NVIDIA NemoClaw:工作原理、使用场景与特性(翻译)
原文:NVIDIA NemoClaw: How It Works, Use Cases & Features [2026]
本文为中文翻译与技术整理,删除了原网页中的导航、招聘推广和页脚内容,并结合 NVIDIA 官方文档对关键概念做了少量译者注。
摘要
NVIDIA NemoClaw 在 OpenClaw 之上增加了企业级安全能力:沙箱化 Agent、内核级隔离、默认零权限、可审计策略,以及受控的推理路由。它是免费、开源的项目,目前仍处于 alpha / early-access preview 阶段。
OpenClaw 曾经快速成长为现象级开源项目。它让开发者能够构建可以写代码、浏览网页、调用工具,并在较长时间内持续执行任务的自治 Agent。
但企业采用 OpenClaw 时面临一个直接问题:安全护栏不足。缺少沙箱、审计链路和强隔离能力时,一个被攻击或被提示注入诱导的 Agent,可能访问整个系统。
2026 年 3 月 16 日,NVIDIA 在 GTC 2026 发布 NemoClaw。它解决的正是这个问题:在 OpenClaw 之上增加企业级隐私和安全控制。NemoClaw 不是 OpenClaw 的替代品,而是一个让自治 Agent 更适合生产环境的安全封装层。
NVIDIA CEO Jensen Huang 曾表示:“OpenClaw opened the next frontier of AI to everyone.” 如果说 OpenClaw 打开了 AI Agent 的新边界,那么 NemoClaw 的目标就是让这个边界对企业更安全。
译者注:NVIDIA 官方文档明确说明 NemoClaw 目前是 alpha 软件,预计后续版本会有破坏性变更,不建议直接用于生产环境。
NemoClaw 一览
| 特性 | 说明 |
|---|---|
| 发布时间 | 2026 年 3 月 16 日,GTC 2026 |
| 许可证 | Apache 2.0,免费开源 |
| 状态 | Alpha / early-access preview |
| 默认模型 | Nemotron 3 Super 120B,12B active parameters |
| 安全能力 | 四层隔离:网络、文件系统、进程、推理 |
| 安装方式 | 单命令安装 |
| 最低硬件 | 4+ vCPU,8 GB RAM |
| 操作系统 | Ubuntu 22.04 LTS 或更新版本 |
什么是 NVIDIA NemoClaw
NemoClaw 是构建在 OpenClaw 之上的开源软件栈。它为企业在生产环境部署自治 Agent 增加了必要的安全基础设施。
可以把它类比成浏览器标签页隔离。每个标签页运行在自己的沙箱中,如果其中一个标签页被攻破,它不能直接影响其他标签页。NemoClaw 对 AI Agent 做了类似的事情。
通过一条命令,NemoClaw 可以安装 NVIDIA Nemotron 模型和 NVIDIA OpenShell runtime,创建一个用于运行 “claws” 的沙箱环境。这里的 “claws” 是 OpenClaw 对自治 Agent 的称呼。
OpenClaw 创建者 Peter Steinberger 曾表示:“We’re building the claws and guardrails that let anyone create powerful, secure AI assistants.” 也就是说,OpenClaw 提供 Agent 能力,而 NemoClaw 和 OpenShell 进一步提供安全边界。
OpenClaw 的简要历史
理解 NemoClaw 之前,需要先理解 OpenClaw。原文称,奥地利开发者 Peter Steinberger 在 2025 年 11 月发布了最初项目,项目曾经历多次命名和快速传播,并在 2026 年初成为开发者社区关注的自治 Agent 项目。
OpenClaw Agent 是一种持久运行、能够使用工具的程序。它们可以写代码、浏览网页、操作文件、调用 API,并把多个动作串联起来执行。它们可以运行数小时甚至数天而不需要人类持续输入。
这种能力带来了效率,也带来了企业安全顾虑。NemoClaw 就是对这种顾虑的回应。
NemoClaw 如何工作
NemoClaw 主要由两个部分组成:一个 TypeScript plugin 和一个 Python blueprint。二者配合工作,但职责不同。
TypeScript Plugin
TypeScript plugin 是一个轻量级 CLI package。它集成到 OpenClaw CLI 中,并在 openclaw nemoclaw 命名空间下注册命令。它与 OpenClaw gateway 在同一进程中运行,负责面向用户的交互。
常见命令包括:
launch:全新安装。connect:进入交互式 shell。status:查看状态报告。logs:查看或流式输出日志。slash:处理聊天中的 slash command。
Python Blueprint
