Nvidia NemoClaw: Plugin OpenClaw para OpenShell

 (github.com/NVIDIA)
1 pontos por GN⁺ 2026-03-19 | 1 comentários | Compartilhar no WhatsApp
  • Plugin open source da NVIDIA para instalar e executar com segurança o agente OpenClaw, oferecendo um ambiente de sandbox seguro baseado no runtime OpenShell
  • Instala o NVIDIA OpenShell e os modelos Nemotron, com uma arquitetura que controla por políticas todas as requisições de rede, acessos a arquivos e chamadas de inferência
  • Configura facilmente o ambiente com um script de instalação, e permite interagir diretamente com o agente dentro da sandbox por meio de interfaces CLI e TUI
  • As requisições de inferência não saem diretamente da sandbox, sendo roteadas com segurança via NVIDIA Cloud API; inferência local (Ollama, vLLM) está em suporte experimental
  • Ao integrar camadas de segurança, controle por políticas e onboarding automatizado, fornece uma base importante para desenvolvedores que desejam implantar e operar agentes autônomos de IA com segurança

Visão geral

  • NemoClaw é uma stack open source da NVIDIA para operar com segurança assistentes de IA sempre ativos baseados em OpenClaw
    • Instala o runtime OpenShell e configura uma sandbox segura no ambiente NVIDIA Agent Toolkit
    • A inferência é roteada via NVIDIA Cloud, e toda a execução é gerenciada com base em políticas
  • Atualmente está em fase Alpha, e a interface e as APIs podem mudar; ainda não é recomendado para ambientes de produção

Início rápido (Quick Start)

  • Antes da instalação, os requisitos incluem Ubuntu 22.04 ou superior, Node.js 20+, npm 10+ e um runtime de contêiner
  • A configuração mínima de hardware é 4 vCPU, 8GB de RAM, 20GB de espaço em disco, e a recomendada é 16GB de RAM ou mais
  • Exemplo de comando de instalação: 
    curl -fsSL https://www.nvidia.com/nemoclaw.sh | bash
    • Após a instalação, é possível acessar a sandbox com o comando nemoclaw my-assistant connect
  • Após concluir a instalação, o resumo do ambiente exibe itens como nome da sandbox, modelo e comandos de status

Interação com o agente

  • É possível conversar com o agente OpenClaw via TUI (interface de texto) ou CLI
    • A TUI é adequada para troca de mensagens interativa
    • A CLI imprime diretamente no terminal respostas longas, como resultados de geração de código
  • Exemplo de comando: 
    openclaw agent --agent main --local -m "hello" --session-id test

Como funciona (How It Works)

  • O NemoClaw instala o runtime OpenShell e os modelos Nemotron e configura o ambiente de sandbox por meio de blueprints versionados
  • Principais componentes:
    • Plugin: comandos CLI baseados em TypeScript (launch, connect, status etc.)
    • Blueprint: artefato em Python que gerencia criação da sandbox, políticas e configuração de inferência
    • Sandbox: contêiner OpenShell que restringe o acesso à rede e ao sistema de arquivos por políticas
    • Inference: chamadas de modelo via NVIDIA Cloud API
  • Em caso de erro, é possível verificar o estado com nemoclaw <name> status ou openshell sandbox list

Inferência (Inference)

  • Todas as requisições de inferência são roteadas de dentro da sandbox para o NVIDIA Cloud Provider
    • Modelo padrão: nvidia/nemotron-3-super-120b-a12b
    • É necessária uma NVIDIA API Key para uso
  • Inferência local (Ollama, vLLM) é experimental e, no macOS, requer suporte de roteamento de host do OpenShell

Camadas de proteção (Protection Layers)

  • O NemoClaw reforça o isolamento da sandbox por meio de quatro camadas de segurança
    Camada O que protege Quando se aplica
    Network Bloqueia conexões externas não autorizadas Em tempo de execução
    Filesystem Bloqueia acesso fora de /sandbox e /tmp Na criação
    Process Bloqueia elevação de privilégios e syscalls perigosas Na criação
    Inference Roteia chamadas à API de modelo para um backend controlado Em tempo de execução
  • Se houver tentativa de acesso não autorizado ao host, o OpenShell bloqueia a requisição e a exibe na TUI

Principais comandos (Key Commands)

  • Comandos do host (nemoclaw)
    • nemoclaw onboard: executa o assistente interativo de instalação
    • nemoclaw <name> connect: acessa a sandbox
    • nemoclaw start/stop/status: gerencia os serviços
  • Comandos do plugin (openclaw nemoclaw)
    • openclaw nemoclaw launch: faz o bootstrap do OpenClaw dentro da sandbox OpenShell
    • openclaw nemoclaw status: verifica estado e blueprint
    • openclaw nemoclaw logs: transmite logs em streaming
  • Os comandos do plugin ainda estão em desenvolvimento; no momento, recomenda-se usar a CLI nemoclaw

