie agentOS nicht direkt übernehmen, sind das „Host Tools"-Muster (direkte Funktionsaufrufe, kein HTTP-Auth), das Actor-per-Session-Modell und der hybride Sandbox-Ansatz architektonische Ideen, die es wert sind, absorbiert zu werden.

ACP vs. MCP ist eine separate und längerfristige Auseinandersetzung. MCP hat den Mindsshare. ACP ist architektonisch sauberer. Die LSP-Parallele sollte man im Hinterkopf behalten, die richtige Antwort gewinnt nicht immer am ersten Tag.

Einschränkungen

Das ist Beta. Nur der Pi-Agent ist heute produktionsreif; Claude Code, Codex, OpenCode und Amp sind als „demnächst verfügbar" aufgeführt. Es wurde kein Drittanbieter-Sicherheitsaudit veröffentlicht. Die WASM-POSIX-Schicht ist unvollständig, git und make sind geplant, aber noch nicht ausgeliefert. GitHub hat 1.576 Sterne, was bescheiden ist. Die Architektur ist solide; das Ökosystem ist noch jung.

Das Bild, das diesen Artikel eröffnet, ist eine Leiterplatte. Das fühlte sich passend an: agentOS ist Infrastruktur für Menschen, denen egal ist, was unter der Haube steckt.

Häufig gestellte Fragen

Verwandte Artikel

Weitere Berichterstattung zu ähnlichen Themen und Tags.

Claude Code Bug #74066: Nutzer Melden Cross-Workspace-Kontext-Leaks auf Sonnet 5, Anthropic Hat Noch Nicht Antwortet
security

Claude Code Bug #74066: Nutzer Melden Cross-Workspace-Kontext-Leaks auf Sonnet 5, Anthropic Hat Noch Nicht Antwortet

Ein offener Bug, der am 2026-07-04 gegen Claude Code von einem [Enterprise-ZDR](https://docs.anthropic.com/en/docs/build-with-claude/zero-data-retention)-Nutzer eingereicht wurde, beschreibt eine Arbeitssitzung auf Sonnet 5, die plötzlich auf einen unrelated Minecraft-Tempelbau referenziert und dann im Recap bei der falschen Aufgabe bleibt. Der Reporter (GitHub: [@milesrichardson-edb](https://github.com/milesrichardson-edb), Issue [anthropics/claude-code#74066](https://github.com/anthropics/claude-code/issues/74066)) ist auf Enterprise Zero Data Retention, dem Tier, das Anthropic speziell als sitzungsisoliert vermarktet. Ein Triage auf der lokalen Sitzungs-JSONL des Reporters unter `~/.claude/projects/<encoded-cwd>/<session-id>.jsonl` zeigt, dass der geleakte Text nicht im Transkript enthalten ist, was einen lokalen Kontext-Leak durch Datei-Überlappung ausschließt. Vier andere Nutzer in den Kommentaren (mit Arbeitsgeschichten, die bis ins letzte Jahr zurückreichen) beschreiben nahezu identisches Verhalten über Claude Code, Claude Mobile und Claude Deep Research hinweg. Der plausibelste architektonische Fit ist geteilter KV-Cache-Zustand in der Inferenz ([laut @yv3nne in den Kommentaren](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880448776)), aber kein Anthropic-Ingenieur hat die Issue in den 22 Stunden seit der Einreichung kommentiert, und die Issue erreichte am 2026-07-04 die Spitze von [Hacker News](https://news.ycombinator.com/item?id=42481789). Der Ton im Thread ist gespalten: Die Hälfte vermutet echte Plattform-Cache-Wiederverwendung, die andere Hälfte vermutet eine [sonnet-5-spezifische Halluzination, ausgelöst durch einen Pygments-Lexer](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880334711). Beide Lesarten sind glaubwürdig.
Fastify v5.9.0 ergänzt `request.mediaType` und `onMaxParamLength`, härtet das Vertrauen in `forwarded`-Header, chunkiert große HTTP/2-Antworten und migriert die Typ-Tests zu TSTyche
security

Fastify v5.9.0 ergänzt `request.mediaType` und `onMaxParamLength`, härtet das Vertrauen in `forwarded`-Header, chunkiert große HTTP/2-Antworten und migriert die Typ-Tests zu TSTyche

