Nvidia NemoClaw: OpenClaw-Plugin für OpenShell

 (github.com/NVIDIA)
1 Punkte von GN⁺ 2026-03-19 | 1 Kommentare | Auf WhatsApp teilen
  • NVIDIAs Open-Source-Plugin, um OpenClaw-Agenten sicher zu installieren und auszuführen; es stellt eine sichere Sandbox-Umgebung auf Basis der OpenShell-Laufzeit bereit
  • Installiert NVIDIA OpenShell und Nemotron-Modelle und bietet eine Struktur, in der alle Netzwerkanfragen, Dateizugriffe und Inference-Aufrufe richtlinienbasiert gesteuert werden
  • Die Umgebung lässt sich einfach per Installationsskript einrichten; über CLI- und TUI-Schnittstellen kann direkt mit Agenten in der Sandbox interagiert werden
  • Inference-Anfragen verlassen die Sandbox nicht direkt, sondern werden sicher über die NVIDIA Cloud API geroutet; lokale Inference (Ollama, vLLM) wird experimentell unterstützt
  • Durch die Integration von Sicherheitsschichten, Richtliniensteuerung und automatisiertem Onboarding bietet es eine wichtige Grundlage für Entwickler, die autonome KI-Agenten sicher bereitstellen und betreiben wollen

Überblick

  • NemoClaw ist ein NVIDIA Open-Source-Stack, um dauerhaft laufende KI-Assistenten auf Basis von OpenClaw sicher zu betreiben
    • Installiert die OpenShell-Laufzeit und richtet in der NVIDIA Agent Toolkit-Umgebung eine sichere Sandbox ein
    • Inference wird über die NVIDIA Cloud geroutet, und jede Ausführung wird richtlinienbasiert verwaltet
  • Derzeit in der Alpha-Phase; Oberfläche und API können sich ändern, und für Produktionsumgebungen wird es noch nicht empfohlen

Schneller Einstieg (Quick Start)

  • Voraussetzungen vor der Installation: Ubuntu 22.04 oder höher, Node.js 20+, npm 10+ sowie eine Container-Laufzeit
  • Minimale Hardwareanforderungen: 4 vCPU, 8 GB RAM, 20 GB Speicherplatz, empfohlen sind mindestens 16 GB RAM
  • Beispiel für den Installationsbefehl: 
    curl -fsSL https://www.nvidia.com/nemoclaw.sh | bash
    • Nach der Installation ist der Zugriff auf die Sandbox mit nemoclaw my-assistant connect möglich
  • Nach Abschluss der Installation zeigt die Umgebungsübersicht unter anderem Sandbox-Name, Modell und Statusbefehle an

Interaktion mit dem Agenten

  • Über TUI (Text-UI) oder CLI kann mit dem OpenClaw-Agenten kommuniziert werden
    • Die TUI eignet sich für interaktiven Nachrichtenaustausch
    • Die CLI gibt lange Antworten (z. B. Ergebnisse der Codegenerierung) direkt im Terminal aus
  • Beispielbefehl: 
    openclaw agent --agent main --local -m "hello" --session-id test

Funktionsweise (How It Works)

  • NemoClaw installiert die OpenShell-Laufzeit und Nemotron-Modelle und richtet über versionierte Blueprints die Sandbox-Umgebung ein
  • Wichtige Komponenten:
    • Plugin: TypeScript-basierte CLI-Befehle (launch, connect, status usw.)
    • Blueprint: Python-Artefakt, das Sandbox-Erstellung, Richtlinien und Inference-Einstellungen verwaltet
    • Sandbox: OpenShell-Container, der Netzwerk- und Dateisystemzugriff per Richtlinie einschränkt
    • Inference: Modellaufrufe über die NVIDIA Cloud API
  • Bei Fehlern kann der Status mit nemoclaw <name> status oder openshell sandbox list geprüft werden

Inference

  • Alle Inference-Anfragen werden innerhalb der Sandbox an den NVIDIA Cloud Provider weitergeleitet
    • Standardmodell: nvidia/nemotron-3-super-120b-a12b
    • Für die Nutzung ist ein NVIDIA API Key erforderlich
  • Lokale Inference (Ollama, vLLM) ist experimentell; unter macOS ist Unterstützung für OpenShell-Host-Routing erforderlich