Documentação e licença

  • Documentação oficial: docs.nvidia.com/nemoclaw/latest
    • Oferece itens detalhados como Architecture, Network Policies, CLI Commands e Troubleshooting
  • Licença: Apache License 2.0
  • O projeto é descrito como um plugin para instalação segura do NVIDIA OpenClaw

Leituras relacionadas

1 comentários

 
GN⁺ 2026-03-19
Comentários do Hacker News

  • Não entendo por que, quando as pessoas falam de OpenClaw, todo mundo só fala de sandbox
    É como dar documentos importantes para um cachorro e, com medo de ele comer, colocar o cachorro e os documentos juntos numa jaula
    No fim, para ser útil, ele precisa se conectar a serviços como e-mail e calendário, e isso ao mesmo tempo causa confusão e destruição
    Tenho dúvidas se fica mais seguro só porque a Nvidia processa a inferência diretamente. O hardware deles não vai impedir que meus e-mails sejam apagados

    • Esses cães são como Malinois: mesmo tentando impedir, no fim eles invadem
      Já houve casos reais de deixar um bot rodando durante a noite e a rede inteira acabar comprometida
      Tudo bem dar só um orçamento ou conta limitados por sandbox, mas esses agentes não têm uma consciência consistente
      Dependendo de que texto encontrem na internet, podem ir parar em uma direção completamente absurda
      Os bots Claw de hoje se parecem mais com um RPG de realidade alternativa do que com ferramentas úteis
      Acho sensato esperar até sair uma versão segura
    • Você está certo, mas, fazendo o papel de advogado do diabo
      existe uma forma de obter parte da funcionalidade do Claw-agent sem usá-lo de modo totalmente perigoso
      Por exemplo, no Gmail você cria uma conta nova, encaminha os e-mails para ela, e no calendário compartilha via Family Sharing
      Assim, o Claw pode ler os e-mails e acessar a agenda, sem conseguir estragar a conta real
      Ainda assim, fica a dúvida se a utilidade obtida desse jeito vale a pena
      Claw seguro quase não serve para nada, e Claw útil não é seguro
    • Passei algumas semanas examinando a fundo a arquitetura de segurança do Claw, e o sandbox é útil, mas também um pesadelo
      Durante testes de configuração, uma configuração errada de sandbox fez o Opus tentar escapar, gerando US$ 20 em cobrança de API
      Depois de milhões de tokens e 130 chamadas de ferramenta, ele saiu do sandbox
      Agora estou usando sandboxes separados para isolar as ferramentas e os dados que cada agente pode acessar
      É útil, mas uma estrutura difícil de manejar
    • O diferencial aqui é o OpenShell gateway override
      O NemoClaw instala o runtime do OpenShell e o modelo Nemotron, e controla todas as requisições de rede e acessos a arquivos com políticas declarativas
      Ou seja, o ponto principal não é o hardware em si, mas a combinação do gateway do OpenShell com as políticas de rede
      Parece que a Nvidia fez essa estrutura como estratégia para criar um ecossistema de implantação de modelos baseado em aluguel de GPU
    • Muitos usuários do OpenClaw não dão acesso irrestrito a tudo
      Por exemplo, se for um agente para manter a disponibilidade de um serviço, ele recebe só permissão para PRs no GitHub e para reiniciar serviços
      Ou seja, o essencial é o acesso intencional e limitado
      Dizer que “só é útil se tiver acesso a tudo” é um argumento de espantalho

  • O ecossistema de agentes totalmente autônomos dá a impressão de que o bom senso desapareceu
    Parece que todo o esforço de engenharia está sendo gasto para reforçar a casa de máquinas do Titanic
    Se um hacker patrocinado por um Estado encontrar um zero-day de prompt injection, nenhum isolamento vai adiantar
    No fim, o problema é o próprio nível de acesso
    Isso é como praticar amor livre sem camisinha nos anos 80. De longe parece divertido, mas no fim é perigoso

    • Amor livre foi nos anos 60 e 70; nos anos 80 vieram a AIDS e o vício
      Acho que algo assim também vai acontecer logo com a IA
    • Na verdade, dá para comprometer CPU, SO, firmware, equipamento de rede e até a JVM do SIM card
      A escala da ameaça está em outro nível
    • No fim, como vivemos no mesmo mundo que as pessoas que criam esses sistemas, nós também vamos sofrer as consequências
    • A maioria das pessoas não se preocupa com hackers estatais
      Afinal, já expõem a própria vida à nuvem
    • A piada do Titanic é engraçada, mas no fim é uma questão de tolerância a risco
      Em vez de acesso total, o mais realista é encontrar utilidade em um escopo limitado
      Como no amor livre com proteção, é preciso um equilíbrio adequado

