Hoe NemoClaw werkt

NemoClaw combineert een lichtgewicht CLI-plugin met een geversioneerde blueprint om OpenClaw naar een gecontroleerde sandbox te verplaatsen. Deze pagina legt de kernconcepten van NemoClaw op hoog niveau uit.

Hoe het samenwerkt

De nemoclaw CLI is het primaire toegangspunt voor het opzetten en beheren van sandboxed OpenClaw-agents. Het delegeert het zware werk aan een geversioneerde blueprint, een Python-artefact dat sandboxcreatie, beleidstoepassing en inferentieproviderconfiguratie orkestreert via de OpenShell CLI.

flowchart TB
    subgraph Host
        CMD["nemoclaw onboard"]
        PLUGIN[nemoclaw plugin]
        BLUEPRINT[blueprint runner]
        CLI["openshell CLI sandbox · gateway · inference · policy"]

        CMD --> PLUGIN
        PLUGIN --> BLUEPRINT
        BLUEPRINT --> CLI
    end

    subgraph Sandbox["OpenShell Sandbox"]
        AGENT[OpenClaw agent]
        INF[NVIDIA inference, routed]
        NET[strict network policy]
        FS[filesystem isolation]

        AGENT --- INF
        AGENT --- NET
        AGENT --- FS
    end

    PLUGIN --> AGENT

    classDef nv fill:#76b900,stroke:#333,color:#fff
    classDef nvLight fill:#e6f2cc,stroke:#76b900,color:#1a1a1a
    classDef nvDark fill:#333,stroke:#76b900,color:#fff

    class CMD,PLUGIN,BLUEPRINT nvDark
    class CLI nv
    class AGENT nv
    class INF,NET,FS nvLight

    style Host fill:none,stroke:#76b900,stroke-width:2px,color:#1a1a1a
    style Sandbox fill:#f5faed,stroke:#76b900,stroke-width:2px,color:#1a1a1a

Ontwerpprincipes

De NemoClaw-architectuur volgt de volgende principes.

Dunne plugin, geversioneerde blueprint De plugin blijft klein en stabiel. Orkestratielogica bevindt zich in de blueprint en evolueert volgens een eigen releasecadans.

CLI-grenzen respecteren De nemoclaw CLI is de primaire interface. Plugincommando’s zijn beschikbaar onder openclaw nemoclaw maar overschrijven geen ingebouwde OpenClaw-commando’s.

Veiligheid van de toeleveringsketen Blueprint-artefacten zijn onveranderlijk, geversioneerd en worden geverifieerd op digest voordat ze worden uitgevoerd.

OpenShell-native voor nieuwe installaties Voor gebruikers zonder bestaande OpenClaw-installatie raadt NemoClaw aan om openshell sandbox create direct te gebruiken in plaats van een door de plugin aangestuurde bootstrap af te dwingen.

Reproduceerbare configuratie Het opnieuw uitvoeren van de configuratie herstelt de sandbox op basis van dezelfde blueprint- en beleidsdefinities.

Plugin en blueprint

NemoClaw is opgesplitst in twee delen:

  • De plugin is een TypeScript-pakket dat de nemoclaw CLI aandrijft en ook commando’s registreert onder openclaw nemoclaw. Het verzorgt gebruikersinteractie en delegeert orkestratiewerk aan de blueprint.
  • De blueprint is een geversioneerd Python-artefact dat alle logica bevat voor het aanmaken van sandboxes, het toepassen van beleid en het configureren van inferentie. De plugin zoekt de blueprint op, verifieert deze en voert deze uit als subprocess.

Deze scheiding houdt de plugin klein en stabiel terwijl de blueprint op een eigen releasecadans kan evolueren.

Sandboxcreatie

Wanneer u nemoclaw onboard uitvoert, maakt NemoClaw een OpenShell sandbox aan die OpenClaw draait in een geïsoleerde container. De blueprint orkestreert dit proces via de OpenShell CLI:

  1. De plugin downloadt het blueprint-artefact, controleert de versiecompatibiliteit en verifieert de digest.
  2. De blueprint bepaalt welke OpenShell-resources moeten worden aangemaakt of bijgewerkt, zoals de gateway, inferentieproviders, sandbox en netwerkbeleid.
  3. De blueprint roept OpenShell CLI-commando’s aan om de sandbox aan te maken en elke resource te configureren.

Nadat de sandbox is gestart, draait de agent erin met alle netwerk-, bestandssysteem- en inferentiecontroles actief.

Inferentieroutering

Inferentieverzoeken van de agent verlaten de sandbox nooit direct. OpenShell onderschept elk inferentieaanroep en routeert deze naar de geconfigureerde provider. NemoClaw routeert inferentie naar NVIDIA cloud, specifiek Nemotron 3 Super 120B via build.nvidia.com. U kunt modellen wisselen tijdens runtime zonder de sandbox te herstarten.

Netwerk- en bestandssysteembeleid

De sandbox start met een strikt basisbeleid gedefinieerd in openclaw-sandbox.yaml. Dit beleid bepaalt welke netwerkeindpunten de agent kan bereiken en welke bestandssysteempaden deze kan benaderen.

  • Voor netwerk zijn alleen eindpunten die in het beleid zijn vermeld toegestaan. Wanneer de agent een niet-vermelde host probeert te bereiken, blokkeert OpenShell het verzoek en toont het in de TUI ter goedkeuring door de operator.
  • Voor het bestandssysteem kan de agent schrijven naar /sandbox en /tmp. Alle andere systeempaden zijn alleen-lezen.

Goedgekeurde eindpunten blijven bestaan voor de huidige sessie maar worden niet opgeslagen in het basisbeleidsbestand.

Volgende stappen

  • Volg de Snelstart om uw eerste sandbox te starten.
  • Raadpleeg de Architectuur voor de volledige technische structuur, inclusief bestandsindelingen en de blueprint-levenscyclus.
  • Raadpleeg Inferentieprofielen voor gedetailleerde providerconfiguratie.
arrow_back
Vorige
Overview
Volgende
Release Notes
arrow_forward