Schutzebenen (Protection Layers)

  • NemoClaw verstärkt die Sandbox-Isolierung mit vier Sicherheitsebenen
    Ebene Geschützt wird Zeitpunkt der Anwendung
    Network Blockiert unautorisierte externe Verbindungen Während der Laufzeit
    Filesystem Blockiert Zugriffe außerhalb von /sandbox und /tmp Bei der Erstellung
    Process Blockiert Rechteausweitung und gefährliche syscalls Bei der Erstellung
    Inference Leitet Modell-API-Aufrufe an ein kontrolliertes Backend weiter Während der Laufzeit
  • Bei nicht genehmigten Host-Zugriffen blockiert OpenShell die Anfrage und zeigt sie in der TUI an

Wichtige Befehle (Key Commands)

  • Host-Befehle (nemoclaw)
    • nemoclaw onboard: Startet den interaktiven Installationsassistenten
    • nemoclaw <name> connect: Verbindet mit der Sandbox
    • nemoclaw start/stop/status: Dienstverwaltung
  • Plugin-Befehle (openclaw nemoclaw)
    • openclaw nemoclaw launch: Startet OpenClaw innerhalb der OpenShell-Sandbox
    • openclaw nemoclaw status: Prüft Status und Blueprint
    • openclaw nemoclaw logs: Streamt Logs
  • Die Plugin-Befehle befinden sich noch in Entwicklung; derzeit wird die Nutzung der nemoclaw-CLI empfohlen

Dokumentation und Lizenz

  • Offizielle Dokumentation: docs.nvidia.com/nemoclaw/latest
    • Bietet Detailbereiche wie Architecture, Network Policies, CLI Commands und Troubleshooting
  • Lizenz: Apache License 2.0
  • Das Projekt wird als Plugin für die sichere Installation von NVIDIA OpenClaw beschrieben

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-03-19
Hacker-News-Kommentare

  • Ich verstehe nicht, warum alle bei OpenClaw immer nur über die Sandbox reden
    Es fühlt sich an, als würde man einem Hund wichtige Dokumente geben und dann aus Sorge, dass er sie frisst, den Hund zusammen mit den Papieren in einen Käfig sperren
    Um am Ende nützlich zu sein, muss es ohnehin an Dienste wie E-Mail und Kalender angebunden werden, und genau das führt zugleich zu Verwirrung und Zerstörung
    Ich bezweifle, dass es sicherer wird, nur weil Nvidia die Inferenz direkt verarbeitet. Deren Hardware verhindert nicht, dass meine E-Mails gelöscht werden

    • Diese Hunde sind eher wie Malinois: Selbst wenn man sie aufhalten will, dringen sie am Ende doch ein
      Es gab tatsächlich Fälle, in denen ein Bot über Nacht lief und am Ende das ganze Netzwerk kompromittiert war
      Einer Sandbox nur ein begrenztes Budget oder Konto zu geben, ist in Ordnung, aber diese Agenten haben kein konsistentes Bewusstsein
      Je nachdem, welchen Text sie im Internet sehen, können sie völlig in eine absurde Richtung abdriften
      Die heutigen Claw-Bots sind eher ein alternative-reality-RPG als nützliche Werkzeuge
      Ich halte es für klüger, auf eine sichere Version zu warten
    • Du hast recht, aber wenn man mal den advocatus diaboli spielt, gibt es Wege, einige Funktionen von Claw-Agent zu nutzen, ohne es völlig riskant einzusetzen
      In Gmail kann man zum Beispiel ein neues Konto anlegen und Mails weiterleiten, und den Kalender per Family Sharing freigeben
      So kann Claw Mails lesen und auf Termine zugreifen, ohne das eigentliche Konto kaputtzumachen
      Fraglich ist nur, ob der Nutzen, den man so bekommt, den Aufwand überhaupt wert ist
      Ein sicheres Claw ist kaum brauchbar, und ein brauchbares Claw ist nicht sicher
    • Ich habe mich mehrere Wochen intensiv mit der Sicherheitsarchitektur von Claw beschäftigt; die Sandbox ist nützlich, aber auch ein Albtraum
      Bei Experimenten mit der Konfiguration hat eine falsche Sandbox-Einstellung dazu geführt, dass Opus auszubrechen versuchte und dabei 20 Dollar API-Kosten verursachte
      Nach Millionen von Tokens und 130 Tool-Aufrufen kam es aus der Sandbox heraus
      Jetzt trenne ich die Tools und Daten, auf die jeder Agent zugreifen kann, per Sandbox voneinander
      Nützlich, aber eine schwer zu handhabende Struktur
    • Der Unterschied hier ist der OpenShell-Gateway-Override
      NemoClaw installiert die OpenShell-Runtime und das Nemotron-Modell und steuert mit deklarativen Richtlinien alle Netzwerkzugriffe und Dateizugriffe
      Entscheidend ist also nicht die Hardware selbst, sondern die Kombination aus OpenShell-Gateway und Netzwerkregeln
      Nvidia scheint so eine Struktur aufzubauen, um ein Ökosystem für den Modell-Deployment mit gemieteten GPUs zu schaffen
    • Viele OpenClaw-Nutzer geben nicht sämtliche Zugriffsrechte frei
      Ein Agent, der zum Beispiel die Service-Verfügbarkeit aufrechterhalten soll, bekommt vielleicht nur GitHub-PR-Rechte und Neustart-Berechtigungen
      Der Kern ist also bewusster und begrenzter Zugriff
      Zu sagen, „es ist nur nützlich, wenn man ihm alles gibt“, ist ein Strohmannargument

