Nvidia NemoClaw: OpenShell向けOpenClawプラグイン

 (github.com/NVIDIA)
1 ポイント 投稿者 GN⁺ 2026-03-19 | 1件のコメント | WhatsAppで共有
  • OpenClawエージェントを安全にインストールして実行するためのNVIDIAのオープンソースプラグインで、OpenShellランタイムをベースにしたセキュアなサンドボックス環境を提供
  • NVIDIA OpenShellNemotronモデルをインストールし、すべてのネットワークリクエスト・ファイルアクセス・推論呼び出しをポリシーベースで制御する構成
  • インストールスクリプトで簡単に環境を構築でき、CLIとTUIインターフェースを通じてサンドボックス内のエージェントと直接やり取り可能
  • 推論リクエストはサンドボックス外へ直接出ず、NVIDIA Cloud APIを通じて安全にルーティングされ、ローカル推論(Ollama、vLLM)は実験的サポート段階
  • セキュリティ層、ポリシー制御、自動化されたオンボーディングを統合し、自律型AIエージェントを安全にデプロイ・運用したい開発者にとって重要な基盤を提供

概要

  • NemoClawは、OpenClawベースの常時稼働型AIアシスタントを安全に運用するためのNVIDIAオープンソーススタック
    • OpenShellランタイムをインストールし、NVIDIA Agent Toolkit環境でセキュアなサンドボックスを構成
    • 推論はNVIDIA Cloudを通じてルーティングされ、すべての実行はポリシーベースで管理される
  • 現在は**アルファ(Alpha)**段階で、インターフェースとAPIは変更される可能性があり、本番環境ではまだ推奨されない

クイックスタート (Quick Start)

  • インストール前の要件として、**Ubuntu 22.04以降、Node.js 20+、npm 10+**およびコンテナランタイムが必要
  • ハードウェアの最小要件は4 vCPU、8GB RAM、20GBのディスク容量、推奨要件は16GB RAM以上
  • インストールコマンド例: 
    curl -fsSL https://www.nvidia.com/nemoclaw.sh | bash
    • インストール後はnemoclaw my-assistant connectコマンドでサンドボックスに接続可能
  • インストール完了後の環境サマリーには、サンドボックス名、モデル、ステータス確認コマンドなどが表示される

エージェントとの相互作用

  • TUI(テキストUI)またはCLIを通じてOpenClawエージェントと対話可能
    • TUIは対話型のメッセージ交換に適している
    • CLIは長い応答(例: コード生成結果)をターミナルへ直接出力する
  • 例のコマンド: 
    openclaw agent --agent main --local -m "hello" --session-id test

仕組み (How It Works)

  • NemoClawはOpenShellランタイムとNemotronモデルをインストールし、バージョン管理されたブループリントを通じてサンドボックス環境を構成
  • 主な構成要素:
    • Plugin: TypeScriptベースのCLIコマンド(launch、connect、statusなど)
    • Blueprint: Pythonアーティファクトで、サンドボックス作成・ポリシー・推論設定を管理
    • Sandbox: OpenShellコンテナで、ネットワーク・ファイルシステムアクセスをポリシーで制限
    • Inference: NVIDIA Cloud APIを通じたモデル呼び出し
  • エラー発生時はnemoclaw <name> statusまたはopenshell sandbox listで状態を確認できる

推論 (Inference)

  • すべての推論リクエストはサンドボックス内部からNVIDIA Cloud Providerへルーティングされる
    • デフォルトモデル: nvidia/nemotron-3-super-120b-a12b
    • 利用にはNVIDIA API Keyが必要
  • ローカル推論(Ollama、vLLM)は実験的で、macOSではOpenShellホストルーティング対応が必要

保護レイヤー (Protection Layers)

  • NemoClawは4つのセキュリティレイヤーを通じてサンドボックス隔離を強化
    レイヤー 保護対象 適用タイミング
    Network 不正な外部接続を遮断 ランタイム中
    Filesystem /sandbox, /tmp以外へのアクセスを遮断 作成時
    Process 権限昇格および危険なsyscallを遮断 作成時
    Inference モデルAPI呼び出しを制御されたバックエンドへルーティング ランタイム中
  • 未承認のホストアクセスがあると、OpenShellがリクエストを遮断してTUIに表示する

主なコマンド (Key Commands)

