NVIDIA 开源了一个「AI 沙箱」,20K Star,让 Agent 跑代码不再裸奔

你让 AI Agent 帮你跑代码,它随手一个 rm -rf /——你慌不慌?

这不是段子。现在几乎所有的 AI Agent 框架都在疯狂加"工具调用"能力,让 Agent 能读写文件、执行命令、访问网络。但很少有人认真想过:Agent 执行的代码,谁来保证安全?

NVIDIA 给了一个答案:NemoClaw,一个专门为 OpenClaw Agent 设计的安全沙箱参考栈,3 月 16 日开源,不到两个月已经冲到 20K Star

本文提纲

  1. NemoClaw 是什么,解决什么问题
  2. 四层安全防线:比 Docker 多了什么
  3. 架构拆解:Gateway + Sandbox + Blueprint
  4. 五分钟跑起来
  5. 哪些人应该关注

NemoClaw 是什么

NVIDIA 官方定义很简单:

一个开源参考栈,让 OpenClaw 常驻助手更安全地运行。

翻译成人话:你在跑 AI Agent 的时候,Agent 会生成代码、执行命令、访问 API。这些操作如果没有隔离,就等于把你的机器完全暴露给了一个不可控的 AI。NemoClaw 做的事情就是把 Agent 关进一个"笼子"里,让它只能做被允许的事。

它底层用的是 NVIDIA OpenShell 运行时(NVIDIA Agent Toolkit 的一部分),在上面加了引导式安装、安全加固的 Blueprint、状态管理、路由推理等能力。

目前还是 Alpha 阶段,接口和行为随时可能变。但 20K Star 和 1093 次提交说明社区关注度很高。

四层安全防线

这是 NemoClaw 最硬核的部分。安全隔离不是简单套个 Docker 就完事,它分了四层:

第一层:网络安全

默认策略是拒绝所有出站流量。Agent 想访问任何外部地址,必须明确配置白名单。

规则分两个级别:
- L4 层:二进制级端点规则,控制能连哪个 IP:Port
- L7 层:路径级 HTTP 规则,精确到 URL Path

还内置了一套 Operator 审批流程——Agent 想访问一个新域名,需要人工确认。预设了好几种策略模板:Brave、GitHub、Discord、Slack、Telegram 等,按场景选择即可。

三个安全等级:
- Restricted:最严,只开放必要端口
- Balanced:常用服务可用
- Open:宽松模式,适合开发调试

第二层:文件系统隔离

用的是 Landlock LSM(Linux Security Module)强制执行。

核心思路:
- /usr/lib/etc 等系统目录只读
- /sandbox/.openclawchattr +i 锁死(连 root 都改不了)
- 配置文件有完整性哈希校验
- 只有 /sandbox/.openclaw-data/sandbox/.nemoclaw/tmp 可写

Agent 就算拿到了 root 权限,也改不了系统文件。

第三层:进程隔离

容器层面的加固:
- 丢弃所有 Linux capabilities(cap_net_rawcap_dac_override 等)
- Gateway 进程用独立的 gateway 用户运行,跟 Sandbox 隔离
- 启用 no-new-privileges 标志
- 进程数限制:ulimit -u 512
- Sandbox 以非 root 用户 sandbox 运行
- PATH 硬化,编译工具链移除

Agent 就算想编译恶意代码,连编译器都找不到。

第四层:推理路由

模型推理请求不直接走外网,而是路由到 inference.local。API Key 存在 Gateway 侧,永远不会进入 Sandbox

支持的推理后端:
- NVIDIA Endpoints
- OpenAI
- Anthropic
- Google Gemini
- 本地 Ollama
- 实验性支持 NIM / vLLM

这意味着 Agent 看不到你的 API Key,也篡改不了推理请求。

架构拆解

MERMAID_BLOCK_0

整个架构分三个部分:

1. NemoClaw CLI(TypeScript 插件)

用户的入口。安装、 onboard、连接 Sandbox、查看状态,全部通过 nemoclaw 命令完成。它本质上是 OpenShell CLI 的扩展插件。

2. OpenShell Gateway(容器)

部署在 Docker 里的网关容器,内嵌一个 k3s 集群。负责:
- 管理 Sandbox 生命周期(创建、销毁、快照)
- 存储所有凭据(API Key 永远不进 Sandbox)
- L7 代理,重写 Authorization 头做凭据注入
- 网络策略执行

3. Sandbox Pod(Kubernetes Pod)

k3s 集群里的一个 Pod,Agent 就跑在这里面。三层安全防护:Landlock + seccomp + 网络命名空间。沙箱镜像大约 2.4 GB 压缩后。

Blueprint 是一个声明式的 YAML 配置,描述了 Sandbox 应该长什么样——网络策略、文件系统规则、推理配置。生命周期:resolve → verify digest → plan → apply → status。

五分钟跑起来

硬件要求不高:

资源 最低 推荐
CPU 4 vCPU 4+ vCPU
内存 8 GB 16 GB
磁盘 20 GB 40 GB

软件要求:Node.js 22.16+、npm 10+、Docker。

一行命令安装:

curl -fsSL https://www.nvidia.com/nemoclaw.sh | bash

安装过程会引导你完成:
1. 创建 Sandbox
2. 配置推理后端(NVIDIA Endpoints / Ollama 等)
3. 应用安全策略

装完直接连:

# 连接到 Sandbox
nemoclaw my-assistant connect

# 在 Sandbox 里打开 TUI 聊天界面
openclaw tui

# 或者用命令行发送单条消息
openclaw agent --agent main --local -m "hello" --session-id test

卸载也干净:

nemoclaw uninstall
# 加 --delete-models 会顺带删掉 Ollama 模型

整个安装不需要 root 权限,Node.js 通过 nvm 装,NemoClaw 通过 npm 装,都是用户级目录。

哪些人应该关注

做 AI Agent 开发的:如果你在构建能执行代码的 Agent,NemoClaw 的安全模型值得参考。尤其是四层隔离的设计思路,比单纯用 Docker 跑个容器强太多。

关注 AI 安全的:凭据不进 Sandbox、推理请求走代理、网络默认拒绝——这些理念可以借鉴到你自己的安全方案里。

想本地跑 AI Agent 的:NemoClaw 支持本地 Ollama,DGX Spark 上也有完整的 playbook。不想把代码传到云端,这套方案能让你在本机安全地跑 Agent。

注意事项:Alpha 阶段,API 随时变。生产环境别直接上,但做技术验证和原型开发完全够了。

项目的安全报告走 NVIDIA PSIRT 私密渠道,不公开开 Issue。Apache 2.0 开源协议。

项目地址:https://github.com/NVIDIA/NemoClaw

——来自公众号:人生几十年噢耶

作者: itech001
来源: 公众号:AI人工智能时代
主页: https://www.theaiera.cn,每日分享最前沿的AI新闻和技术。

本文首发于 AI人工智能时代,转载请注明出处。

posted @ 2026-04-30 10:39  iTech  阅读(12)  评论(0)    收藏  举报