État de l'isolation microVM en 2026 : containers vs. hardware virtualization pour les sandboxes IA
🗓️ Contexte Article publié le 27 mars 2026 par Emir Beganović (Staff SRE chez Booking.com), en marge du KubeCon EU 2026. L’auteur dresse un panorama complet de l’écosystème microVM, des CVEs d’évasion de containers récentes, et de l’émergence des sandboxes pour agents IA. 🔐 Problème fondamental : les containers ne sont pas une frontière de sécurité Les containers Linux (namespaces + cgroups) partagent le même noyau hôte. Toute exploitation du noyau (~40 millions de lignes de C, 450+ syscalls) permet une évasion vers l’hôte. La citation clé de Marina Moore (Edera) au KubeCon EU 2026 : “Containers are not a security boundary. They are a mechanism to control resource usage.” ...