Primeiros Passos com NemoClaw no DGX Spark

O NVIDIA DGX Spark é a plataforma de desenvolvimento ideal para o NemoClaw. Com sua arquitetura Grace Blackwell que inclui 128GB de memória unificada e até 1 petaflop de computação de IA, um único DGX Spark pode executar toda a stack do NemoClaw — incluindo Nemotron 120B MoE — localmente na sua mesa.

Este tutorial guia você por todo o processo de configuração, desde o desempacotamento até a execução do seu primeiro blueprint de agente seguro.

Pré-requisitos

•NVIDIA DGX Spark (ou qualquer sistema com uma GPU NVIDIA com 24GB+ de VRAM para o modelo quantizado)
•Ubuntu 22.04 LTS ou posterior (DGX OS vem pré-instalado no Spark)
•Docker 24.0+ com NVIDIA Container Toolkit
•50GB de espaço livre em disco para modelos e containers

Passo 1: Instalar o CLI do NemoClaw

O CLI do NemoClaw é a interface principal para gerenciar a stack. Instale-o através do instalador oficial:

bash

# Download and run the NemoClaw installer
curl -fsSL https://github.com/NVIDIA/NemoClaw | bash

# Verify installation
nemoclaw version
# Output: nemoclaw v1.0.0-preview (built for linux/arm64)

# Initialize NemoClaw in your project directory
mkdir my-first-agent && cd my-first-agent
nemoclaw init

O comando nemoclaw init cria a estrutura do projeto:

my-first-agent/
├── nemoclaw.yaml          # Main configuration
├── policies/
│   ├── sandbox.yaml       # OpenShell sandbox policies
│   ├── network.yaml       # Network access policies
│   └── privacy.yaml       # Privacy Router configuration
├── blueprints/
│   └── starter.yaml       # Default agent blueprint
└── scripts/
    ├── setup.sh           # Environment setup script
    └── test-agent.sh      # Agent smoke test

Passo 2: Configurar a Stack

Edite nemoclaw.yaml para configurar sua implantação:

yaml

# nemoclaw.yaml
apiVersion: nemoclaw.nvidia.com/v1
kind: NemoClawConfig
metadata:
  name: my-first-deployment
spec:
  # Model configuration
  model:
    provider: local
    name: nemotron-120b-moe
    quantization: int4  # Use INT4 for DGX Spark
    gpuLayers: all

  # OpenShell configuration
  openshell:
    enabled: true
    isolationLevel: standard  # standard | strict | paranoid
    auditLog: true

  # Privacy Router configuration
  privacyRouter:
    enabled: true
    defaultRoute: local
    cloudEndpoints: []  # No cloud endpoints for local-only setup

  # Network Policy Engine
  networkPolicy:
    enabled: true
    defaultAction: deny
    allowlist:
      - "*.internal.company.com"

  # Agent configuration
  agent:
    framework: openclaw
    version: "3.13"
    maxConcurrentTasks: 8

Passo 3: Baixar o Modelo Nemotron

O NemoClaw usa o Nemotron 120B MoE como seu motor de avaliação de políticas. No DGX Spark, usamos a variante quantizada INT4 que cabe confortavelmente nos 128GB de memória unificada:

bash

# Pull the Nemotron model (approximately 35GB)
nemoclaw model pull nemotron-120b-moe-int4

# Verify the model is ready
nemoclaw model list
# Output:
# NAME                        SIZE     STATUS
# nemotron-120b-moe-int4      34.7GB   ready

Para sistemas com menos memória, o NemoClaw também suporta modelos menores:

bash

# Alternative: Nemotron 8B for systems with 24GB VRAM
nemoclaw model pull nemotron-nano-4b

Passo 4: Iniciar o Ambiente de Execução do NemoClaw

Inicie toda a stack com um único comando:

bash

# Start all NemoClaw services
nemoclaw up

# Output:
# ✓ OpenShell runtime started (kernel modules loaded)
# ✓ Nemotron 120B MoE loaded (34.7GB, 4-bit quantized)
# ✓ Privacy Router initialized (local-only mode)
# ✓ Network Policy Engine active (deny-by-default)
# ✓ OpenClaw agent framework ready
#
# NemoClaw is running at http://localhost:7860
# Dashboard: http://localhost:7860/dashboard
# API: http://localhost:7860/api/v1

O painel de controle fornece visibilidade em tempo real sobre a execução dos agentes, avaliações de políticas e eventos de segurança.

