AI新闻

NVIDIA 想给 OpenClaw 套上一层“安全壳”:NemoClaw 为什么值得关注

NemoClaw 不是新 Agent 框架,而是 NVIDIA 给 OpenClaw 套上的安全运行层,把网络、文件和推理统一收口。

2026年3月19日 · NVIDIA NemoClaw · 文章

更新时间:2026-03-19 JST
数据来源:NVIDIA NemoClaw GitHubNVIDIA NemoClaw Developer Guide

说明:这篇不是“项目说明书”,而是一个判断题。NemoClaw 值不值得开发者立刻关注?我的结论是:值得,因为它瞄准的不是再造一个 Agent,而是补上今天大多数 Agent 项目最薄弱的一层,也就是安全运行面。

1) 真正的爆点不是“又一个 Agent 项目”,而是 NVIDIA 在补 Agent 的运行安全层

官方在 README 里把 NemoClaw 定义为一个开源栈,用来更安全地运行 always-on 的 OpenClaw assistant;在 How It Fits Together 里又把它明确放进了 OpenShell 运行时和 NVIDIA cloud 推理这条链路里。换句话说,它不是来跟一堆 Agent 框架抢“谁更聪明”的,而是来解决另一个更现实的问题:Agent 如果要常驻运行,谁来兜住它的宿主机暴露面、外部连接和推理出口。

这也是我觉得它值得关注的根本原因。现在市面上很多 Agent 项目把重点放在能力展示上,但真正决定能不能接近生产的,往往不是 demo 漂不漂亮,而是你有没有一层明确的运行时边界。NemoClaw 明显是在补这一层,所以更适合把它看成“安全运行层 / 托管层”,而不是模型框架或聊天产品。

2) 它把 OpenClaw、OpenShell 和 NVIDIA cloud 串成了一条完整链路

架构文档 看,NemoClaw 不是一个单文件安装脚本,而是「TypeScript 插件 + Python blueprint + OpenShell 沙箱」的组合。插件负责 CLI 入口,blueprint 负责解析工件、校验摘要、规划资源和应用策略,OpenClaw 则实际运行在 OpenShell 管控的沙箱里。

这套拆法的价值在于关系非常清楚。OpenClaw 负责 agent 本身,OpenShell 负责安全壳,NemoClaw 负责把这两者编排到一起,并把默认推理接到 NVIDIA 的云端模型上。对第一次了解项目的人来说,最重要的不是记住某个命令,而是先记住这条产品链路已经被 NVIDIA 明确打通了。

3) 它最有工程味的地方,是把网络、文件和推理访问统一收口

这是整篇里最值得细看的部分。按照 Protection LayersNetwork Policies 的描述,NemoClaw 默认采用 strict-by-default 的网络策略:未列入策略的外部连接会被 OpenShell 拦截,并在 TUI 中要求人工批准。文件系统方面,只允许 /sandbox/tmp/dev/null 可写,其余关键系统路径保持只读;同时还叠加了 Landlock、seccomp、netns 等隔离层。

这件事的重要性在于,它把 Agent 最麻烦的三类风险放进了同一个控制面里:乱连外网、乱读乱写文件、以及不受控的模型访问。很多团队不是做不出 Agent,而是不知道该怎么给 Agent 加笼头。NemoClaw 的方向,恰恰是把这种“笼头”做成可审计、可批准、可约束的运行时策略。

4) 它不是只想做本机 demo,而是在尝试交付“长期在线助手”的部署路径

远端 GPU 部署文档Telegram bridge 文档 看,官方已经不满足于“本机能跑起来”。nemoclaw deploy 会在远端 VM 上安装依赖、创建沙箱,并能启动 Telegram bridge 与 cloudflared tunnel;nemoclaw start 负责桥接类辅助服务。

这透露出一个很强的信号:NemoClaw 不是想停留在“开发者本地试玩”的层面,而是在尝试把 always-on assistant 的部署链路标准化。谁在看这类项目?通常不是只想在笔记本上跑两天的人,而是真正想把 agent 变成长期在线入口的人。所以它的看点不只是安全,还有“服务化助手”这条路径是不是终于有人开始认真做基础设施。

5) 默认推理走 NVIDIA 云端,而且模型切换也被纳入运行时控制面

InferenceSwitch Inference Models at Runtime 里,官方默认模型是 nvidia/nemotron-3-super-120b-a12b,通过 OpenShell gateway 转发;文档同时说明,agent 的推理请求不会直接从沙箱对外发出,而是由 OpenShell 接管,并支持在运行中的沙箱里切换模型,无需重启。

这一点很有意思,因为它意味着 NemoClaw 不只是保护文件和网络,它还在试图把“模型访问本身”纳入控制面。对企业环境来说,这其实比很多人想的更重要。模型 API 调用不是普通 HTTP 请求,它本身就是权限、成本和数据边界的一部分。NemoClaw 现在给出的答案是:这条边界也该被托管起来。

6) 但别被 NVIDIA 这个名字冲昏头:它现在仍然只是 Alpha

话说回来,方向对不等于现在就能放心上生产。官方在 README 的 Alpha software 说明Commands 里已经讲得很直白:当前要求 fresh installation of OpenClaw;Linux 目前以 Docker 为主路径,macOS Podman 暂不支持;openclaw nemoclaw 插件命令还在活跃开发中,主接口优先使用 nemoclaw host CLI。

这意味着我们要守住一个很重要的判断:值得关注,和值得立刻上生产,是两回事。NemoClaw 今天更像一个非常值得做 PoC 的方向样本,而不是已经成熟的替换方案。如果你准备上手,最合理的姿势是隔离环境新装一套,专门验证它的安全运行面,而不是把现有稳定实例直接迁进去。

总结

  1. 如果你最近只想记住 NemoClaw 一句话,那就是:NVIDIA 正在给 OpenClaw 补一层真正面向生产问题的安全运行壳。
  2. 它最值得看的不是命令列表,而是把网络、文件、推理和部署链路一起纳入控制面的工程思路。
  3. 这项目现在最适合的姿势不是盲上,而是尽快做一次 PoC,因为它很可能代表下一波 Agent 基建真正卷起来的方向。

评论

评论发布后会立即公开,如触发规则可能被审核下架。

最多 1000 字。