  • Das Ökosystem vollautonomer Agenten fühlt sich an, als wäre der gesunde Menschenverstand verschwunden
    Es wirkt, als würde man die gesamte Ingenieursleistung darauf verwenden, den Maschinenraum der Titanic zu verstärken
    Wenn ein staatlich unterstützter Hacker eine Prompt-Injection-Zero-Day-Lücke findet, nützt einem die beste Isolation nichts
    Am Ende ist das eigentliche Problem der Zugriff selbst
    Das ist wie freie Liebe ohne Kondom in den 80ern. Aus der Ferne wirkt es vielleicht aufregend, aber am Ende ist es gefährlich

    • Freie Liebe war eher in den 60ern und 70ern, in den 80ern kamen AIDS und Sucht
      Ich denke, für AI kommt so ein Moment bald auch
    • Tatsächlich kann alles kompromittiert werden: CPU, OS, Firmware, Netzwerkgeräte und sogar die SIM-Karten-JVM
      Das Ausmaß der Bedrohung liegt in einer völlig anderen Dimension
    • Wir leben nun einmal in derselben Welt wie die Leute, die solche Systeme bauen, also müssen wir die Folgen mittragen
    • Die meisten Menschen sorgen sich nicht um staatliche Hacker
      Sie setzen ihr Leben ohnehin schon der Cloud aus
    • Der Titanic-Witz ist lustig, aber am Ende geht es um die Risikotoleranz
      Statt vollständigem Zugriff ist es realistischer, Nutzen in einem begrenzten Rahmen zu suchen
      Wie bei freier Liebe mit Schutzmaßnahmen braucht es das richtige Gleichgewicht

  • Der Teil „Inferenzanfragen verlassen die Sandbox nicht direkt“ war interessant
    OpenShell fängt alle Aufrufe ab und leitet sie in die Nvidia-Cloud weiter
    Am Ende wirkt das wie eine Strategie, mit der Nvidia zum Standard-Rechenanbieter für OpenClaw werden will
    Wenn das gelingt, könnte Nvidia ziemlich große Inferenzumsätze mitnehmen

    • Vielleicht geht es weniger um Umsatz als um Daten
    • Das Grundproblem ist nicht eine sichere Installation, sondern die Struktur selbst, bei der man einem LLM vollständigen Zugriff gibt
      Dieses Projekt löst das eigentliche Problem nicht
    • Stimmt. Aber normale Nutzer werden so etwas vermutlich gar nicht verwenden
      Am Ende kommt einfach die Google-Version und holt sich den Markt

  • NemoClaw ist im Grunde ein trojanisches Pferd, das in die Nvidia-Cloud locken soll
    OpenShell bietet feinkörnige Kontrolle über Ausführung und Netzwerk, proxyiert aber alle LLM-Anfragen in die Nvidia-Cloud
    Man kann zwar auch andere Anbieter nutzen, aber in der Dokumentation steht nicht, wie
    Marketingtechnisch ein sehr kluger Zug

