Yazar, OpenClaw'ın çok sayıda güvenlik açığı (CVE) barındırması nedeniyle onu hafif sanallaştırma ve sandbox tekniklerini test etmek için bir denek olarak kullanmaya karar veriyor. Amacı, uygulamanın dosya sistemi erişimini, ağ trafiğini kısıtlamak ve tüm bunları deklaratif bir yaklaşımla gerçekleştirmek. Bu hedeflere ulaşmak için microvm.nix adlı bir aracı kullanıyor.
microvm.nix, sanal makineleri konteynerlere kıyasla daha hafif ve güvenli bir alternatif olarak sunuyor. Konteynerlerin aksine, sanal makineler kendi işletim sistemi çekirdeklerini çalıştırarak saldırı yüzeyini hipervizör ve aygıt sürücüleriyle sınırlıyor. cloud-hypervisor gibi modern MicroVM hipervizörleri, virtio kullanarak emüle edilmiş donanım yerine doğrudan geçiş sağladığı için eskiden sanal makineleri hafif iş yükleri için pratik olmaktan çıkaran performans yükünü ortadan kaldırıyor. Bu sayede, tek haneli saniyelerde önyükleme süreleri, 100MB'ın altında bellek kullanımı ve virtiofs aracılığıyla paylaşılan /nix/store gibi avantajlar elde ediliyor, böylece gigabaytlarca paketin kopyalanması önleniyor.
Yazar, microvm.nix uygulamasını standartlaştırmak için microvm-base.nix adlı paylaşılan bir yapılandırma kullanıyor. Bu yapılandırma, her sanal makineye köprü ağında statik bir IP adresi, bir TAP arayüzü ve Nix deposu için virtiofs paylaşımları atıyor. Ana bilgisayar tarafında ise, tüm MicroVM TAP arayüzlerini bağlayan bir köprü ve genel arayüz üzerinden trafiği NAT ile maskeleyen bir yapılandırma kullanılıyor. Bu kurulum, OpenClaw gibi riskli bir uygulamanın güvenli ve izole bir ortamda çalıştırılmasını sağlıyor.
microvm.nix, geleneksel konteynerlere göre daha düşük saldırı yüzeyi ve yüksek performans sunarak uygulamaları güvenli ve izole bir şekilde çalıştırmak için modern bir yaklaşım sağlıyor.