Phân Tích Chuyên Sâu Kiến Trúc NemoClaw
NemoClaw không phải là một sản phẩm đơn lẻ — mà là một kiến trúc bảo mật phân tầng được thiết kế để đưa các tác nhân AI tự chủ vào triển khai sản xuất một cách an toàn. Bài viết này đi qua từng tầng, giải thích cách chúng tương tác và cung cấp bối cảnh kỹ thuật bạn cần để đánh giá NemoClaw cho cơ sở hạ tầng của mình.
Tổng Quan Kiến Trúc
Bộ công cụ NemoClaw bao gồm bốn tầng chính, mỗi tầng giải quyết một khía cạnh khác nhau của bảo mật tác nhân:
┌─────────────────────────────────────────────┐
│ Agent Application │
│ (OpenClaw Agent Framework) │
├─────────────────────────────────────────────┤
│ Privacy Router │
│ (Local vs. Cloud Model Routing) │
├─────────────────────────────────────────────┤
│ Nemotron Policy Engine │
│ (120B MoE Intent Classification) │
├─────────────────────────────────────────────┤
│ OpenShell Runtime │
│ (Kernel-Level Sandbox + Isolation) │
├─────────────────────────────────────────────┤
│ Host OS / Hardware (DGX) │
└─────────────────────────────────────────────┘
Mỗi tầng hoạt động độc lập và có thể được triển khai riêng lẻ, nhưng toàn bộ bộ công cụ cung cấp bảo mật phòng thủ nhiều lớp mà không tầng đơn lẻ nào có thể đạt được.
Tầng 1: Môi Trường Chạy Bảo Mật OpenShell
OpenShell là nền tảng của mô hình bảo mật NemoClaw. Nó cung cấp sandbox cấp nhân cho việc thực thi tác nhân, đảm bảo rằng ngay cả một tác nhân bị xâm phạm cũng không thể thoát ra khỏi ranh giới bảo mật của nó.
Cách OpenShell Hoạt Động
OpenShell sử dụng kết hợp Linux kernel namespaces, bộ lọc seccomp-BPF và các chương trình eBPF tùy chỉnh của NVIDIA để tạo ra môi trường thực thi cách ly cho mỗi tác vụ của tác nhân:
# openshell-policy.yaml
apiVersion: openshell.nvidia.com/v1
kind: SandboxPolicy
metadata:
name: customer-support-agent
spec:
isolation:
network: restricted
filesystem: read-only
syscalls: minimal
resources:
maxMemory: 4Gi
maxCPU: 2
gpuAccess: inference-only
permissions:
allowedAPIs:
- crm.read
- crm.update
- ticket.create
- ticket.resolve
deniedAPIs:
- admin.*
- billing.*
- user.delete
auditLog:
enabled: true
destination: siem://security-events
Mọi system call do tác nhân thực hiện đều bị chặn bởi tầng eBPF của OpenShell, được phân loại theo chính sách, rồi được cho phép, từ chối hoặc chuyển lên phê duyệt của con người. Toàn bộ pipeline quyết định chạy trong không gian nhân, thêm ít hơn 50 micro giây độ trễ mỗi system call.
Quy Trình Phê Duyệt Của Người Vận Hành
Đối với các thao tác có rủi ro cao — xóa dữ liệu, sửa đổi cơ sở hạ tầng, gửi liên lạc ra bên ngoài — OpenShell có thể tạm dừng thực thi tác nhân và chuyển hành động đó đến người vận hành để phê duyệt:
// Approval workflow configuration
const approvalPolicy = {
triggers: [
{ action: 'data.delete', threshold: 'always' },
{ action: 'infra.modify', threshold: 'always' },
{ action: 'email.send', threshold: 'external-only' },
{ action: 'payment.process', threshold: 'above-100-usd' },
],
channels: ['slack', 'teams', 'pagerduty'],
timeout: '15m',
defaultAction: 'deny',
};
Điều này đảm bảo rằng các tác nhân có thể hoạt động tự chủ cho các tác vụ thường ngày trong khi vẫn duy trì giám sát con người cho các hành động quan trọng.