  • ホストコマンド (nemoclaw)
    • nemoclaw onboard: 対話型インストールウィザードを実行
    • nemoclaw <name> connect: サンドボックスに接続
    • nemoclaw start/stop/status: サービス管理
  • プラグインコマンド (openclaw nemoclaw)
    • openclaw nemoclaw launch: OpenShellサンドボックス内でOpenClawをブートストラップ
    • openclaw nemoclaw status: 状態とブループリントを確認
    • openclaw nemoclaw logs: ログをストリーミング表示
  • プラグインコマンドは開発中で、現時点ではnemoclaw CLIの利用が推奨される

ドキュメントとライセンス

  • 公式ドキュメント: docs.nvidia.com/nemoclaw/latest
    • ArchitectureNetwork PoliciesCLI CommandsTroubleshootingなどの詳細項目を提供
  • ライセンス: Apache License 2.0
  • プロジェクトはNVIDIA OpenClawの安全なインストール用プラグインとして明記されている

関連記事

1件のコメント

 
GN⁺ 2026-03-19
Hacker Newsの意見

  • みんながOpenClawについて話すとき、なぜ全員がsandboxの話ばかりするのかわからない
    まるで犬に重要書類を渡して、それを食べるのを心配して犬と書類を一緒に檻に入れるようなものだ
    結局、実用的にするにはメールやカレンダーのようなサービスに接続する必要があるが、それが同時に混乱と破壊を招く
    Nvidiaが推論を直接処理するからといって、より安全になるのか疑問だ。彼らのハードウェアが私のメール削除を防いでくれるわけではない

    • こういう犬はMalinoisみたいなもので、止めようとしても結局侵入する
      実際、ボットを一晩動かしておいたらネットワーク全体が突破された事例もある
      sandboxで制限された予算やアカウントだけを与えるのは構わないが、これらのエージェントには一貫した意識がない
      インターネット上でどんなテキストに触れるかによって、完全に見当違いな方向へ行ってしまうことがある
      今のClawボットは有用なツールというより代替現実RPGに近い
      安全なバージョンが出るまで待つのが賢明だと思う
    • あなたの言うことは正しいが、devil’s advocateとして見れば
      Claw-agentを完全に危険な形で使わなくても一部の機能を得る方法はある
      たとえばGmailでは新しいアカウントを作ってメールを転送し、カレンダーはFamily Sharingで共有する
      こうすればClawがメールを読み、予定にアクセスできても、実際のアカウントを壊すことはできない
      ただ、ここまでして得られる効用に価値があるかは疑問だ
      安全なClawはほとんど役に立たず、役に立つClawは安全ではない
    • 数週間にわたってClawのセキュリティ構造を深く掘り下げたが、sandboxは有用である一方で悪夢のような存在だ
      設定実験中、誤ったsandbox構成のせいでOpusが脱出を試み、20ドルのAPI料金が請求された
      数百万トークンと130回のツール呼び出しの末にsandboxを抜け出した
      今は各エージェントがアクセスできるツールとデータをsandboxで分離して使っている
      有用だが扱いが難しい構造だ
    • ここで異なる点はOpenShell gateway override
      NemoClawはOpenShellランタイムとNemotronモデルをインストールし、宣言的ポリシーであらゆるネットワークリクエストとファイルアクセスを制御する
      つまり、ハードウェア自体ではなくOpenShell gatewayとネットワークポリシーの組み合わせが核心だ
      Nvidiaがこうした構造を作った理由は、GPUレンタル型のモデル配備エコシステムを作ろうとする戦略に見える
    • 多くのOpenClawユーザーはすべてのアクセス権を与えてはいない
      たとえばサービス可用性を維持するエージェントなら、GitHub PR権限と再起動権限くらいしか与えない
      つまり、意図的で制限されたアクセスが核心だ
      「すべてを与えないと有用にならない」というのは藁人形論法だ

  • 完全自律型エージェント生態系は常識が消えた感じ
    タイタニックの機関室を補強することに、すべてのエンジニアリング努力を注ぎ込んでいるように見える
    国家支援ハッカーがプロンプトインジェクションのゼロデイを発見したら、どれだけ隔離しても意味がない
    結局、問題はアクセス権そのものだ
    これは80年代のコンドームなしのフリーラブと同じだ。遠くから見れば面白いが、結局は危険だ

