NemoClaw 運作原理

NemoClaw 將輕量級 CLI 外掛與版本化藍圖結合,把 OpenClaw 搬進受控的沙箱裡。 本頁從高層次說明 NemoClaw 的核心概念。

各元件如何協同運作

nemoclaw CLI 是設定和管理沙箱化 OpenClaw 代理的主要入口。 它把繁重的工作交給版本化藍圖——一個 Python 製品,透過 OpenShell CLI 編排沙箱建立、政策套用和推論提供者設定。

flowchart TB
    subgraph Host
        CMD["nemoclaw onboard"]
        PLUGIN[nemoclaw plugin]
        BLUEPRINT[blueprint runner]
        CLI["openshell CLI sandbox · gateway · inference · policy"]

        CMD --> PLUGIN
        PLUGIN --> BLUEPRINT
        BLUEPRINT --> CLI
    end

    subgraph Sandbox["OpenShell Sandbox"]
        AGENT[OpenClaw agent]
        INF[NVIDIA inference, routed]
        NET[strict network policy]
        FS[filesystem isolation]

        AGENT --- INF
        AGENT --- NET
        AGENT --- FS
    end

    PLUGIN --> AGENT

    classDef nv fill:#76b900,stroke:#333,color:#fff
    classDef nvLight fill:#e6f2cc,stroke:#76b900,color:#1a1a1a
    classDef nvDark fill:#333,stroke:#76b900,color:#fff

    class CMD,PLUGIN,BLUEPRINT nvDark
    class CLI nv
    class AGENT nv
    class INF,NET,FS nvLight

    style Host fill:none,stroke:#76b900,stroke-width:2px,color:#1a1a1a
    style Sandbox fill:#f5faed,stroke:#76b900,stroke-width:2px,color:#1a1a1a

設計原則

NemoClaw 的架構遵循以下原則。

精簡外掛,版本化藍圖 外掛保持小巧穩定。編排邏輯放在藍圖中,依自己的發佈節奏演進。

遵守 CLI 邊界 nemoclaw CLI 是主要介面。外掛指令在 openclaw nemoclaw 底下可用,但不會覆寫內建的 OpenClaw 指令。

供應鏈安全 藍圖製品不可變、有版本號,執行前必須通過摘要驗證。

新安裝原生走 OpenShell 對於沒有現有 OpenClaw 安裝的使用者,NemoClaw 建議直接用 openshell sandbox create,而非強制走外掛引導流程。

可重現的設定 重新跑一次設定,就會用相同的藍圖和政策定義重新建立沙箱。

外掛和藍圖

NemoClaw 分成兩個部分:

  • 外掛是一個 TypeScript 套件,驅動 nemoclaw CLI,同時在 openclaw nemoclaw 底下註冊指令。 它處理使用者互動,並將編排工作委派給藍圖。
  • 藍圖是一個版本化的 Python 製品,包含建立沙箱、套用政策和設定推論的所有邏輯。 外掛負責解析、驗證,並以子程序的方式執行藍圖。

這種分離讓外掛保持小巧穩定,同時允許藍圖按自己的步調演進。

沙箱建立

當你執行 nemoclaw onboard,NemoClaw 會建立一個在隔離容器中運行 OpenClaw 的 OpenShell 沙箱。 藍圖透過 OpenShell CLI 編排整個流程:

  1. 外掛下載藍圖製品,檢查版本相容性,並驗證摘要。
  2. 藍圖判斷需要建立或更新哪些 OpenShell 資源,如 gateway、推論提供者、沙箱和網路政策。
  3. 藍圖呼叫 OpenShell CLI 指令建立沙箱並設定各項資源。

沙箱啟動後,代理便在其中運行,所有網路、檔案系統和推論控制都已就位。

推論路由

代理發出的推論請求不會直接離開沙箱。 OpenShell 攔截每個推論呼叫,並將其路由到已設定的提供者。 NemoClaw 預設將推論路由到 NVIDIA 雲端,具體來說是透過 build.nvidia.com 使用 Nemotron 3 Super 120B。你可以在運行時切換模型,不需要重啟沙箱。

網路和檔案系統政策

沙箱啟動時會套用 openclaw-sandbox.yaml 中定義的嚴格基線政策。 這份政策控制代理可以存取哪些網路端點,以及可以存取哪些檔案系統路徑。

  • 網路方面,只有政策中列出的端點才放行。 當代理嘗試連線到未列出的主機時,OpenShell 會封鎖請求並在 TUI 中顯示,等待操作員審批。
  • 檔案系統方面,代理可以寫入 /sandbox/tmp。 其他系統路徑全部是唯讀。

已核准的端點在目前工作階段持續有效,但不會寫入基線政策檔。

後續步驟

  • 按照快速入門啟動你的第一個沙箱。
  • 參閱架構了解完整技術結構,包括檔案配置和藍圖生命週期。
  • 參閱推論設定了解提供者設定細節。
arrow_back
上一頁
Overview
下一頁
Release Notes
arrow_forward