Cómo Funciona NemoClaw

NemoClaw combina un plugin CLI ligero con un blueprint versionado para trasladar OpenClaw a un sandbox controlado. Esta página explica los conceptos clave sobre NemoClaw a un alto nivel.

Cómo Encaja Todo

El CLI nemoclaw es el punto de entrada principal para configurar y gestionar agentes OpenClaw aislados en sandbox. Delega el trabajo pesado a un blueprint versionado, un artefacto Python que orquesta la creación del sandbox, la aplicación de políticas y la configuración del proveedor de inferencia a través del CLI de OpenShell.

flowchart TB
    subgraph Host
        CMD["nemoclaw onboard"]
        PLUGIN[nemoclaw plugin]
        BLUEPRINT[blueprint runner]
        CLI["openshell CLI sandbox · gateway · inference · policy"]

        CMD --> PLUGIN
        PLUGIN --> BLUEPRINT
        BLUEPRINT --> CLI
    end

    subgraph Sandbox["OpenShell Sandbox"]
        AGENT[OpenClaw agent]
        INF[NVIDIA inference, routed]
        NET[strict network policy]
        FS[filesystem isolation]

        AGENT --- INF
        AGENT --- NET
        AGENT --- FS
    end

    PLUGIN --> AGENT

    classDef nv fill:#76b900,stroke:#333,color:#fff
    classDef nvLight fill:#e6f2cc,stroke:#76b900,color:#1a1a1a
    classDef nvDark fill:#333,stroke:#76b900,color:#fff

    class CMD,PLUGIN,BLUEPRINT nvDark
    class CLI nv
    class AGENT nv
    class INF,NET,FS nvLight

    style Host fill:none,stroke:#76b900,stroke-width:2px,color:#1a1a1a
    style Sandbox fill:#f5faed,stroke:#76b900,stroke-width:2px,color:#1a1a1a

Principios de Diseño

La arquitectura de NemoClaw sigue los siguientes principios.

Plugin delgado, blueprint versionado El plugin se mantiene pequeño y estable. La lógica de orquestación reside en el blueprint y evoluciona con su propia cadencia de lanzamiento.

Respetar los límites del CLI El CLI nemoclaw es la interfaz principal. Los comandos del plugin están disponibles bajo openclaw nemoclaw pero no anulan los comandos integrados de OpenClaw.

Seguridad de la cadena de suministro Los artefactos del blueprint son inmutables, versionados y verificados por digest antes de su ejecución.

Nativo de OpenShell para nuevas instalaciones Para usuarios sin una instalación existente de OpenClaw, NemoClaw recomienda usar openshell sandbox create directamente en lugar de forzar un arranque basado en el plugin.

Configuración reproducible Ejecutar la configuración nuevamente recrea el sandbox a partir del mismo blueprint y las mismas definiciones de política.

Plugin y Blueprint

NemoClaw se divide en dos partes:

  • El plugin es un paquete TypeScript que impulsa el CLI nemoclaw y también registra comandos bajo openclaw nemoclaw. Maneja la interacción con el usuario y delega el trabajo de orquestación al blueprint.
  • El blueprint es un artefacto Python versionado que contiene toda la lógica para crear sandboxes, aplicar políticas y configurar la inferencia. El plugin resuelve, verifica y ejecuta el blueprint como un subproceso.

Esta separación mantiene el plugin pequeño y estable mientras permite que el blueprint evolucione con su propia cadencia de lanzamiento.

Creación del Sandbox

Cuando ejecuta nemoclaw onboard, NemoClaw crea un sandbox de OpenShell que ejecuta OpenClaw en un contenedor aislado. El blueprint orquesta este proceso a través del CLI de OpenShell:

  1. El plugin descarga el artefacto del blueprint, verifica la compatibilidad de versión y comprueba el digest.
  2. El blueprint determina qué recursos de OpenShell crear o actualizar, como el gateway, los proveedores de inferencia, el sandbox y la política de red.
  3. El blueprint ejecuta comandos del CLI de OpenShell para crear el sandbox y configurar cada recurso.

Después de que el sandbox se inicia, el agente se ejecuta dentro de él con todos los controles de red, sistema de archivos e inferencia en su lugar.

Enrutamiento de Inferencia

Las solicitudes de inferencia del agente nunca salen del sandbox directamente. OpenShell intercepta cada llamada de inferencia y la enruta al proveedor configurado. NemoClaw enruta la inferencia a la nube de NVIDIA, específicamente Nemotron 3 Super 120B a través de build.nvidia.com. Puede cambiar de modelo en tiempo de ejecución sin reiniciar el sandbox.

Política de Red y Sistema de Archivos

El sandbox se inicia con una política de base estricta definida en openclaw-sandbox.yaml. Esta política controla a qué endpoints de red puede acceder el agente y a qué rutas del sistema de archivos puede acceder.

  • Para la red, solo se permiten los endpoints listados en la política. Cuando el agente intenta acceder a un host no listado, OpenShell bloquea la solicitud y la presenta en el TUI para la aprobación del operador.
  • Para el sistema de archivos, el agente puede escribir en /sandbox y /tmp. Todas las demás rutas del sistema son de solo lectura.

Los endpoints aprobados persisten durante la sesión actual pero no se guardan en el archivo de política base.

Siguientes Pasos

  • Siga el Inicio Rápido para lanzar su primer sandbox.
  • Consulte la Arquitectura para conocer la estructura técnica completa, incluidos los diseños de archivos y el ciclo de vida del blueprint.
  • Consulte los Perfiles de Inferencia para la configuración detallada del proveedor.
arrow_back
Anterior
Overview
Siguiente
Release Notes
arrow_forward