真正的安全逻辑主要位于 Python blueprint 中。它是一个带版本的 artifact,包含创建沙箱、应用策略、配置推理路由等逻辑。TypeScript plugin 会解析、验证并以子进程方式执行 blueprint。
这种分离设计很实用:plugin 可以保持稳定,而 blueprint 可以按照自己的发布节奏演进。安全补丁可以在不修改 CLI 的情况下发布。
Blueprint 生命周期
每个 NemoClaw 部署通常经历五个阶段:
- Resolve:定位 artifact,并根据
blueprint.yaml中的版本约束进行校验。 - Verify:确认 artifact digest。每个 artifact 都是不可变且经过 digest 校验的。
- Plan:确定需要哪些 OpenShell 资源,例如 gateway、inference、sandbox 和 policy。
- Apply:通过
openshellCLI 命令执行计划。 - Status:报告当前部署状态。
推理路由
Agent 请求不会直接离开沙箱。典型路径是:沙箱内 Agent 先访问 OpenShell gateway,再由 gateway 转发到 NVIDIA cloud,也就是 build.nvidia.com。这样可以让敏感数据留在受控边界内。
NemoClaw 还包含 privacy router。它可以使用本地开源模型在设备上处理敏感上下文,只有在策略允许时才把请求路由到 Claude、GPT 等 frontier model。路由决策基于成本和隐私策略,而不是 Agent 自己的偏好。
四层安全隔离
这是 NemoClaw 与直接运行 OpenClaw 的关键区别。NemoClaw 通过四层隔离保护系统。
| 层级 | 作用 | 是否可在运行时修改 |
|---|---|---|
| Network | 阻止未授权的出站连接,使用 allowlist 控制访问 | 是,支持 hot reload |
| Filesystem | 限制 /sandbox 和 /tmp 之外的访问,系统路径只读 |
否,创建后锁定 |
| Process | 阻止权限提升和危险 syscall,使用 Landlock、seccomp 和 netns | 否,创建后锁定 |
| Inference | 将 API 调用重新路由到受控后端 | 是,支持 hot reload |
这些约束存在于运行环境本身,而不是 Agent 的应用逻辑中。即使 Agent 被攻破,它也不能覆盖这些限制。Agent 不控制自己的沙箱,operator 才控制沙箱。
核心特性
默认零权限
Agent 启动时没有任何权限。只有策略明确允许的能力才会被授予。这与许多工具的默认模型相反:很多系统让 Agent 一开始拥有较大权限,然后再尝试限制它。
默认零权限的好处是风险更可控。没有写入权限、没有网络访问、没有凭据注入,就意味着 Agent 不能越过策略边界去执行危险动作。
Operator Approval TUI
当 Agent 尝试访问未列入 allowlist 的主机时,OpenShell 会阻止该请求,并在终端 UI 中展示给人工审批。operator 可以看到 Agent 想访问什么,然后决定批准或拒绝。
这让网络访问从“隐式发生”变成“显式审批”,尤其适合金融、医疗、企业内网等对出站访问敏感的环境。
凭据管理
API key、token 和 service account 会在运行时以环境变量方式注入。它们不会泄漏到沙箱文件系统中。即使沙箱被攻破,凭据也不会以普通文件形式暴露。
完整审计链路
每一次 allow / deny 决策都会被记录。对金融、医疗等强合规行业来说,这不是锦上添花,而是上线前的基本要求。
GPU Passthrough
OpenShell 可以把宿主机 GPU 透传到沙箱中。这样 Agent 可以在安全环境里运行本地推理或微调任务,而不必把数据发送到云端。
Policy as Code
安全策略以声明式 YAML 编写,例如 openclaw-sandbox.yaml。这些策略可以被版本化、审查和审计。换句话说,安全策略可以像基础设施一样以代码方式管理。
进程外强制执行
这是最重要的设计点。安全约束存在于 Agent 进程之外。Agent 无法关闭自己的护栏。
如果把权限控制放在应用层,Agent 可能被提示注入或恶意工具诱导,最终绕过限制。但在进程外强制执行模型下,Agent 没有什么可以“说服”的对象。隔离边界属于运行环境,不属于 Agent 自身。
NemoClaw、OpenClaw 与 NanoClaw 对比
现在同一类理念下存在三种不同形态,它们面向不同人群。
| 维度 | OpenClaw | NanoClaw | NemoClaw |
|---|---|---|---|
| 代码规模 | 约 500K 行,70+ 依赖 | 核心逻辑约 500 行 | OpenClaw 的企业级封装 |
| 安全模型 | 应用层安全,例如 API whitelist | OS 层安全,例如 Docker / Apple Container | 内核级沙箱和合规能力 |
