Primeros Pasos con NemoClaw en DGX Spark
El NVIDIA DGX Spark es la plataforma de desarrollo ideal para NemoClaw. Con su arquitectura Grace Blackwell que incluye 128GB de memoria unificada y hasta 1 petaflop de cómputo de IA, un solo DGX Spark puede ejecutar todo el stack de NemoClaw — incluyendo Nemotron 120B MoE — localmente en tu escritorio.
Este tutorial te guía a través del proceso completo de configuración, desde el desempaquetado hasta la ejecución de tu primer blueprint de agente seguro.
Requisitos Previos
- •NVIDIA DGX Spark (o cualquier sistema con una GPU NVIDIA con 24GB+ de VRAM para el modelo cuantizado)
- •Ubuntu 22.04 LTS o posterior (DGX OS viene preinstalado en Spark)
- •Docker 24.0+ con NVIDIA Container Toolkit
- •50GB de espacio libre en disco para modelos y contenedores
Paso 1: Instalar el CLI de NemoClaw
El CLI de NemoClaw es la interfaz principal para gestionar el stack. Instálalo mediante el instalador oficial:
# Download and run the NemoClaw installer
curl -fsSL https://github.com/NVIDIA/NemoClaw | bash
# Verify installation
nemoclaw version
# Output: nemoclaw v1.0.0-preview (built for linux/arm64)
# Initialize NemoClaw in your project directory
mkdir my-first-agent && cd my-first-agent
nemoclaw init
El comando nemoclaw init crea la estructura del proyecto:
my-first-agent/
├── nemoclaw.yaml # Main configuration
├── policies/
│ ├── sandbox.yaml # OpenShell sandbox policies
│ ├── network.yaml # Network access policies
│ └── privacy.yaml # Privacy Router configuration
├── blueprints/
│ └── starter.yaml # Default agent blueprint
└── scripts/
├── setup.sh # Environment setup script
└── test-agent.sh # Agent smoke test
Paso 2: Configurar el Stack
Edita nemoclaw.yaml para configurar tu despliegue:
# nemoclaw.yaml
apiVersion: nemoclaw.nvidia.com/v1
kind: NemoClawConfig
metadata:
name: my-first-deployment
spec:
# Model configuration
model:
provider: local
name: nemotron-120b-moe
quantization: int4 # Use INT4 for DGX Spark
gpuLayers: all
# OpenShell configuration
openshell:
enabled: true
isolationLevel: standard # standard | strict | paranoid
auditLog: true
# Privacy Router configuration
privacyRouter:
enabled: true
defaultRoute: local
cloudEndpoints: [] # No cloud endpoints for local-only setup
# Network Policy Engine
networkPolicy:
enabled: true
defaultAction: deny
allowlist:
- "*.internal.company.com"
# Agent configuration
agent:
framework: openclaw
version: "3.13"
maxConcurrentTasks: 8
Paso 3: Descargar el Modelo Nemotron
NemoClaw utiliza Nemotron 120B MoE como su motor de evaluación de políticas. En DGX Spark, usamos la variante cuantizada INT4 que cabe cómodamente en los 128GB de memoria unificada:
# Pull the Nemotron model (approximately 35GB)
nemoclaw model pull nemotron-120b-moe-int4
# Verify the model is ready
nemoclaw model list
# Output:
# NAME SIZE STATUS
# nemotron-120b-moe-int4 34.7GB ready
Para sistemas con menos memoria, NemoClaw también soporta modelos más pequeños:
# Alternative: Nemotron 8B for systems with 24GB VRAM
nemoclaw model pull nemotron-nano-4b
Paso 4: Iniciar el Entorno de Ejecución de NemoClaw
Lanza el stack completo con un solo comando:
# Start all NemoClaw services
nemoclaw up
# Output:
# ✓ OpenShell runtime started (kernel modules loaded)
# ✓ Nemotron 120B MoE loaded (34.7GB, 4-bit quantized)
# ✓ Privacy Router initialized (local-only mode)
# ✓ Network Policy Engine active (deny-by-default)
# ✓ OpenClaw agent framework ready
#
# NemoClaw is running at http://localhost:7860
# Dashboard: http://localhost:7860/dashboard
# API: http://localhost:7860/api/v1
El panel de control proporciona visibilidad en tiempo real sobre la ejecución de agentes, evaluaciones de políticas y eventos de seguridad.