Tầng 2: Engine Chính Sách Nemotron 120B MoE
Mô hình Hỗn hợp Chuyên gia Nemotron 120B đóng vai trò là engine đánh giá chính sách thông minh của NemoClaw. Khác với các hệ thống bảo mật dựa trên quy tắc truyền thống, Nemotron có thể hiểu ý định đằng sau các hành động của tác nhân và đánh giá chúng dựa trên các chính sách bảo mật bằng ngôn ngữ tự nhiên.
Phân Loại Ý Định
Khi một tác nhân yêu cầu thực hiện hành động, Nemotron phân loại ý định theo nhiều chiều:
- •Độ nhạy cảm: Dữ liệu liên quan nhạy cảm đến mức nào? (công khai, nội bộ, bí mật, hạn chế)
- •Khả năng đảo ngược: Hành động này có thể hoàn tác không? (hoàn toàn đảo ngược, đảo ngược một phần, không thể đảo ngược)
- •Phạm vi: Bao nhiêu hệ thống hoặc người dùng bị ảnh hưởng? (đơn lẻ, nhóm, tổ chức, bên ngoài)
- •Tuân thủ: Hành động này có thuộc bất kỳ khung quy định nào không? (GDPR, HIPAA, SOC 2, PCI-DSS)
Việc phân loại chạy trong dưới 200ms trên một GPU A100 đơn lẻ, và dưới 50ms trên DGX Spark với phiên bản mô hình lượng tử hóa.
Chính Sách Ngôn Ngữ Tự Nhiên
Các nhóm bảo mật có thể định nghĩa chính sách bằng tiếng Anh thuần túy, mà Nemotron sẽ diễn giải và thực thi:
Policy: "Customer support agents may access customer records for active tickets only.
They may not access financial data, modify account settings, or communicate
with customers outside of the ticketing system. All PII must be redacted
from internal logs."
Nemotron chuyển đổi các chính sách ngôn ngữ tự nhiên này thành các quy tắc bảo mật có thể thực thi, thu hẹp khoảng cách giữa ý định của nhóm bảo mật và việc thực thi kỹ thuật.
Tầng 3: Privacy Router
Privacy Router là tầng định tuyến mô hình thông minh của NemoClaw. Nó xác định liệu mỗi tác vụ của tác nhân nên được xử lý bởi mô hình cục bộ (Nemotron chạy tại chỗ) hay được chuyển đến điểm cuối mô hình đám mây, dựa trên phân loại độ nhạy cảm dữ liệu.
Logic Định Tuyến
# Simplified Privacy Router logic
def route_request(request: AgentRequest) -> ModelEndpoint:
sensitivity = classify_sensitivity(request.context)
if sensitivity in ['restricted', 'confidential']:
# Highly sensitive data stays local
return local_nemotron_endpoint
if sensitivity == 'internal':
# Internal data can use cloud with encryption
return cloud_endpoint_with_e2e_encryption
if sensitivity == 'public':
# Public data can use any endpoint for best performance
return optimal_cloud_endpoint
# Default: local processing
return local_nemotron_endpoint
Privacy Router duy trì bộ nhớ đệm phân loại theo thời gian thực, vì vậy các yêu cầu lặp lại với ngữ cảnh tương tự được định tuyến mà không cần đánh giá lại. Trong các benchmark, router thêm ít hơn 5ms độ trễ vào pipeline yêu cầu.
