ネットワークリクエストの承認・拒否

サンドボックスポリシーに未記載のエンドポイントへのネットワークリクエストを確認し、対処します。 OpenShellがこれらのリクエストをインターセプトし、TUIでオペレーターの承認を待ちます。

前提条件

• 稼働中のNemoClawサンドボックス。
• OpenShell CLIがPATHに含まれていること。

TUIを開く

OpenShellターミナルUIを起動してサンドボックスのアクティビティを監視します：

$ openshell term

リモートサンドボックスの場合はインスタンス名を指定します：

$ ssh my-gpu-box 'cd /home/ubuntu/nemoclaw && . .env && openshell term'

TUIにはサンドボックスの状態、アクティブな推論プロバイダー、ネットワークアクティビティのライブフィードが表示されます。

ブロックされたリクエストの発生

エージェントがベースラインポリシーに未記載のエンドポイントに接続しようとすると、OpenShellが接続をブロックしてTUIにリクエストを表示します。 ブロックされたリクエストには以下の情報が含まれます：

• 宛先のホストとポート。
• リクエストを発行したバイナリ。
• HTTPメソッドとパス（取得可能な場合）。

リクエストの承認・拒否

TUIがブロックされたリクエストごとに承認プロンプトを表示します。

• 承認すると、そのエンドポイントが現在のセッションの実行ポリシーに追加されます。
• 拒否すると、そのエンドポイントはブロックされたままです。

承認されたエンドポイントはサンドボックスが停止するまで有効です。 ベースラインポリシーファイルには保存されません。

ウォークスルーの実行

ガイド付きセッションで承認フローを観察するには、ウォークスルースクリプトを実行します：

$ ./scripts/walkthrough.sh

このスクリプトは、左側にTUI、右側にエージェントが表示される分割tmuxセッションを開きます。 ウォークスルーにはtmuxとNVIDIA_API_KEY環境変数が必要です。

関連トピック

• サンドボックスネットワークポリシーのカスタマイズでエンドポイントを恒久的に追加。
• ネットワークポリシーでベースラインポリシーの全リファレンスを確認。
• サンドボックスアクティビティの監視で全般的なサンドボックス監視を確認。