    • フリーラブは60〜70年代で、80年代にはAIDSと依存症が来た
      AIにもそういう時点がもうすぐ来ると思う
    • 実際にはCPU、OS、ファームウェア、ネットワーク機器、さらにはSIMカードJVMまで全部突破され得る
      脅威のスケールがまったく別次元だ
    • 結局、こういうシステムを作った人たちと同じ世界に住んでいる以上、その結果を私たちも一緒に被ることになる
    • ほとんどの人は国家ハッカーを心配していない
      すでにクラウドに自分の人生をさらしているのだから
    • タイタニックの冗談は面白いが、結局はリスク許容度の問題だ
      完全なアクセスの代わりに、制限された範囲で有用性を探るのが現実的だ
      保護手段のあるフリーラブのように、適切なバランスが必要だ

  • 「推論リクエストがsandboxを直接抜け出さない」という部分が興味深かった
    OpenShellがすべての呼び出しを横取りしてNvidiaクラウドへルーティングする
    結局、NvidiaがOpenClawのデフォルト計算プロバイダーになろうとする戦略のようだ
    成功すればかなり大きな推論収益を持っていけるだろう

    • 収益ではなくデータが核心なのかもしれない
    • 根本問題は安全なインストールではなく、LLMにすべてのアクセスを与える構造そのものだ
      このプロジェクトは本当の問題を解決していない
    • その通り。でも一般ユーザーはこういうものを使わないだろう
      結局はGoogle版が出て市場を取るはずだ

  • NemoClawは事実上、Nvidiaクラウドへ誘導するトロイの木馬
    OpenShellが細かな実行・ネットワーク制御を提供する一方で、すべてのLLMリクエストをNvidiaクラウドにプロキシする
    他のプロバイダーも使えるかもしれないが、ドキュメントには方法がない
    マーケティング的に非常に巧妙な一手

  • 「NVIDIA NemoClaw installs…」という文言を見て笑ってしまった
    もうNVIDIA冷蔵庫でサンドイッチを食べて、NVIDIA自動車に乗って、NVIDIA商店に行く気分だ

  • キャリア初期の誰かがこれをリリースしたという点が印象的だった
    最近、初級エンジニアによる高品質なAIプロジェクトが急増しているのが興味深い

    • 経験を積むとかえって恐れや先入観が生まれて挑戦しにくくなる
      一方、新人は知らないことが多いぶん大胆に試す
      「週末プロジェクト」として始めたものが、2年後に完成品になることも多い
      素朴さが時に強みになる
    • GitHubコントリビューター一覧を見ると4人とも熟練した開発者だ
      なぜ初心者だと思ったのか気になる
    • 今ではAIチームを編成してシニア級の問題を解ける
      重要なのは経験より調整能力
    • 「初心者が作ったから何がすごいんだ」という疑問もある
    • 2〜3年前と比べてまったく別の世代が現れている
      彼らは「直接コーディングする」よりシステムを回して結果を確認する発想を持つ
      21歳の開発者は20の方向を並列で試し、シニアはいまだに完璧な設計を考えている
      結局、若い世代が速度と適応力で圧倒する
      起業家たちは24歳以上の開発者を減らし、若い人材に置き換えつつある
      多項式的思考では指数的な時代に追いつけない

  • これはKubernetesをVMの中で動かす構造で、企業向けだ
    sandboxとポリシー機能は良いが、Docker Composeレベルの軽さが必要だ

  • Clawというジャンル自体に懐疑的だ
    特にサーバーに報告するクローズドなClawはなおさら疑わしい

    • それはまるでクローズドソフトウェアの用途を問うようなものだ

  • 正直、これ全部が狂った発想に見える
    Claudeのようなモデルを使うとしても、常に人間がレビューすべきだ
    AIはいつでも妙な方向に変わり得る
    どれだけ信頼する秘書でも、自分の名前で出るコンテンツは確認したい
    Clawはこうした基本的な常識を無視した構造だ
    メール、カレンダー、スマホへのアクセスを全面許可するのはセキュリティ災害
    プロキシアカウントであっても、結局は私の名前で行動する
    しかも本当に私はそこまで忙しいのか? 別に必要ない

    • それならエージェントに自分の名前とアカウントを与えて、独立して行動させればいい

  • コミット履歴を見ると、発表の2日前に作業が始まったように見える
    設計文書はあったが、実装は最初から作り直したよう

    • こういうGitHubリポジトリが突然生まれるわけではない
      内部ですでに開発を終え、公開用に移した可能性が高い
    • Clawの概念は単純だ。AIを使えば週末の間に100ドル程度のトークンでも作れる
      私も実際にやってみた