Come Funziona NemoClaw

NemoClaw combina un plugin CLI leggero con un blueprint versionato per spostare OpenClaw in una sandbox controllata. Questa pagina spiega i concetti chiave di NemoClaw ad alto livello.

Come si Integra il Tutto

La CLI nemoclaw è il punto di ingresso principale per la configurazione e la gestione degli agenti OpenClaw in sandbox. Delega il lavoro pesante a un blueprint versionato, un artefatto Python che orchestra la creazione della sandbox, l’applicazione delle policy e la configurazione del provider di inferenza attraverso la CLI di OpenShell.

flowchart TB
    subgraph Host
        CMD["nemoclaw onboard"]
        PLUGIN[nemoclaw plugin]
        BLUEPRINT[blueprint runner]
        CLI["openshell CLI sandbox · gateway · inference · policy"]

        CMD --> PLUGIN
        PLUGIN --> BLUEPRINT
        BLUEPRINT --> CLI
    end

    subgraph Sandbox["OpenShell Sandbox"]
        AGENT[OpenClaw agent]
        INF[NVIDIA inference, routed]
        NET[strict network policy]
        FS[filesystem isolation]

        AGENT --- INF
        AGENT --- NET
        AGENT --- FS
    end

    PLUGIN --> AGENT

    classDef nv fill:#76b900,stroke:#333,color:#fff
    classDef nvLight fill:#e6f2cc,stroke:#76b900,color:#1a1a1a
    classDef nvDark fill:#333,stroke:#76b900,color:#fff

    class CMD,PLUGIN,BLUEPRINT nvDark
    class CLI nv
    class AGENT nv
    class INF,NET,FS nvLight

    style Host fill:none,stroke:#76b900,stroke-width:2px,color:#1a1a1a
    style Sandbox fill:#f5faed,stroke:#76b900,stroke-width:2px,color:#1a1a1a

Principi di Design

L’architettura di NemoClaw segue i seguenti principi.

Plugin leggero, blueprint versionato Il plugin resta piccolo e stabile. La logica di orchestrazione risiede nel blueprint e si evolve con il proprio ciclo di rilascio.

Rispetto dei confini della CLI La CLI nemoclaw è l’interfaccia principale. I comandi del plugin sono disponibili sotto openclaw nemoclaw ma non sovrascrivono i comandi integrati di OpenClaw.

Sicurezza della catena di fornitura Gli artefatti del blueprint sono immutabili, versionati e verificati tramite digest prima dell’esecuzione.

Nativo OpenShell per le nuove installazioni Per gli utenti senza un’installazione esistente di OpenClaw, NemoClaw raccomanda openshell sandbox create direttamente piuttosto che forzare un bootstrap guidato dal plugin.

Configurazione riproducibile Rieseguire la configurazione ricrea la sandbox dallo stesso blueprint e dalle stesse definizioni di policy.

Plugin e Blueprint

NemoClaw è suddiviso in due parti:

  • Il plugin è un pacchetto TypeScript che alimenta la CLI nemoclaw e registra anche comandi sotto openclaw nemoclaw. Gestisce l’interazione con l’utente e delega il lavoro di orchestrazione al blueprint.
  • Il blueprint è un artefatto Python versionato che contiene tutta la logica per creare sandbox, applicare policy e configurare l’inferenza. Il plugin risolve, verifica ed esegue il blueprint come sottoprocesso.

Questa separazione mantiene il plugin piccolo e stabile, permettendo al blueprint di evolversi con il proprio ciclo di rilascio.

Creazione della Sandbox

Quando esegui nemoclaw onboard, NemoClaw crea una sandbox OpenShell che esegue OpenClaw in un container isolato. Il blueprint orchestra questo processo attraverso la CLI di OpenShell:

  1. Il plugin scarica l’artefatto del blueprint, verifica la compatibilità della versione e il digest.
  2. Il blueprint determina quali risorse OpenShell creare o aggiornare, come gateway, provider di inferenza, sandbox e policy di rete.
  3. Il blueprint chiama i comandi della CLI di OpenShell per creare la sandbox e configurare ogni risorsa.

Dopo l’avvio della sandbox, l’agente viene eseguito al suo interno con tutti i controlli di rete, filesystem e inferenza attivi.

Routing dell’Inferenza

Le richieste di inferenza dell’agente non lasciano mai la sandbox direttamente. OpenShell intercetta ogni chiamata di inferenza e la instrada verso il provider configurato. NemoClaw instrada l’inferenza verso il cloud NVIDIA, in particolare Nemotron 3 Super 120B attraverso build.nvidia.com. Puoi cambiare modello a runtime senza riavviare la sandbox.

Policy di Rete e Filesystem

La sandbox si avvia con una policy di base rigorosa definita in openclaw-sandbox.yaml. Questa policy controlla quali endpoint di rete l’agente può raggiungere e quali percorsi del filesystem può accedere.

  • Per la rete, solo gli endpoint elencati nella policy sono consentiti. Quando l’agente tenta di raggiungere un host non elencato, OpenShell blocca la richiesta e la presenta nella TUI per l’approvazione dell’operatore.
  • Per il filesystem, l’agente può scrivere in /sandbox e /tmp. Tutti gli altri percorsi di sistema sono di sola lettura.

Gli endpoint approvati persistono per la sessione corrente ma non vengono salvati nel file della policy di base.

Passaggi Successivi

  • Segui la Guida Rapida per avviare la tua prima sandbox.
  • Consulta l’Architettura per la struttura tecnica completa, inclusi i layout dei file e il ciclo di vita del blueprint.
  • Consulta i Profili di Inferenza per la configurazione dettagliata dei provider.
arrow_back
Precedente
Overview
Successivo
Release Notes
arrow_forward