| 集成能力 | 50+ 原生集成 | 主要集成核心消息应用 | 正在发展的企业集成套件 |
| LLM 支持 | 多供应商,包括 OpenAI、Anthropic、本地模型 | 针对 Claude 优化 | 供应商灵活,针对 Nemotron 优化 |
| 目标用户 | 平台工程团队 | 希望保持简单的开发者 | 重视安全的企业 |
原文举了一个例子:某创业公司曾使用原始 OpenClaw 运行三个负责代码部署的自治 Agent,其中一个 Agent 意外在没有评审的情况下推送到生产环境。使用 NemoClaw 的默认零权限和审批 TUI 后,这类行为会被策略阻止。
Nemotron 3 Super 120B 模型
NemoClaw 默认使用 Nemotron 3 Super 120B。它不是普通的大语言模型,而是面向 agentic workload 设计的模型。
它采用混合架构:Mamba-Transformer MoE,也就是 Mixture of Experts。模型总参数量为 120B,但任意时刻只激活 12B 参数,因此在推理效率上更有优势。
根据 NVIDIA 技术博客和模型说明,Nemotron 3 Super 120B 面向 agentic reasoning 场景,在 PinchBench 等评测中表现突出,支持最长 1M tokens 上下文窗口,并针对高吞吐推理做了优化。
| 指标 | Nemotron 3 Super 120B | 说明 |
|---|---|---|
| PinchBench | 85.6% | 面向 Agent 推理的评测 |
| Terminal-Bench Hard | 29% | 复杂终端任务 |
| GDPval-AA ELO | 1,027 | 真实世界 Agent 工作任务 |
| DeepResearch Bench | No. 1 | 大文档多步研究 |
| Tokens per second | 442 | 面向 Agent workload 的高吞吐 |
| 最大上下文窗口 | 1M tokens | 在长上下文任务中具备优势 |
关键点在于 active parameter count。模型总量是 120B,但任意时刻只激活 12B 参数。这意味着企业在同时运行多个 Agent 时,可以在推理质量和计算成本之间取得更好的平衡。
使用场景
自治软件开发
这是 NemoClaw 最核心的使用场景:让 Agent 编写、测试和部署代码,但在安全边界内执行。沙箱可以阻止 Agent 访问生产数据库,或在没有审批的情况下推送代码。
原文提到,一个团队使用后端开发 Agent 生成 API endpoint。引入 NemoClaw 之前,他们必须手动审查 Agent 触碰的每个文件;之后,文件系统隔离可以自动限制 Agent 的可访问范围。
网络安全分诊
安全团队可以部署能够分析威胁并在护栏内自主响应的 Agent。Agent 可以调查问题,并在定义好的边界内采取行动,但不能自行提升权限。
原文还提到 Cisco 已宣布将 OpenShell 与其 AI Defense 平台集成。这意味着企业可以把 Agent 安全策略接入现有安全基础设施,而不是另起一套。
企业工作流自动化
Adobe、Salesforce、SAP、Cisco 这类公司在大规模部署 Agent 前,需要经过加固的框架。NemoClaw 提供了这类合规层:审计日志、策略执行和凭据隔离。
这类能力的价值不在于让 Agent 做更多事,而在于让企业能够明确回答:“Agent 能做什么、不能做什么、做过什么、谁批准了什么。”
多 Agent 编排
多个专业 Agent 可以分别运行在隔离环境中。每个 Agent 有自己的沙箱、策略和权限。一个 Agent 被攻破,不应该影响其他 Agent。
这在多角色 Agent 系统中尤其重要。写代码的 Agent 不应该访问客户数据;数据分析 Agent 不应该推送生产代码。NemoClaw 让这些边界成为可执行约束,而不是 Agent 可以忽略的口头规则。
个人 AI 助手
长期运行的个人 Agent 可能访问文件、应用和工作流。privacy router 可以让敏感数据留在本地,只把非敏感请求发送到云端模型。
原文提到,一个越南开发团队为 SaaS 创始人构建个人助手 Agent,用于管理日历、邮件和 Slack。privacy router 让个人数据留在本地,只有一般知识类请求进入云端模型。
硬件要求
| 要求 | 最低配置 | 推荐配置 |
|---|---|---|
| CPU | 4+ vCPU | 8+ vCPU |
| RAM | 8 GB | 16 GB |
| Disk | 20 GB | 40 GB |
| OS | Ubuntu 22.04 LTS | Ubuntu 22.04 LTS 或更新版本 |
| Dependencies | Node.js 20+、npm 10+、Docker | 相同 |
| Sandbox image | 约 2.4 GB compressed | 约 2.4 GB compressed |