Tuân Thủ Cư Trú Dữ Liệu
Đối với các tổ chức hoạt động theo yêu cầu cư trú dữ liệu (GDPR của EU, PIPL của Trung Quốc, v.v.), Privacy Router có thể thực thi các ràng buộc định tuyến theo địa lý:
privacyRouter:
residencyRules:
- region: EU
dataTypes: [personalData, financialData]
allowedEndpoints: [eu-west-1-local, eu-central-1-local]
- region: CN
dataTypes: [all]
allowedEndpoints: [cn-north-1-local]
fallback: local-only
Tầng 4: Engine Chính Sách Mạng
Engine Chính Sách Mạng kiểm soát những tài nguyên bên ngoài mà tác nhân có thể truy cập. Nó hoạt động như một proxy trong suốt, kiểm tra và lọc tất cả các yêu cầu mạng đi ra từ sandbox của tác nhân.
Định Nghĩa Chính Sách
networkPolicy:
name: sales-ops-agent
egress:
allow:
- domain: "*.salesforce.com"
methods: [GET, POST, PATCH]
- domain: "api.hubspot.com"
methods: [GET]
- domain: "smtp.company.com"
ports: [587]
deny:
- domain: "*" # deny all other outbound traffic
ingress:
allow:
- source: "webhook.salesforce.com"
path: "/api/v1/events"
inspection:
tlsDecrypt: true
logPayloads: false
scanForPII: true
Engine Chính Sách Mạng hỗ trợ chặn TLS cho các yêu cầu đi ra (với quản lý chứng chỉ phù hợp), cho phép nó quét payload yêu cầu để phát hiện rò rỉ PII vô tình.
Kết Hợp Tất Cả
Khi một tác nhân OpenClaw nhận được tác vụ, yêu cầu đi qua bộ công cụ NemoClaw như sau:
- 1.OpenClaw nhận tác vụ và xây dựng kế hoạch thực thi
- 2.Privacy Router phân loại độ nhạy cảm dữ liệu và chọn điểm cuối mô hình phù hợp
- 3.Nemotron đánh giá kế hoạch thực thi dựa trên chính sách bảo mật và phân loại ý định
- 4.OpenShell tạo sandbox cách ly cho việc thực thi tác vụ
- 5.Engine Chính Sách Mạng cấu hình quyền truy cập mạng của sandbox dựa trên vai trò của tác nhân
- 6.Tác nhân thực thi trong sandbox, với mọi hành động được kiểm toán
- 7.Các hành động có rủi ro cao được chuyển lên người vận hành để phê duyệt
- 8.Kết quả được trả về qua Privacy Router, với PII bị che giấu khỏi nhật ký
Toàn bộ pipeline này thêm khoảng 300ms độ trễ cho yêu cầu đầu tiên trong một phiên, và dưới 100ms cho các yêu cầu tiếp theo (nhờ bộ nhớ đệm). Đối với hầu hết các tải công việc doanh nghiệp, chi phí này là không đáng kể so với thời gian suy luận mô hình.
Benchmark Hiệu Năng
Trên một DGX Spark đơn lẻ:
| Chỉ số | Giá trị |
|---|---|
| Độ trễ đánh giá chính sách (p50) | 45ms |
| Độ trễ đánh giá chính sách (p99) | 180ms |
| Thời gian tạo sandbox | 120ms |
| Áp dụng chính sách mạng | 15ms |
| Thông lượng (tác nhân đồng thời) | 64 |
| Chi phí bộ nhớ mỗi sandbox | 256MB |
Trên cụm DGX H100 (8 GPU):
| Chỉ số | Giá trị |
|---|---|
| Độ trễ đánh giá chính sách (p50) | 12ms |
| Độ trễ đánh giá chính sách (p99) | 45ms |
| Thông lượng (tác nhân đồng thời) | 512 |
Bắt Đầu
Tài liệu kiến trúc NemoClaw có sẵn trên GitHub tại nvidia/nemoclaw. Mỗi tầng có thể được triển khai độc lập, vì vậy bạn có thể áp dụng NemoClaw dần dần — bắt đầu với sandbox OpenShell và thêm các tầng khác khi yêu cầu bảo mật của bạn phát triển.
Trong bài viết tiếp theo, chúng tôi sẽ hướng dẫn bạn từng bước triển khai toàn bộ bộ công cụ NemoClaw trên DGX Spark.