  • Achei interessante a parte de que “a requisição de inferência não sai diretamente do sandbox”
    O OpenShell intercepta todas as chamadas e as roteia para a nuvem da Nvidia
    No fim, isso parece uma estratégia para a Nvidia virar o provedor padrão de computação do OpenClaw
    Se der certo, podem levar uma boa fatia da receita de inferência

    • Talvez o principal nem seja receita, mas sim dados
    • O problema fundamental não é uma instalação segura, e sim a própria estrutura de dar todo o acesso a um LLM
      Este projeto não resolve o problema real
    • Concordo. Mas usuários comuns não vão usar isso
      No fim, vai surgir uma versão do Google e levar o mercado

  • O NemoClaw é, na prática, um cavalo de Troia para empurrar usuários para a nuvem da Nvidia
    O OpenShell oferece controle detalhado de execução e rede, mas faz proxy de todas as requisições de LLM para a nuvem da Nvidia
    Dá para usar outros provedores, mas a documentação não explica como
    É uma jogada de marketing muito esperta

  • Ri ao ver a frase “NVIDIA NemoClaw installs…”
    Agora parece que vou comer meu sanduíche na geladeira da NVIDIA, dirigir meu carro da NVIDIA e ir até a loja da NVIDIA

  • Impressiona que alguém no início da carreira tenha lançado algo assim
    É interessante ver o aumento recente de projetos de IA de alta qualidade feitos por engenheiros júnior

    • À medida que a carreira avança, surgem mais medos e preconceitos, e fica mais difícil se arriscar
      Já os iniciantes, por não saberem tanta coisa, tentam com mais ousadia
      Muitas vezes algo que começou como um “projeto de fim de semana” vira um produto acabado dois anos depois
      Ingenuidade às vezes é uma força
    • Pela lista de contribuidores no GitHub, os quatro parecem desenvolvedores experientes
      Fico curioso para saber por que você achou que eram iniciantes
    • Agora já dá para montar uma equipe de IA para resolver problemas de nível sênior
      O importante, mais do que experiência, é a capacidade de coordenação
    • Também existe a dúvida: “o que há de tão impressionante em algo feito por um iniciante?”
    • Em comparação com 2 ou 3 anos atrás, surgiu uma geração completamente diferente
      Eles têm uma mentalidade de rodar sistemas e verificar resultados, mais do que de “codar diretamente”
      Um desenvolvedor de 21 anos tenta 20 direções em paralelo, enquanto um sênior ainda está pensando no design perfeito
      No fim, a geração mais jovem domina em velocidade e adaptabilidade
      Fundadores estão reduzindo a quantidade de desenvolvedores acima de 24 anos e substituindo por talentos mais jovens
      Com pensamento polinomial, não dá para acompanhar uma era exponencial

  • Isso é uma estrutura de rodar Kubernetes dentro de uma VM, voltada para empresas
    Os recursos de sandbox e política são bons, mas seria preciso algo mais leve no nível de Docker Compose

  • Sou cético em relação ao gênero Claw em si
    Especialmente Claw fechado que reporta para um servidor, isso me deixa ainda mais desconfiado

    • Isso é como perguntar para que serve um software fechado

  • Sinceramente, tudo isso parece uma ideia maluca
    Mesmo usando um modelo como Claude, sempre precisa haver revisão humana
    A IA pode mudar para um comportamento absurdo a qualquer momento
    Por mais que eu confie num assistente, eu gostaria de revisar qualquer conteúdo enviado em meu nome
    O Claw ignora esse bom senso básico
    Dar acesso total a e-mail, calendário e telefone é um desastre de segurança
    Mesmo com uma conta proxy, no fim ele continua agindo em meu nome
    Além disso, eu estou realmente tão ocupado assim? Não preciso disso

    • Então é só dar ao agente o próprio nome e a própria conta, e deixar que ele aja de forma independente

  • Pelo histórico de commits, parece que o trabalho começou dois dias antes do anúncio
    Havia documentos de design, mas a implementação parece ter sido feita do zero

    • Repositórios do GitHub não surgem do nada assim
      É bem provável que o desenvolvimento já tivesse sido concluído internamente e só depois migrado para divulgação pública
    • O conceito de Claw é simples. Dá para fazer em um fim de semana com IA e uns US$ 100 em tokens
      Eu mesmo já fiz isso