NemoClaw 是什麼？跟 OpenClaw 有什麼不同？

NemoClaw 是 NVIDIA 在 GTC 2026 發布的一鍵 AI Agent 框架（v0.1.0）。它把 OpenClaw（開源 agent runtime）、OpenShell（在 gateway 層強制執行檔案系統和工具限制的安全沙箱）、和 NVIDIA Agent Toolkit 打包在一起。跟單獨用 OpenClaw 最大的差別就是 OpenShell——沒有它，OpenClaw 沒有安全邊界。

OpenShell 在 NemoClaw 裡做什麼？

OpenShell 是一個安全沙箱層，自己跑成獨立 process（預設 port 8080），夾在使用者和 OpenClaw agent core 中間。agent 要呼叫工具都得先過它,規則是:檔案系統存取限制在 /sandbox 和 /tmp，只有 allowlist 裡的指令可以執行。Agent 無法繞過或協商這些限制。

NemoClaw 可以用本地模型而不是 NVIDIA 雲端嗎？

可以。NemoClaw 的推理後端接受任何 OpenAI-compatible API endpoint。雖然預設走 Nemotron 雲端（需要付費 NVIDIA 帳號），但可以在每個 sandbox 的 config.yaml 裡改指向本地的 vLLM 或 Ollama instance。

NemoClaw 是開源的嗎？

是。NemoClaw、OpenClaw、OpenShell 都是開源的。OpenClaw 在 NemoClaw 出現之前就已經開源。NemoClaw 把它們跟 NVIDIA Agent Toolkit 整合和 onboarding 工具打包在一起。

NemoClaw 是什麼？NVIDIA 一鍵 AI Agent 框架完整解析

TL;DR

NemoClaw（v0.1.0，GTC 2026）把 OpenClaw agent core + OpenShell 安全沙箱 + NVIDIA Agent Toolkit 打包成一個框架。關鍵差別在 OpenShell：它夾在使用者跟 agent 中間，會照規則擋檔案存取、限制能跑的工具。沒有它，OpenClaw 是個能幹但寬鬆的 agent runtime；有了它，OpenClaw 才能部署在你不能完全信任 agent 自我限制的場景。

白話版：NemoClaw 到底在幹嘛？

如果你用過 ChatGPT 或 Claude，你已經知道 AI 能聊天、能回答問題。但「聊天」跟「幫你做事」之間有一道很大的鴻溝。你可以問 ChatGPT「怎麼整理照片」，它會告訴你步驟——但它不會真的幫你把硬碟裡的照片整理好。

NemoClaw 就是在補這個洞。它是 NVIDIA 在 2026 年 GTC 大會上發布的開源框架，就是想讓 AI 不只會說，還能動手做。讀你的檔案、執行指令、記住上次的對話——像一個住在你電腦裡的助手。

聽起來很厲害，但也很危險對吧？一個能讀寫檔案的 AI，如果失控怎麼辦？這就是 NemoClaw 跟「隨便裝一個 AI agent」最大的差別：它內建了一個叫 OpenShell 的安全沙箱。你可以把它想成是 AI 的活動範圍——AI 在範圍裡可以做任何事，但出不去。要讀哪些資料夾、能用哪些工具，全部由你定義。

我在自己的 NVIDIA DGX Spark（一台桌上型 AI 工作站）上裝了 NemoClaw，實際跑了一段時間。這篇文章會告訴你：它裡面到底有什麼東西、架構怎麼運作、以及值不值得裝。

NemoClaw 實際上是什麼

NemoClaw 是三件東西的組合：

OpenClaw — 開源 AI agent 框架。處理 agent loop：工具呼叫、推理、記憶體、對話 context。用過的話，感覺類似 LangGraph 或 AutoGen，但更專注在本地／私有推理。
OpenShell — 坐在 OpenClaw 前面的安全沙箱層。作為獨立 process 執行（預設 port 8080），攔截所有 agent 發起的工具呼叫。檔案系統存取被限制在 /sandbox 和 /tmp。不在政策許可清單裡的指令，在到達 agent core 之前就被擋掉。
NVIDIA Agent Toolkit — NVIDIA 維護的整合套件：Nemotron 模型連線器、工具轉接器、onboarding 鷹架。

簡短版：NemoClaw = OpenClaw + 護欄層 + NVIDIA 工具包。

為什麼會有這個東西

OpenClaw 在 NemoClaw 出現之前就已經開源了。今天你不需要 NemoClaw 就可以跑它。那 NemoClaw 為什麼要存在？

直接說：OpenClaw 本身沒有安全邊界。Agent 可以讀檔案、執行 shell 指令、發網路請求——只受你定義的工具限制。個人使用沒問題。但如果你要給 agent 一個真實的檔案系統，或讓它代表別人行動，這就是問題。

OpenShell 就是來解這個問題的。它會把 agent 鎖在你預先劃好的範圍裡。沙箱限制不是「建議你縮小範圍」——它在 gateway 層強制執行。Agent 沒有協商的餘地。

NVIDIA Agent Toolkit 則把這些包成工具，讓你不用自己寫基礎架構就能從零跑到一個有政策保護的 agent。

所以 NemoClaw 真正的重點不是「我怎麼跑一個 agent」——而是「我怎麼跑一個可以實際交給別人的 agent」。

架構：它怎麼運作

NemoClaw 的請求流程：

使用者 / Client
    ↓
OpenShell Gateway  (port 8080)
    │  - 執行政策
    │  - 檔案存取限制（只允許 /sandbox, /tmp）
    │  - 工具許可清單
    ↓
OpenClaw Agent Core
    │  - agent loop
    │  - 工具執行
    │  - context 管理
    ↓
推理後端
    │  - Nemotron（NVIDIA 雲端，需要帳號）
    └─ 或本地 vLLM endpoint（例如 port 8000 的 qwen3.5-35b）

OpenShell 不是可拔掉的東西——它是預設的入口點。NemoClaw CLI（nemoclaw onboard）一起設定兩層。設計上不打算讓你繞過它直接跟 OpenClaw 說話。

推理後端是可換的。NemoClaw 預設走 Nemotron 雲端（需要付費 NVIDIA 帳號），但設定檔接受任何 OpenAI 相容的 API endpoint。指向本地 vLLM instance 可以跑，這是下一篇要講的事。

這次學到了什麼

花最多時間的地方： 在文件裡把 OpenClaw 和 NemoClaw 分清楚。NVIDIA 的發布資料把它們當成一件事講。差異要等到你問「NemoClaw 比 OpenClaw 多了什麼」才會浮出來——而答案完全就是 OpenShell。

值得養成的習慣： 看到「built on X」這種說法時，真正該問的其實是包裝那層加了什麼，而不是它繼承了什麼。NemoClaw 的情況是，包裝那層就是整個安全機制的關鍵。拿掉它，你回到一個沒有部署邊界的通用 agent。

記住這一件事： 開源 agent 框架 + 護欄層，是每個想從個人使用跨到「可以交給別人用」的 agent 工具最後幾乎都得補上的東西。NemoClaw 不是第一個這樣做的，而 OpenShell 的具體做法（gateway process、policy 檔、scoped filesystem）值得記下來，以後自己做類似東西時很好參考。

下一步

GX10 上的安裝過程和實際踩到的坑，放在 Part 2——包括把 NemoClaw 指向本地 vLLM 而不是 Nemotron 雲端。

本系列其他文章：Part 2 — NemoClaw Onboard：指向本地 vLLM 而不是 Nemotron 雲端（即將發布）