LiteBox - o OS de biblioteca focado em segurança que a Microsoft lançou como open source

(github.com/microsoft)

12 pontos por GN⁺ 2026-02-08 | 2 comentários | Compartilhar no WhatsApp

OS de biblioteca focado em segurança que oferece suporte à execução tanto em modo kernel quanto em modo usuário, fornecendo um ambiente de sandbox que reduz a superfície de ataque ao minimizar a interface com o host
Escrito em Rust, com suporte a interfaces de nível superior no estilo nix e rustix e interoperabilidade entre diversas plataformas subjacentes
Principais casos de uso: executar programas Linux no Windows, sandboxing de aplicações Linux, execução em ambientes SEV SNP e OP-TEE, suporte à plataforma LVBS etc.
Base experimental de arquitetura de SO de próxima geração com foco em isolamento de segurança, virtualização e minimização das interfaces do sistema
Combina código de sistema seguro baseado em Rust com um modelo unificado de execução entre kernel e modo usuário, podendo ser usado em pesquisa de segurança e no desenvolvimento de tecnologias de isolamento em nuvem

Visão geral do LiteBox

O LiteBox é um OS de biblioteca open source focado em segurança lançado pela Microsoft, com suporte tanto à execução em modo kernel quanto em modo usuário
- O objetivo central é minimizar a interface com o host para reduzir a superfície de ataque
- Com isso, implementa um ambiente de execução isolado no formato de sandbox
O sistema é escrito na linguagem Rust e, na camada superior, oferece interfaces no estilo nix/rustix
- Na camada inferior, permite uma configuração flexível ao conectar várias plataformas (interface Platform)

Principais recursos e casos de uso

O LiteBox foi projetado com uma estrutura que oferece suporte à interoperabilidade entre vários ambientes operacionais
- Executar programas Linux no Windows
- Sandboxing de aplicações dentro do Linux
- Suporte a ambientes de execução segura baseados em SEV SNP
- Executar programas OP-TEE no Linux
- Suporte à execução na plataforma LVBS

Estágio atual e licença

O projeto está atualmente em desenvolvimento ativo e ainda não chegou à fase de lançamento de uma versão estável
- APIs e interfaces podem mudar no futuro
- O uso experimental é possível, mas é preciso cautela em ambientes que exigem estabilidade de longo prazo
Licença MIT

