Approuver ou refuser les requêtes réseau de l’agent
Examinez et agissez sur les requêtes réseau que l’agent effectue vers des endpoints non listés dans la politique du sandbox. OpenShell intercepte ces requêtes et les présente dans le TUI pour approbation par l’opérateur.
Prérequis
- Un sandbox NemoClaw en cours d’exécution.
- Le CLI OpenShell dans votre
PATH.
Ouvrir le TUI
Démarrez l’interface terminal OpenShell pour surveiller l’activité du sandbox :
$ openshell termPour un sandbox distant, passez le nom de l’instance :
$ ssh my-gpu-box 'cd /home/ubuntu/nemoclaw && . .env && openshell term'Le TUI affiche l’état du sandbox, le fournisseur d’inférence actif et un flux en direct de l’activité réseau.
Déclencher une requête bloquée
Lorsque l’agent tente d’atteindre un endpoint qui n’est pas dans la politique de base, OpenShell bloque la connexion et affiche la requête dans le TUI. La requête bloquée inclut les détails suivants :
- Hôte et port de la destination.
- Binaire qui a initié la requête.
- Méthode HTTP et chemin, si disponibles.
Approuver ou refuser la requête
Le TUI présente une invite d’approbation pour chaque requête bloquée.
- Approuver la requête pour ajouter l’endpoint à la politique en cours pour la session actuelle.
- Refuser la requête pour maintenir le blocage de l’endpoint.
Les endpoints approuvés restent dans la politique en cours jusqu’à l’arrêt du sandbox. Ils ne sont pas persistés dans le fichier de politique de base.
Exécuter la visite guidée
Pour observer le flux d’approbation dans une session guidée, exécutez le script de visite guidée :
$ ./scripts/walkthrough.shCe script ouvre une session tmux divisée avec le TUI à gauche et l’agent à droite.
La visite guidée nécessite tmux et la variable d’environnement NVIDIA_API_KEY.
Sujets connexes
- Personnaliser la politique réseau du sandbox pour ajouter des endpoints de manière permanente.
- Politiques réseau pour la référence complète de la politique de base.
- Surveiller l’activité du sandbox pour la surveillance générale du sandbox.