  • Bei der Formulierung „NVIDIA NemoClaw installs…“ musste ich lachen
    Es fühlt sich langsam so an, als würde ich im NVIDIA-Kühlschrank ein Sandwich essen, mit dem NVIDIA-Auto zum NVIDIA-Laden fahren und dort einkaufen

  • Beeindruckend, dass jemand am Anfang seiner Karriere so etwas veröffentlicht hat
    Es ist interessant, wie stark hochwertige AI-Projekte von Junior-Ingenieuren gerade zunehmen

    • Mit mehr Berufserfahrung entstehen oft eher Angst und Vorurteile, die es schwerer machen, Dinge anzugehen
      Neueinsteiger wissen vieles nicht und probieren deshalb mutiger aus
      Was als „Wochenendprojekt“ beginnt, ist zwei Jahre später oft ein fertiges Produkt
      Naivität ist manchmal eine Stärke
    • Wenn man sich die GitHub-Liste der Mitwirkenden ansieht, scheinen alle vier erfahrene Entwickler zu sein
      Ich frage mich, warum du dachtest, das seien Anfänger
    • Inzwischen kann man ein AI-Team zusammenstellen und damit Probleme auf Senior-Niveau lösen
      Wichtiger als Erfahrung ist die Koordinationsfähigkeit
    • Es gibt auch die Frage: „Was ist so besonders daran, wenn es ein Anfänger gebaut hat?“
    • Im Vergleich zu vor zwei oder drei Jahren ist eine völlig andere Generation aufgetaucht
      Sie denkt weniger in „selbst coden“ als in Systeme anwerfen und Ergebnisse prüfen
      Ein 21-jähriger Entwickler probiert 20 Richtungen parallel aus, während ein Senior noch über das perfekte Design nachdenkt
      Am Ende ist die junge Generation bei Geschwindigkeit und Anpassungsfähigkeit überlegen
      Gründer reduzieren bereits Entwickler über 24 und ersetzen sie durch jüngere Talente
      Mit polynomiellem Denken kann man in einem exponentiellen Zeitalter nicht mithalten

  • Das ist eine Architektur, bei der Kubernetes in einer VM läuft, also eher etwas für Unternehmen
    Die Sandbox- und Richtlinienfunktionen sind gut, aber man braucht eher die Leichtgewichtigkeit von Docker Compose

  • Ich bin gegenüber dem ganzen Genre Claw skeptisch
    Besonders geschlossenes Claw, das an einen Server zurückmeldet, macht mich noch misstrauischer

    • Das ist, als würde man nach dem Sinn von proprietärer Software fragen

  • Ehrlich gesagt wirkt das alles wie eine verrückte Idee
    Selbst wenn man ein Modell wie Claude nutzt, sollte immer ein Mensch gegenprüfen
    AI kann sich jederzeit auf absurde Weise verändern
    Selbst bei einem Assistenten, dem ich vertraue, möchte ich Inhalte prüfen, die in meinem Namen hinausgehen
    Claw ignoriert diesen grundlegenden gesunden Menschenverstand
    Voller Zugriff auf E-Mail, Kalender und Telefon ist ein Sicherheitsdesaster
    Selbst mit Proxy-Konten handelt es am Ende in meinem Namen
    Und bin ich wirklich so beschäftigt? Eigentlich brauche ich das gar nicht

    • Dann gib dem Agenten eben seinen eigenen Namen und sein eigenes Konto, damit er unabhängig handeln kann

  • Wenn man sich die Commit-Historie ansieht, wirkt es so, als hätte die Arbeit erst zwei Tage vor der Ankündigung begonnen
    Es gab zwar Entwurfsdokumente, aber die Implementierung wirkt, als sei sie von Grund auf neu gebaut worden

    • Solche GitHub-Repositories tauchen nicht einfach plötzlich auf
      Wahrscheinlich wurde intern schon alles entwickelt und dann nur noch für die Veröffentlichung verschoben
    • Das Claw-Konzept ist simpel. Mit AI kann man so etwas an einem Wochenende schon mit Token im Wert von etwa 100 Dollar bauen
      Ich habe es selbst ausprobiert