Paso 5: Desplegar Tu Primer Blueprint
Los blueprints son plantillas de agentes preconfiguradas con políticas de seguridad integradas. Vamos a desplegar el blueprint de Soporte al Cliente:
# List available blueprints
nemoclaw blueprint list
# Output:
# NAME DESCRIPTION SECURITY LEVEL
# customer-support Tier-1 support ticket handling standard
# sales-ops CRM and sales automation standard
# security-ops Alert triage and remediation strict
# infra-management Cloud resource management strict
# code-review PR analysis and vulnerability scan standard
# data-pipeline ETL orchestration standard
# Deploy the customer support blueprint
nemoclaw blueprint deploy customer-support
- •Política de sandbox OpenShell (restringe el acceso al sistema de archivos y red)
- •Reglas de política Nemotron (detección de PII, clasificación de intenciones)
- •Lista de permitidos de red (solo endpoints de API aprobados)
- •Flujo de aprobación del operador (escalamiento para reembolsos, cambios de cuenta)
Paso 6: Probar Tu Agente
Envía una solicitud de prueba a tu agente seguro:
# Send a test message to the agent
nemoclaw agent test --blueprint customer-support \
--message "Customer John Smith (ID: 12345) is asking about their recent order #ORD-9876. They want to know the delivery status."
# Output:
# ┌──────────────────────────────────────────────┐
# │ NemoClaw Security Report │
# ├──────────────────────────────────────────────┤
# │ Policy Evaluation: PASS (45ms) │
# │ Intent Classification: customer-inquiry │
# │ Data Sensitivity: internal │
# │ Model Route: local (nemotron-120b) │
# │ Sandbox: cs-agent-sandbox-001 │
# │ Network Access: crm.api, orders.api │
# │ PII Detected: name, customer-id │
# │ PII Action: redacted-from-logs │
# │ Approval Required: no │
# ├──────────────────────────────────────────────┤
# │ Agent Response: │
# │ "I've checked order #ORD-9876 for the │
# │ customer. The order shipped on March 18 │
# │ via FedEx (tracking: FX123456789). Expected │
# │ delivery is March 21." │
# └──────────────────────────────────────────────┘
- •Clasificó la intención como una consulta rutinaria de cliente
- •Detectó PII (nombre del cliente e ID) y lo redactó de los registros
- •Enrutó la solicitud al modelo local Nemotron
- •Otorgó acceso de red solo a las APIs de CRM y pedidos
- •Determinó que no se requería aprobación humana
Paso 7: Monitorear con el Panel de Control
Abre http://localhost:7860/dashboard en tu navegador para acceder al panel de monitoreo de NemoClaw. Las características principales incluyen:
- •Flujo de eventos en tiempo real — cada acción del agente, evaluación de política y decisión de seguridad
- •Alertas de violación de políticas — notificación instantánea cuando un agente intenta acciones no autorizadas
- •Registro de auditoría — registro completo e inmutable de todas las actividades del agente
- •Métricas de rendimiento — latencia, rendimiento y utilización de recursos
- •Cola de aprobación — solicitudes de aprobación humana pendientes para acciones de alto riesgo
Patrones de Configuración Comunes
Conexión a APIs Externas
Para permitir que tu agente acceda a servicios externos, actualiza la política de red:
# policies/network.yaml
networkPolicy:
egress:
allow:
- domain: "api.zendesk.com"
methods: [GET, POST, PUT]
headers:
required: ["Authorization"]
- domain: "api.stripe.com"
methods: [GET] # Read-only access to payment data
Configuración de Aprobación del Operador
Configura flujos de aprobación para operaciones sensibles:
# policies/sandbox.yaml
approvalWorkflow:
enabled: true
rules:
- action: "refund.process"
condition: "amount > 100"
approvers: ["support-leads"]
channel: "slack"
timeout: "10m"
- action: "account.modify"
condition: "always"
approvers: ["account-managers"]
channel: "teams"
timeout: "15m"
Habilitar el Enrutamiento de Modelos en la Nube
Para tareas no sensibles, puedes habilitar el enrutamiento de modelos en la nube para un mejor rendimiento:
# policies/privacy.yaml
privacyRouter:
defaultRoute: local
cloudEndpoints:
- name: "nvidia-nim"
url: "https://build.nvidia.com"
apiKey: "${NVIDIA_API_KEY}"
allowedSensitivity: ["public", "internal"]
Solución de Problemas
El módulo del kernel de OpenShell no se carga
# Check kernel module status
nemoclaw diagnose openshell
# If using a custom kernel, ensure eBPF is enabled
# and the kernel version is 5.15+
El modelo no cabe en memoria
# Check available GPU memory
nemoclaw diagnose gpu
# Switch to a smaller quantization or model
nemoclaw model pull nemotron-120b-moe-int2 # Smaller but less accurate
nemoclaw model pull nemotron-nano-4b # Much smaller
Próximos Pasos
Ahora tienes un despliegue de NemoClaw completamente operativo en tu DGX Spark. A partir de aquí, puedes:
- 1.Personalizar las políticas de seguridad para tu caso de uso específico
- 2.Construir blueprints personalizados para los flujos de trabajo de agentes de tu organización
- 3.Integrarte con tus herramientas existentes de SIEM y observabilidad
- 4.Escalar al despliegue multinodo usando el modo Clúster de NemoClaw
Consulta el próximo artículo de esta serie para una inmersión profunda en el entorno de ejecución de seguridad de OpenShell.