Nvidia NemoClaw: plugin OpenClaw para OpenShell

 (github.com/NVIDIA)
1 puntos por GN⁺ 2026-03-19 | 1 comentarios | Compartir por WhatsApp
  • Plugin de código abierto de NVIDIA para instalar y ejecutar de forma segura el agente OpenClaw, que ofrece un entorno de sandbox de seguridad basado en el runtime de OpenShell
  • Instala NVIDIA OpenShell y el modelo Nemotron, con una arquitectura que controla por políticas todas las solicitudes de red, accesos a archivos y llamadas de inferencia
  • Configura fácilmente el entorno con un script de instalación, y permite interactuar directamente con el agente dentro del sandbox mediante interfaces CLI y TUI
  • Las solicitudes de inferencia no salen directamente del sandbox, sino que se enrutan de forma segura a través de la NVIDIA Cloud API; la inferencia local (Ollama, vLLM) está en fase de soporte experimental
  • Integra capas de seguridad, control por políticas y onboarding automatizado, ofreciendo una base importante para desarrolladores que buscan desplegar y operar agentes de IA autónomos de forma segura

Descripción general

  • NemoClaw es un stack de código abierto de NVIDIA para operar de forma segura un asistente de IA siempre activo basado en OpenClaw
    • Instala el runtime de OpenShell y configura un sandbox de seguridad dentro del entorno de NVIDIA Agent Toolkit
    • La inferencia se enruta a través de NVIDIA Cloud y toda la ejecución se gestiona con base en políticas
  • Actualmente está en fase alpha (Alpha), por lo que la interfaz y la API pueden cambiar, y todavía no se recomienda para entornos de producción

Inicio rápido (Quick Start)

  • Antes de la instalación, se requiere Ubuntu 22.04 o superior, Node.js 20+, npm 10+ y un runtime de contenedores
  • Las especificaciones mínimas de hardware son 4 vCPU, 8 GB de RAM, 20 GB de espacio en disco; la recomendación es 16 GB de RAM o más
  • Ejemplo de comando de instalación: 
    curl -fsSL https://www.nvidia.com/nemoclaw.sh | bash
    • Después de la instalación, puedes conectarte al sandbox con el comando nemoclaw my-assistant connect
  • Al completar la instalación, el resumen del entorno muestra elementos como el nombre del sandbox, el modelo y los comandos de estado

Interacción con el agente

  • Es posible conversar con el agente OpenClaw mediante TUI (UI de texto) o CLI
    • La TUI es adecuada para el intercambio interactivo de mensajes
    • La CLI imprime respuestas largas (por ejemplo, resultados de generación de código) directamente en la terminal
  • Comando de ejemplo: 
    openclaw agent --agent main --local -m "hello" --session-id test

Cómo funciona (How It Works)

  • NemoClaw instala el runtime de OpenShell y el modelo Nemotron, y configura el entorno sandbox mediante blueprints versionados
  • Componentes principales:
    • Plugin: comandos CLI basados en TypeScript (launch, connect, status, etc.)
    • Blueprint: artefacto en Python que administra la creación del sandbox, las políticas y la configuración de inferencia
    • Sandbox: contenedor de OpenShell que restringe por políticas el acceso a la red y al sistema de archivos
    • Inference: llamadas al modelo a través de la NVIDIA Cloud API
  • Si ocurre un error, se puede revisar el estado con nemoclaw <name> status o openshell sandbox list

Inferencia (Inference)

  • Todas las solicitudes de inferencia se enrutan desde dentro del sandbox hacia el NVIDIA Cloud Provider
    • Modelo predeterminado: nvidia/nemotron-3-super-120b-a12b
    • Se requiere una NVIDIA API Key para usarlo
  • La inferencia local (Ollama, vLLM) es experimental, y en macOS se necesita soporte de enrutamiento del host de OpenShell

Capas de protección (Protection Layers)

  • NemoClaw refuerza el aislamiento del sandbox mediante cuatro capas de seguridad
    Capa Qué protege Cuándo se aplica
    Network Bloquea conexiones externas no autorizadas Durante la ejecución
    Filesystem Bloquea el acceso fuera de /sandbox y /tmp Al crear
    Process Bloquea escalamiento de privilegios y syscalls peligrosas Al crear
    Inference Enruta las llamadas a la API del modelo a un backend controlado Durante la ejecución
  • Si hay un acceso no aprobado al host, OpenShell bloquea la solicitud y la muestra en la TUI

Comandos principales (Key Commands)

