~/blog/nemoclaw-what-it-is-why-it-exists

NemoClaw · part 1

[AI Agent] NemoClaw 是什麼、為什麼存在、怎麼運作的

2026-03-232 分鐘閱讀#nemoclaw#openclaw#openshell#ai-agentEnglish

OpenClaw 在我的本地 Mac 上跑了一段時間,扮演個人 AI agent。GTC 2026 NVIDIA 宣布了 NemoClaw,第一眼看起來像是換個名字的同一個東西。但它不是。

TL;DR

NemoClaw(v0.1.0,GTC 2026)把 OpenClaw agent core + OpenShell 安全沙箱 + NVIDIA Agent Toolkit 打包成一個框架。關鍵新增是 OpenShell:一個在使用者和 agent 之間執行政策的層,沙箱化檔案存取、限制工具執行。沒有它,OpenClaw 是個能幹但寬鬆的 agent runtime;有了它,OpenClaw 才能部署在你不能完全信任 agent 自我限制的場景。

NemoClaw 實際上是什麼

NemoClaw 是三件東西的組合:

  1. OpenClaw — 開源 AI agent 框架。處理 agent loop:工具呼叫、推理、記憶體、對話上下文。用過的話,感覺類似 LangGraph 或 AutoGen,但更專注在本地/私有推理。

  2. OpenShell — 坐在 OpenClaw 前面的安全沙箱層。作為獨立 process 執行(預設 port 8080),攔截所有 agent 發起的工具呼叫。檔案系統存取被限制在 /sandbox/tmp。不在政策許可清單裡的指令,在到達 agent core 之前就被擋掉。

  3. NVIDIA Agent Toolkit — NVIDIA 維護的整合套件:Nemotron 模型連接器、工具轉接器、onboarding 鷹架。

簡短版:NemoClaw = OpenClaw + 圍欄層 + NVIDIA 電池。

為什麼這個東西需要存在

OpenClaw 在 NemoClaw 出現之前就已經開源了。今天你不需要 NemoClaw 就可以跑它。那 NemoClaw 為什麼要存在?

直接說:OpenClaw 本身沒有安全邊界。Agent 可以讀檔案、執行 shell 指令、發網路請求——只受你定義的工具限制。個人使用沒問題。但如果你要給 agent 一個真實的檔案系統,或讓它代表別人行動,這就是問題。

OpenShell 就是這個問題的答案。它強制 agent 在一個定義好的範圍內運作。沙箱限制不是「我們建議你縮小範圍」——它在 gateway 層強制執行。Agent 沒有協商的餘地。

NVIDIA Agent Toolkit 則把這些包成工具,讓你不用自己寫基礎架構就能從零跑到一個有政策保護的 agent。

所以 NemoClaw 真正回答的問題不是「我怎麼跑一個 agent」——而是「我怎麼跑一個可以實際交給別人的 agent」。

架構:它怎麼運作

NemoClaw 的請求流程:

使用者 / Client
    ↓
OpenShell Gateway  (port 8080)
    │  - 政策強制執行
    │  - 檔案存取限制(只允許 /sandbox, /tmp)
    │  - 工具許可清單
    ↓
OpenClaw Agent Core
    │  - agent loop
    │  - 工具執行
    │  - context 管理
    ↓
推理後端
    │  - Nemotron(NVIDIA 雲端,需要帳號)
    └─ 或本地 vLLM endpoint(例如 port 8000 的 qwen3.5-35b)

OpenShell 不是可選的鷹架——它是預設的入口點。NemoClaw CLI(nemoclaw onboard)一起設定兩層。設計上不打算讓你繞過它直接跟 OpenClaw 說話。

推理後端是可換的。NemoClaw 預設走 Nemotron 雲端(需要付費 NVIDIA 帳號),但設定檔接受任何 OpenAI 相容的 API endpoint。指向本地 vLLM instance 可以跑,這是下一篇要講的事。

這次學到了什麼

花最多時間的地方: 在文件裡把 OpenClaw 和 NemoClaw 分清楚。NVIDIA 的發布資料把它們當成一件事講。差異要等到你問「NemoClaw 比 OpenClaw 多了什麼」才會浮出來——而答案完全就是 OpenShell。

可以帶走的診斷方式: 當一個工具被描述為「基於 X 打造」,有趣的問題永遠是包裝層加了什麼,而不是它繼承了什麼。NemoClaw 的情況是,包裝層就是整個安全故事。拿掉它,你回到一個沒有部署邊界的通用 agent。

到處都適用的那個規律: 開源 agent 框架 + 圍欄層,是每個想從個人使用跨到「可以交給別人用」的 agent 工具都會走的路。NemoClaw 不是第一個這樣做的,而 OpenShell 的具體形狀(gateway process、policy 檔、scoped filesystem)值得記下來,做為設計同類東西的參考點。

下一步

GX10 上的安裝過程和實際踩到的坑,放在 Part 2——包括把 NemoClaw 指向本地 vLLM 而不是 Nemotron 雲端。

本系列其他文章:Part 2 — NemoClaw Onboard:指向本地 vLLM 而不是 Nemotron 雲端(即將發布)

← 返回文章列表