北京
安全团队有个黑色幽默: demo做得越漂亮的AI代理,上线后捅的篓子越大。NemoClaw的出现,像是给这个笑话写了个正经的解决方案。
英伟达在2026年3月16日把它丢进alpha预览,警告说接口还会变。但就是这个半成品,已经暴露出一个反常识的行业现状——我们花了三年教AI做事,却刚想起来教它规矩。
三层架构:谁管什么,终于分清楚了
NemoClaw不是又一个套壳大模型。它是一套"参考技术栈",核心任务只有一个:让OpenClaw这个AI助手,在OpenShell的沙箱里规矩运行。
三层分工拆得很干净:
OpenClaw——助手本体,工具调用、记忆、行为逻辑全在里面。
OpenShell——执行环境,管沙箱生命周期、凭据网关、推理代理、策略强制执行。
NemoClaw——中间的"胶水",负责把OpenClaw正确安装进OpenShell,配置好,运营起来。
这个区分很重要。NemoClaw没想取代OpenClaw,它想让OpenClaw在真实服务器上"活"得下去。不是demo环境,是生产环境。
原文有个直白的判断:如果你只要个一次性demo,原生OpenClaw更快;如果你想要个"像属于这台机器"的东西,NemoClaw是更严肃的选择——它的默认配置是给运维人员用的,不是给截图用的。
默认即安全:四个真正改变操作的功能
功能清单不值钱,值钱的是清单上的东西能不能改变你的工作流。NemoClaw这几项做到了:
网络出口控制(策略化)
不是"能上网/不能上网"的二选一。是基于策略的细粒度控制,代理想调哪个API、走哪个域名,规则先行。 rushing的时候最难拒绝的,就是"先放开权限调通再说";NemoClaw让安全路径成为阻力最小的路径。
文件系统隔离
代理能看到什么、能写什么,边界清晰。不是事后审计发现"它怎么读了那个目录",是事前就进不了。
进程权限最小化
容器内的代理以什么身份运行、能fork什么进程,默认收紧。攻击面从"整台机器"压缩到"这个沙箱里的这个进程"。
模型路由代理
推理请求不直连模型端点,走OpenShell的代理层。这意味着你可以审计、可以切换、可以限流,而不需要在代理代码里改配置。
这四项的共同点是:它们都是day-zero默认,不是后期补丁。安装NemoClaw的时候,这些就已经在那了。
什么时候该用,什么时候不该
原文列了三个典型场景,都很务实:
跑一个常驻后台的助手,但网络出口受控;
在放宽权限之前,先 sandbox 里测一遍代理行为;
把沙箱化的助手推到远程GPU主机上长期运行。
反过来,如果你只是想要个"让老板wow一下"的demo,OpenClaw的快速入门指南更快。NemoClaw的代价是多几步配置,换来的是多几层保险。
这个 trade-off 本身就在传递产品哲学:安全不是功能,是架构。
alpha 标签的诚实,反而稀缺
英伟达在文档里埋了一句硬话:把NemoClaw当"严肃的实验室工具"用,别当"成品家具"。接口会变,行为会变,现在上车的人是在陪跑开发。
这种诚实反而少见。AI infra 领域充斥着把预览版包装成生产就绪的营销。NemoClaw的alpha标签,至少帮用户做对了预期管理。
一个细节:文档建议想深入的人,先去读AI Systems hub和OpenClaw系统概览。这说明NemoClaw不是独立产品,是生态位产品——它存在的意义,是让另一个产品(OpenClaw)在特定环境(OpenShell)里正确运行。
为什么2026年需要这个
AI代理的部署正在从"实验"转向"常驻"。常驻意味着:它会在你睡觉的时候运行,会在你休假的时候运行,会在你离职之后还在运行。
一个常驻的、有工具调用能力的、能访问网络的进程,如果没有沙箱和策略控制,本质上是个定时炸弹。不是恶意设计,是复杂系统的必然——权限累积、边界模糊、事后审计追不上事前风险。
NemoClaw的解法很工程:不解决"AI会不会变坏",解决"AI变坏的时候能造成多大破坏"。隔离、策略、路由,三层纵深。不是信任模型,是限制模型。
这个思路在2026年变得紧迫,因为" always-on assistant "正在从概念变成标配。客服代理、代码审查代理、监控告警代理,7×24小时挂在服务器上。每个都是潜在的横向移动跳板,如果它们共享宿主机权限的话。
数据收束
英伟达给NemoClaw的alpha预览启动日期是2026年3月16日,没有公布下载量或采用率。但文档里有个值得注意的自我定位:不是"另一个LLM代理包装器",而是"在沙箱化OpenShell容器内运行always-on OpenClaw助手的参考技术栈"。
这个定位的微妙之处在于,它假设了一个前提——用户已经接受"代理必须关在笼子里"这件事。2024年的主流叙事还是"让AI尽可能多访问数据才能更智能",2026年的基础设施已经开始反向操作。
NemoClaw的发布,把这个反向操作变成了默认配置。不是可选插件,是安装即生效。对于要在生产环境跑AI代理的团队来说,这种"不得不安全"的设计,可能比任何安全审计都管用。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