在专用硬件方面,原文称 Dell 是首个推出面向 NemoClaw 桌面设备的 OEM。Dell Pro Max with NVIDIA GB300 Grace Blackwell Ultra Desktop Superchip 提供 20 petaFLOPS FP4 性能和 748 GB coherent memory,但价格尚未公布。
也可以通过 Brev 这类 NVIDIA 云开发环境快速试用 NemoClaw,而不必先配置本地环境。
快速开始
NemoClaw 需要 Ubuntu 22.04 LTS 或更新版本、Node.js 20+、npm 10+ 和 Docker。最低硬件要求是 4 vCPU 和 8 GB RAM,推荐 16 GB RAM 和 40 GB 磁盘空间。
安装命令如下:
1 | curl -fsSL https://nvidia.com/nemoclaw.sh | bash |
然后运行初始化向导:
1 | nemoclaw onboard |
完成设置后的常用命令包括:
1 | nemoclaw <name> connect |
这些命令分别用于进入沙箱 shell、查看健康状态、流式查看日志,以及监控和审批访问请求。
使用 NVIDIA 云端推理时,需要来自 build.nvidia.com 的 NVIDIA API key。沙箱镜像约为 2.4 GB compressed。
译者注:由于 NemoClaw 仍处于 alpha 阶段,实际安装命令、依赖版本和 CLI 名称可能随版本变化。正式使用前应以 NVIDIA 官方文档为准。
NemoClaw 在 NVIDIA 生态中的位置
NVIDIA 正在构建面向 agentic AI 的完整栈,NemoClaw 是其中一部分。
- NVIDIA NeMo:模型训练和定制平台。
- NVIDIA Nemotron:基础模型,也就是 Agent 的“脑”。
- NVIDIA OpenShell:安全运行时,也就是隔离墙。
- NVIDIA Agent Toolkit:面向 Agent 性能的优化工具。
- NVIDIA AI-Q:推理 Agent 构建工具。
NemoClaw 不强绑定硬件,但针对 NVIDIA GPU 做了优化。GeForce RTX、RTX PRO、DGX Spark 和 DGX Station 都能获得更好的集成体验。如果你使用 NVIDIA 硬件,NemoClaw 可以原生集成;如果不是,也可以运行,只是无法获得 GPU passthrough 等优化。
需要关注的问题
NemoClaw 仍处于 alpha 阶段。NVIDIA 官方文档也提示,后续版本可能出现破坏性变化。但方向已经很清楚:自治 Agent 需要安全基础设施,而不仅仅是应用层 guardrails。
需要持续关注的点包括:
- 生产可用性:NemoClaw 需要从 alpha 走向稳定版,当前没有明确稳定版时间表。
- NVIDIA 云端推理定价:通过
build.nvidia.com使用 Nemotron API 的具体价格仍需关注。 - Windows 和 macOS 支持:当前主要面向 Ubuntu,这会限制部分开发者采用。
- 社区增长:企业采用很大程度取决于开源社区和生态集成的持续发展。
原文提到,一家新加坡 fintech 公司已经试点 NemoClaw 做自动化代码审查 Agent,审计链路是其合规团队批准试点的重要原因。
你应该使用 NemoClaw 吗
如果你已经在使用 OpenClaw,NemoClaw 是生产化路线中值得关注的下一步。它在不显著改变 Agent 工作方式的前提下,增加了安全边界。
如果你第一次评估自治 Agent,也可以直接从 NemoClaw 开始,而不是经历“先给 Agent 无限权限,再想办法收紧权限”的阶段。
如果你的行业受到合规约束,NemoClaw 的审计链路和 policy-as-code 模型会让合规沟通更容易。
GTC 2026 的 “Build-a-Claw” 活动展示了上手流程:参与者定义 Agent 的人格特征、授予特定工具访问权限,并部署可通过消息应用访问的功能型助手。所有这些都运行在 NemoClaw 安全框架内。
如果你的团队正在使用自治 Agent,或计划引入这类系统,NemoClaw 值得认真研究。Agent 能力与企业可接受风险之间的缺口,是 agentic AI 落地的主要瓶颈之一。NemoClaw 的目标就是缩小这个缺口。
参考资料
- NVIDIA NemoClaw Developer Guide
- NVIDIA NemoClaw Overview
- NemoClaw Quickstart with OpenClaw
- NVIDIA Announces NemoClaw for the OpenClaw Community
- Introducing Nemotron 3 Super
- 原文:NVIDIA NemoClaw: How It Works, Use Cases & Features [2026]
本文由 AI 辅助生成,如有错误或建议,欢迎指出。