Passo 5: Implantar Seu Primeiro Blueprint

Blueprints são templates de agentes pré-configurados com políticas de segurança integradas. Vamos implantar o blueprint de Suporte ao Cliente:

bash

# List available blueprints
nemoclaw blueprint list
# Output:
# NAME                  DESCRIPTION                          SECURITY LEVEL
# customer-support      Tier-1 support ticket handling       standard
# sales-ops            CRM and sales automation              standard
# security-ops         Alert triage and remediation           strict
# infra-management     Cloud resource management              strict
# code-review          PR analysis and vulnerability scan     standard
# data-pipeline        ETL orchestration                      standard

# Deploy the customer support blueprint
nemoclaw blueprint deploy customer-support

•Política de sandbox OpenShell (restringe acesso ao sistema de arquivos e rede)
•Regras de política Nemotron (detecção de PII, classificação de intenções)
•Lista de permissões de rede (apenas endpoints de API aprovados)
•Fluxo de aprovação do operador (escalação para reembolsos, alterações de conta)

Passo 6: Testar Seu Agente

Envie uma solicitação de teste para seu agente seguro:

bash

# Send a test message to the agent
nemoclaw agent test --blueprint customer-support \
  --message "Customer John Smith (ID: 12345) is asking about their recent order #ORD-9876. They want to know the delivery status."

# Output:
# ┌──────────────────────────────────────────────┐
# │ NemoClaw Security Report                      │
# ├──────────────────────────────────────────────┤
# │ Policy Evaluation:     PASS (45ms)            │
# │ Intent Classification: customer-inquiry       │
# │ Data Sensitivity:      internal               │
# │ Model Route:           local (nemotron-120b)  │
# │ Sandbox:               cs-agent-sandbox-001   │
# │ Network Access:        crm.api, orders.api    │
# │ PII Detected:          name, customer-id      │
# │ PII Action:            redacted-from-logs     │
# │ Approval Required:     no                     │
# ├──────────────────────────────────────────────┤
# │ Agent Response:                                │
# │ "I've checked order #ORD-9876 for the         │
# │  customer. The order shipped on March 18       │
# │  via FedEx (tracking: FX123456789). Expected  │
# │  delivery is March 21."                        │
# └──────────────────────────────────────────────┘

•Classificou a intenção como uma consulta rotineira de cliente
•Detectou PII (nome do cliente e ID) e o redatou dos registros
•Roteou a solicitação para o modelo local Nemotron
•Concedeu acesso à rede apenas para as APIs de CRM e pedidos
•Determinou que nenhuma aprovação humana era necessária

Passo 7: Monitorar com o Painel de Controle

Abra http://localhost:7860/dashboard no seu navegador para acessar o painel de monitoramento do NemoClaw. Os principais recursos incluem:

•Fluxo de eventos em tempo real — cada ação do agente, avaliação de política e decisão de segurança
•Alertas de violação de políticas — notificação instantânea quando um agente tenta ações não autorizadas
•Registro de auditoria — registro completo e imutável de todas as atividades do agente
•Métricas de desempenho — latência, throughput e utilização de recursos
•Fila de aprovação — solicitações de aprovação humana pendentes para ações de alto risco

Padrões de Configuração Comuns

Conectando a APIs Externas

Para permitir que seu agente acesse serviços externos, atualize a política de rede:

yaml

# policies/network.yaml
networkPolicy:
  egress:
    allow:
      - domain: "api.zendesk.com"
        methods: [GET, POST, PUT]
        headers:
          required: ["Authorization"]
      - domain: "api.stripe.com"
        methods: [GET]  # Read-only access to payment data

Configurando Aprovação do Operador

Configure fluxos de aprovação para operações sensíveis:

yaml

# policies/sandbox.yaml
approvalWorkflow:
  enabled: true
  rules:
    - action: "refund.process"
      condition: "amount > 100"
      approvers: ["support-leads"]
      channel: "slack"
      timeout: "10m"
    - action: "account.modify"
      condition: "always"
      approvers: ["account-managers"]
      channel: "teams"
      timeout: "15m"

Habilitando Roteamento de Modelos na Nuvem

Para tarefas não sensíveis, você pode habilitar o roteamento de modelos na nuvem para melhor desempenho:

yaml

# policies/privacy.yaml
privacyRouter:
  defaultRoute: local
  cloudEndpoints:
    - name: "nvidia-nim"
      url: "https://build.nvidia.com"
      apiKey: "${NVIDIA_API_KEY}"
      allowedSensitivity: ["public", "internal"]

Solução de Problemas

O módulo do kernel do OpenShell não carrega

bash

# Check kernel module status
nemoclaw diagnose openshell

# If using a custom kernel, ensure eBPF is enabled
# and the kernel version is 5.15+

O modelo não cabe na memória

bash

# Check available GPU memory
nemoclaw diagnose gpu

# Switch to a smaller quantization or model
nemoclaw model pull nemotron-120b-moe-int2  # Smaller but less accurate
nemoclaw model pull nemotron-nano-4b  # Much smaller

Próximos Passos

Agora você tem uma implantação do NemoClaw completamente operacional no seu DGX Spark. A partir daqui, você pode:

1.Personalizar as políticas de segurança para seu caso de uso específico
2.Construir blueprints personalizados para os fluxos de trabalho de agentes da sua organização
3.Integrar com suas ferramentas existentes de SIEM e observabilidade
4.Escalar para implantação multinó usando o modo Cluster do NemoClaw

Confira o próximo artigo desta série para um mergulho profundo no ambiente de execução de segurança do OpenShell.

Primeiros Passos com NemoClaw no DGX Spark