Fastify v5.9.0, veröffentlicht am 2026-06-28 (github.com/fastify/fastify), ist die erste Minor-Version der v5-Linie im Jahr 2026 und ein substanzieller 65-PR-Zyklus. Die Hauptfunktionen sind `request.mediaType` (ein typisierter Accessor für den ausgehandelten Medientyp, [#6653](https://github.com/fastify/fastify/pull/6653) von climba03003), die Routen-Option `onMaxParamLength` ([#6716](https://github.com/fastify/fastify/pull/6716) von climba03003) und ein Sicherheitsfix, das `X-Forwarded-Host` und `X-Forwarded-Proto` nicht mehr vertraut, wenn der eingehende Socket fehlt ([#6684](https://github.com/fastify/fastify/pull/6684) von mcollina). Der Zyklus liefert einen HTTP/2-Buffer-Chunking-Fix für große Antworten ([#6746](https://github.com/fastify/fastify/pull/6746) von mcollina), drei schema-bezogene Performance-Gewinne (verzögertes `getSchemaSerializer`-Content-Type-Parsing #6692, gecachte `ContentType`-Objekte im `ContentTypeParser` #6694, `typeof`-Wache vor `toString.call` in `send` / `onSendEnd` #6693 von aquie00t), Node.js 26 zur Test-Matrix hinzugefügt ([#6728](https://github.com/fastify/fastify/pull/6728) von Fdawgs) und Node.js 20 aus der yarn-CI-Matrix entfernt ([#6662](https://github.com/fastify/fastify/pull/6662) von Tony133), die Migration der Typ-Test-Suite von handgeschriebenen `expect-type`-Assertions zu [TSTyche](https://github.com/mrazauskas/tstyche) ([#6532](https://github.com/fastify/fastify/pull/6532) von mrazauskas, mit Folge-PRs #6726 und #6727), und ein TypeScript-only fastify-plugin v6.0.0-Bump. Weitere bemerkenswerte Fixes: Trailer-`res.end`-Deduplizierung (#6676), Trailer-Duplikat-Completion-Wache (#6714), `error.code` auf Routing-Fehlern (#6678), `hasRequestDecorator` / `hasReplyDecorator` erkennen konstruktor-zugewiesene Built-in-Eigenschaften (#6753), `getValidationFunction()` darf `undefined` zurückgeben (#6665), und ein Socket-`_meta`-Clear, der ein Keep-Alive-Leck schließt (#6799).
Deno 2.9 bringt 1,98x schnelleren Cold Start, 2,2–3,1x weniger RSS unter Last, npm Minimum Release Age als Default, No-Downgrade Trust Policy und eingebaute Snapshot-Tests
runtimes

Deno 2.9 bringt 1,98x schnelleren Cold Start, 2,2–3,1x weniger RSS unter Last, npm Minimum Release Age als Default, No-Downgrade Trust Policy und eingebaute Snapshot-Tests

Deno 2.9 (Bartek Iwańczuk, veröffentlicht am 2026-06-25 auf deno.com/blog/v2.9) ist das größte Deno-Release des Zyklus. Der Cold Start sinkt von 34,2 ms auf 17,3 ms (1,98x), der Spitzen-RSS auf der Deno.serve-Realworld-Last fällt um den Faktor 2,2 (142 MB → 64 MB) und um 3,1x bei 1-MiB-Bodies (197 MB → 63 MB), und der Deno.serve-Durchsatz steigt um 1,27x in Realworld (56,8k → 72,4k req/s), 1,11x in Plaintext und 1,18x bei 1-MiB-Bodies. Supply-Chain-Härtung: Das npm Minimum Release Age wird standardmäßig mit einem 24-Stunden-Fenster aktiviert (PR #35458), und eine neue opt-in No-Downgrade Trust Policy (PR #34927) weigert sich, jede Version aufzulösen, deren Vertrauensbeweis (Staged Publishing, Trusted Publishing, Provenance-Attestation) schwächer ist als der stärkste Beweis einer zuvor veröffentlichten Version desselben Pakets. Test-Runner-Parität: eingebautes t.assertSnapshot() (#35139), Deno.test.each (#34938), --shard für CI-Fan-out (#35057), Retry und Repeats (#35053), Change-Aware --changed und --related (#35199) und Coverage-Thresholds (#35056). Lockfile-Interop: deno install seedet deno.lock aus package-lock.json, pnpm-lock.yaml, yarn.lock oder bun.lock (#34296, #35330, #35346, #35350, #35394), pnpm-workspace.yaml migriert automatisch in deno.json / package.json (#34993), und Git-Merge-Konflikt-Marker in deno.lock lösen sich automatisch auf (#34726). Dazu: deno desktop verlässt den experimentellen Status (PR #33441 vom 16. Juni), Subcommands deno link / deno unlink / deno list / deno watch, stabiles --unsafe-proto (#34738), Web Locks API (#31166), Happy Eyeballs v2 (RFC 8305) (#31726), navigator.userAgentData (#34743), der WebCrypto Modern Algorithms-Vorschlag (ML-KEM, ML-DSA, SLH-DSA, ChaCha20-Poly1305, SHA-3-Familie, KMAC, Argon2) (#34447, #34448, #34914, #35223), Node-26.3.0-Kompatibilität (#34746, #34747), Node-API v10 (#35270) und CSS-Modul-Importe unter --unstable-raw-imports (#35093). Über 165 PRs landen in diesem Zyklus.

Kommentare

Anmelden Melden Sie sich an, um an der Diskussion teilzunehmen.

Noch keine Kommentare. Seien Sie der Erste, der seine Gedanken teilt.