  • Comandos del host (nemoclaw)
    • nemoclaw onboard: ejecuta el asistente interactivo de instalación
    • nemoclaw <name> connect: conecta al sandbox
    • nemoclaw start/stop/status: administración del servicio
  • Comandos del plugin (openclaw nemoclaw)
    • openclaw nemoclaw launch: inicia OpenClaw dentro del sandbox de OpenShell
    • openclaw nemoclaw status: verifica el estado y el blueprint
    • openclaw nemoclaw logs: streaming de logs
  • Los comandos del plugin están en desarrollo; por ahora se recomienda usar la CLI nemoclaw

Documentación y licencia

  • Documentación oficial: docs.nvidia.com/nemoclaw/latest
    • Incluye secciones detalladas como Architecture, Network Policies, CLI Commands y Troubleshooting
  • Licencia: Apache License 2.0
  • El proyecto se describe como un plugin para la instalación segura de NVIDIA OpenClaw

Lecturas relacionadas

1 comentarios

 
GN⁺ 2026-03-19
Comentarios de Hacker News

  • No entiendo por qué, cuando la gente habla de OpenClaw, todos terminan hablando del sandbox
    Es como darle documentos importantes a un perro y, por miedo a que se los coma, encerrar al perro y a los documentos juntos en una jaula
    Al final, para que sea útil, hay que conectarlo a servicios como email y calendario, y eso al mismo tiempo provoca confusión y destrucción
    Dudo que sea más seguro solo porque Nvidia procese la inferencia directamente. Su hardware no va a impedir que se borren mis correos

    • Estos perros son como un Malinois: aunque intentes detenerlos, al final se meten igual
      De hecho, ya hubo casos de dejar corriendo un bot toda la noche y que toda la red terminara comprometida
      Está bien darles un presupuesto o una cuenta limitados mediante sandbox, pero estos agentes no tienen una conciencia consistente
      Dependiendo de qué texto encuentren en internet, pueden desviarse por completo hacia cualquier lado
      Los bots Claw de hoy se parecen más a un RPG de realidad alternativa que a una herramienta útil
      Creo que lo sensato es esperar a que exista una versión segura
    • Tienes razón, pero haciendo de abogado del diablo
      hay maneras de obtener parte de la funcionalidad de un Claw-agent sin usarlo de forma totalmente peligrosa
      Por ejemplo, en Gmail puedes crear una cuenta nueva para reenviar correos, y el calendario se puede compartir con Family Sharing
      Así, Claw puede leer los correos y acceder al calendario, pero no puede arruinar la cuenta real
      Aun así, queda la duda de si la utilidad que se obtiene así realmente vale la pena
      Un Claw seguro casi no sirve, y un Claw útil no es seguro
    • Pasé varias semanas investigando a fondo la arquitectura de seguridad de Claw, y el sandbox es útil, pero una pesadilla
      Mientras experimentaba con configuraciones, una mala configuración del sandbox hizo que Opus intentara escapar y terminara generando $20 en cargos de API
      Después de millones de tokens y 130 llamadas a herramientas, logró salir del sandbox
      Ahora separo con sandbox las herramientas y los datos a los que puede acceder cada agente
      Es útil, pero una estructura difícil de manejar
    • La diferencia aquí es el OpenShell gateway override
      NemoClaw instala el runtime de OpenShell y el modelo Nemotron, y controla todas las solicitudes de red y accesos a archivos con políticas declarativas
      O sea, la clave no es el hardware en sí, sino la combinación del gateway de OpenShell y las políticas de red
      Parece que Nvidia creó esta estructura como parte de una estrategia para construir un ecosistema de despliegue de modelos basado en alquiler de GPU
    • Muchos usuarios de OpenClaw no le dan acceso a todo
      Por ejemplo, si es un agente para mantener la disponibilidad de un servicio, le das permisos para GitHub PR y para reiniciar, nada más
      O sea, la clave es el acceso intencional y limitado
      Decir que “si no le das todo, no sirve” es un hombre de paja

  • Todo el ecosistema de agentes totalmente autónomos da la impresión de que se perdió el sentido común
    Es como dedicar todo el esfuerzo de ingeniería a reforzar la sala de máquinas del Titanic
    Si un hacker patrocinado por un Estado descubre un zero-day de prompt injection, no importa cuánto aísles el sistema
    El problema al final es el acceso mismo
    Esto se parece al amor libre sin condón en los 80: desde lejos parece divertido, pero al final es peligroso

    • El amor libre fue más de los 60 y 70; en los 80 llegaron el SIDA y la adicción
      Creo que a la IA pronto le llegará un momento así
    • En realidad, se puede comprometer todo: CPU, OS, firmware, equipo de red, hasta la JVM de la SIM
      La escala de la amenaza está en otra dimensión por completo
    • Al final vivimos en el mismo mundo que la gente que construyó estos sistemas, así que nosotros también vamos a sufrir las consecuencias
    • La mayoría de la gente no está preocupada por hackers estatales
      Ya exponen su vida a la nube de todos modos
    • El chiste del Titanic da risa, pero al final es un tema de tolerancia al riesgo
      En vez de acceso total, lo realista es encontrar utilidad dentro de un alcance limitado
      Como el amor libre con protección, hace falta un equilibrio adecuado

