Cách NemoClaw hoạt động

NemoClaw kết hợp một plugin CLI nhẹ với một blueprint có phiên bản để đưa OpenClaw vào một sandbox được kiểm soát. Trang này giải thích các khái niệm chính về NemoClaw ở cấp độ tổng quan.

Cách các thành phần kết hợp

CLI nemoclaw là điểm vào chính để thiết lập và quản lý các tác nhân OpenClaw trong sandbox. Nó ủy quyền công việc nặng cho một blueprint có phiên bản, một artifact Python điều phối việc tạo sandbox, áp dụng chính sách và thiết lập nhà cung cấp suy luận thông qua CLI OpenShell.

flowchart TB
    subgraph Host
        CMD["nemoclaw onboard"]
        PLUGIN[nemoclaw plugin]
        BLUEPRINT[blueprint runner]
        CLI["openshell CLI sandbox · gateway · inference · policy"]

        CMD --> PLUGIN
        PLUGIN --> BLUEPRINT
        BLUEPRINT --> CLI
    end

    subgraph Sandbox["OpenShell Sandbox"]
        AGENT[OpenClaw agent]
        INF[NVIDIA inference, routed]
        NET[strict network policy]
        FS[filesystem isolation]

        AGENT --- INF
        AGENT --- NET
        AGENT --- FS
    end

    PLUGIN --> AGENT

    classDef nv fill:#76b900,stroke:#333,color:#fff
    classDef nvLight fill:#e6f2cc,stroke:#76b900,color:#1a1a1a
    classDef nvDark fill:#333,stroke:#76b900,color:#fff

    class CMD,PLUGIN,BLUEPRINT nvDark
    class CLI nv
    class AGENT nv
    class INF,NET,FS nvLight

    style Host fill:none,stroke:#76b900,stroke-width:2px,color:#1a1a1a
    style Sandbox fill:#f5faed,stroke:#76b900,stroke-width:2px,color:#1a1a1a

Nguyên tắc thiết kế

Kiến trúc NemoClaw tuân theo các nguyên tắc sau.

Plugin mỏng, blueprint có phiên bản Plugin nhỏ và ổn định. Logic điều phối nằm trong blueprint và phát triển theo lịch phát hành riêng.

Tôn trọng ranh giới CLI CLI nemoclaw là giao diện chính. Các lệnh plugin có sẵn dưới openclaw nemoclaw nhưng không ghi đè các lệnh tích hợp sẵn của OpenClaw.

An toàn chuỗi cung ứng Các artifact blueprint là bất biến, có phiên bản và được xác minh digest trước khi thực thi.

Ưu tiên OpenShell cho cài đặt mới Đối với người dùng chưa có sẵn cài đặt OpenClaw, NemoClaw khuyến nghị sử dụng trực tiếp openshell sandbox create thay vì buộc phải khởi tạo qua plugin.

Thiết lập có thể tái tạo Chạy lại thiết lập sẽ tạo lại sandbox từ cùng blueprint và định nghĩa chính sách.

Plugin và Blueprint

NemoClaw được chia thành hai phần:

  • Plugin là một gói TypeScript cung cấp năng lượng cho CLI nemoclaw và cũng đăng ký các lệnh dưới openclaw nemoclaw. Nó xử lý tương tác người dùng và ủy quyền công việc điều phối cho blueprint.
  • Blueprint là một artifact Python có phiên bản chứa toàn bộ logic để tạo sandbox, áp dụng chính sách và cấu hình suy luận. Plugin giải quyết, xác minh và thực thi blueprint như một subprocess.

Sự tách biệt này giữ plugin nhỏ và ổn định trong khi cho phép blueprint phát triển theo lịch phát hành riêng.

Tạo Sandbox

Khi bạn chạy nemoclaw onboard, NemoClaw tạo một sandbox OpenShell chạy OpenClaw trong một container cách ly. Blueprint điều phối quá trình này thông qua CLI OpenShell:

  1. Plugin tải artifact blueprint, kiểm tra tương thích phiên bản và xác minh digest.
  2. Blueprint xác định tài nguyên OpenShell nào cần tạo hoặc cập nhật, chẳng hạn như gateway, nhà cung cấp suy luận, sandbox và chính sách mạng.
  3. Blueprint gọi các lệnh CLI OpenShell để tạo sandbox và cấu hình từng tài nguyên.

Sau khi sandbox khởi động, tác nhân chạy bên trong với tất cả các kiểm soát mạng, hệ thống tệp và suy luận được áp dụng.

Định tuyến suy luận

Các yêu cầu suy luận từ tác nhân không bao giờ rời khỏi sandbox trực tiếp. OpenShell chặn mọi cuộc gọi suy luận và định tuyến đến nhà cung cấp được cấu hình. NemoClaw định tuyến suy luận đến đám mây NVIDIA, cụ thể là Nemotron 3 Super 120B thông qua build.nvidia.com. Bạn có thể chuyển đổi mô hình trong thời gian chạy mà không cần khởi động lại sandbox.

Chính sách mạng và hệ thống tệp

Sandbox khởi động với chính sách cơ sở nghiêm ngặt được định nghĩa trong openclaw-sandbox.yaml. Chính sách này kiểm soát endpoint mạng nào tác nhân có thể tiếp cận và đường dẫn hệ thống tệp nào nó có thể truy cập.

  • Đối với mạng, chỉ các endpoint được liệt kê trong chính sách mới được cho phép. Khi tác nhân cố gắng tiếp cận một host không có trong danh sách, OpenShell chặn yêu cầu và hiển thị nó trong TUI để người vận hành phê duyệt.
  • Đối với hệ thống tệp, tác nhân có thể ghi vào /sandbox/tmp. Tất cả các đường dẫn hệ thống khác chỉ có quyền đọc.

Các endpoint được phê duyệt tồn tại trong phiên hiện tại nhưng không được lưu vào tệp chính sách cơ sở.

Bước tiếp theo

  • Làm theo Hướng dẫn nhanh để khởi chạy sandbox đầu tiên.
  • Tham khảo Kiến trúc để xem cấu trúc kỹ thuật đầy đủ, bao gồm bố cục tệp và vòng đời blueprint.
  • Tham khảo Hồ sơ suy luận để biết chi tiết cấu hình nhà cung cấp.
arrow_back
Trang trước
Overview
Trang sau
Release Notes
arrow_forward