2 comentários

GN⁺ 2026-02-08

Comentários do Hacker News

Segundo a página no GitHub, o LiteBox é um Library OS com sandboxing focado em segurança, que reduz a superfície de ataque ao minimizar a interface com o host
Ele foi projetado para conectar uma interface “North” baseada em nix/rustix no estilo Rust com várias plataformas “South”
Alguns exemplos incluem executar programas Linux no Windows, aplicar sandbox em apps Linux ou rodar sobre SEV SNP, OP-TEE e LVBS
- A parte de “executar programas Linux sem modificações no Windows” é a mais interessante
  Faz tempo que acho o WSL2 uma solução improvisada, enquanto o WSL1 era um ótimo exemplo do conceito de “personality modules” do Windows NT
- Também dá para ver discussões relacionadas na thread do Reddit e no post de apresentação de James Morris
- Fiquei curioso se isso seria algo como um WSLv1.2, um tipo mais genérico e multiplataforma de firewall em forma de biblioteca
- O README está tão cheio de jargão de marketing técnico que demorou para entender o que o projeto realmente faz
  Parece um caso típico de a Microsoft empacotar uma ideia já existente com um nome novo para fazê-la parecer inovadora
Hoje em dia, o principal sistema operacional da Microsoft está tão cheio de bugs que fica difícil confiar em novos projetos da empresa
- A Microsoft tem mais de 100 mil engenheiros, então acho exagero dizer que todos os produtos são ruins por causa dos bugs do Windows
- A UI do Windows é instável, mas o kernel e as partes de baixo nível são bem estáveis e excelentes
- O LiteBox não é um substituto do Windows nem um sistema operacional desktop com GUI
  Provavelmente a equipe que desenvolve isso não tem nenhuma relação com a UX moderna do Windows
- Eu sei que o Windows 11 é criticado por bugs e pelos problemas com o Copilot, mas em fóruns assim parece haver um efeito de câmara de eco que desvaloriza qualquer produto só por ser da Microsoft
- O Windows é fechado e complexo, mas o LiteBox roda sobre o ecossistema Linux, então espero uma cultura de engenharia diferente
O repositório do LiteBox inclui arquivos de configuração relacionados ao Copilot
copilot-instructions.md
- Hoje muitas organizações exigem uso de IA para atingir OKRs, então é natural ver esse tipo de configuração
- Na prática, a maioria dos projetos já contém algum nível de código gerado por IA
  Isso apenas torna a configuração explícita
- Há uma frase dizendo que “mudanças muito simples não precisam de testes unitários”, e sem definir claramente essas regras de exceção, muitas vezes o LLM não consegue segui-las intuitivamente
Fiquei curioso sobre o que seria um Library OS
- É uma estrutura em que as interfaces antes fornecidas pelo SO (syscall, ioctl etc.) são linkadas diretamente ao app na forma de biblioteca
  Ou seja, as funções do SO passam a ficar integradas ao espaço de endereçamento da aplicação, e a interface externa vira acesso a hardware ou hypercalls
  Unikernels funcionam assim, e o Wine também pode ser visto, em sentido amplo, como um Library OS
  Por exemplo, dá para linkar um app Linux ao LiteBox e executá-lo sobre SEV-SNP, ou rodar um TA do OP-TEE no Linux
  O ponto principal é que, em vez de auditar centenas de syscalls POSIX, a ideia foi simplificar tudo para controlar apenas algumas operações primitivas de uma representação intermediária
- Em termos simples, é um sandbox que linka o SO como se fosse uma biblioteca e expõe a API do sistema real de forma reduzida para diminuir a superfície de ataque
- A explicação da Wikipedia também vale a leitura
Se eu tivesse que explicar para um alienígena a diferença entre um Library OS e um app baseado em kernel, eu acharia difícil explicar seriamente de tão sutil que é a diferença
- Se for um verdadeiro Library OS, não há system calls, e tudo roda no mesmo espaço, sem separação entre espaço de usuário e de kernel
No começo achei que “Library OS” fosse um sistema operacional para bibliotecas
- Eu também. Por um momento bateu uma nostalgia, lembrando de algo como o antigo Dynix
- Entendo isso basicamente como uma estrutura em que, ao linkar o SO, ele pode rodar diretamente sobre um supervisor sem precisar de um SO separado
- Pensei “um SO para bibliotecas públicas, que interessante”, e fiquei um pouco decepcionado quando vi que não era isso
O conceito de Library OS era novo para mim, mas pela explicação ele parece semelhante a um Unikernel
O programa roda diretamente sobre o hipervisor sem chamadas em modo kernel, e o LiteBox também pode funcionar como processo em Linux, Windows e BSD
- Por outro ângulo, parece um sandbox em que o programa não usa diretamente o SO, mas é executado isoladamente dentro de uma interface comum
  Só não ficou claro se ele usa uma ABI própria ou a ABI do SO hospedeiro
  Pela descrição, também passa um pouco de sensação de projeto “vibe-coded”
Se a Microsoft permitisse, por meio do LiteBox, escrever drivers de callout do WFP sem assinatura, isso seria interessante
Ainda rodaria em modo kernel, mas poderia ser mais flexível que as NetworkExtensions do MacOS
Senti falta de menção a um processo de desenvolvimento baseado em especificações de design e verificação formal (formal verification)
É uma tentativa interessante, mas sem essa abordagem existe o risco de reaparecerem as vulnerabilidades de segurança que se repetiram no Windows
- Hoje parece haver uma tendência de acreditar que algo é automaticamente seguro só porque foi escrito em Rust
Foi a primeira vez que ouvi o termo “Library OS”, e fiquei na dúvida se o gVisor também entraria nessa categoria
Parece uma estrutura parecida, mas não sei se é exatamente a mesma coisa

picopress 2026-02-09

Fazia tempo que eu não encontrava um projeto que parece tão interessante assim.