  • Me pareció interesante la parte de que “las solicitudes de inferencia no salen directamente del sandbox”
    OpenShell intercepta todas las llamadas y las enruta a la nube de Nvidia
    Al final, parece una estrategia para que Nvidia se convierta en el proveedor predeterminado de cómputo para OpenClaw
    Si les sale bien, podrían quedarse con ingresos bastante grandes por inferencia

    • Tal vez lo importante no sea el ingreso, sino los datos
    • El problema de fondo no es una instalación segura, sino la estructura misma de darle todo el acceso a un LLM
      Este proyecto no resuelve el problema real
    • Exacto. Pero el usuario común no va a usar esto
      Al final saldrá una versión de Google y se quedará con el mercado

  • NemoClaw es básicamente un caballo de Troya para llevarte a la nube de Nvidia
    OpenShell ofrece control detallado de ejecución y red, pero hace proxy de todas las solicitudes al LLM hacia la nube de Nvidia
    Se pueden usar otros proveedores, pero la documentación no explica cómo
    Es una jugada muy inteligente en términos de marketing

  • Me dio risa ver la frase “NVIDIA NemoClaw installs…”
    Ya siento que voy a comer un sándwich en un refrigerador NVIDIA, manejar un auto NVIDIA e ir a una tienda NVIDIA

  • Me impresiona que alguien al inicio de su carrera haya lanzado algo así
    Es interesante cómo últimamente se dispararon los proyectos de IA de alta calidad hechos por ingenieros junior

    • Cuando acumulas experiencia, al contrario, aparecen el miedo y los prejuicios, y se vuelve más difícil lanzarte
      En cambio, alguien nuevo se atreve porque no sabe todo lo que no sabe
      Muchas veces algo que empezó como un “proyecto de fin de semana” termina siendo un producto terminado dos años después
      La ingenuidad a veces es una fortaleza
    • Si ves la lista de contribuidores en GitHub, los cuatro parecen desarrolladores con experiencia
      Me da curiosidad por qué pensaste que eran principiantes
    • Ahora puedes armar un equipo de IA para resolver problemas de nivel senior
      Lo importante no es tanto la experiencia como la capacidad de coordinación
    • También está la duda de “¿qué tiene de impresionante que lo haya hecho un principiante?”
    • Comparado con hace 2 o 3 años, apareció una generación completamente distinta
      Piensan más en poner a correr sistemas y revisar resultados que en “programar directamente”
      Un desarrollador de 21 años prueba 20 direcciones en paralelo, mientras un senior sigue pensando en el diseño perfecto
      Al final, la generación joven arrasa en velocidad y adaptabilidad
      Los fundadores ya están reduciendo desarrolladores de más de 24 años y reemplazándolos por talento joven
      El pensamiento polinómico no puede seguirle el ritmo a una era exponencial

  • Esto es una estructura de Kubernetes corriendo dentro de una VM, pensada para empresas
    Las funciones de sandbox y políticas están bien, pero hace falta algo tan ligero como Docker Compose

  • Soy escéptico con todo el género de Claw
    Sobre todo con los Claw cerrados que reportan a un servidor, eso me genera todavía más desconfianza

    • Eso es como preguntar para qué sirve el software cerrado

  • Sinceramente, todo esto me parece una idea de locos
    Aunque uses un modelo como Claude, siempre debería haber revisión humana
    La IA puede desviarse en cualquier momento de maneras absurdas
    Por mucho que confíe en un asistente, quiero revisar cualquier contenido que salga con mi nombre
    Claw ignora ese sentido común básico
    Dar acceso total a email, calendario y teléfono es un desastre de seguridad
    Aunque uses cuentas proxy, al final sigue actuando en mi nombre
    Y además, ¿de verdad estoy tan ocupado? La verdad, no lo necesito

    • Entonces dale al agente su propio nombre y su propia cuenta, y deja que actúe de manera independiente

  • Viendo el historial de commits, parece que empezaron a trabajar dos días antes del anuncio
    Había documentos de diseño, pero la implementación parece hecha desde cero

    • No es que un repositorio de GitHub así aparezca de la nada
      Lo más probable es que ya lo hubieran desarrollado internamente y luego lo movieran para publicarlo
    • El concepto de Claw es simple. Con IA puedes hacerlo en un fin de semana con unos 100 dólares en tokens
      Yo mismo lo hice