Смирительная рубашка для ИИ. NVIDIA NemoClaw лишает нейросети права на восстание внутри вашего компьютера

NVIDIA представила NemoClaw, набор инструментов для более безопасного запуска ИИ-агентов, которые работают постоянно и могут выполнять действия в системе без участия человека. Проект не добавляет новую модель, а создаёт для OpenClaw изолированную среду, где доступ к сети, файлам и другим ресурсам заранее ограничен правилами.

Проект открыт и доступен в раннем превью с 16 марта 2026 года. Разработчики сразу предупреждают, что до готового продукта пока далеко: интерфейсы, программные интерфейсы и само поведение системы ещё будут меняться, а код выложен прежде всего для ранних экспериментов и сбора отзывов. Такой акцент важен сам по себе, потому что NVIDIA не пытается выдать NemoClaw за законченную платформу, а показывает черновик будущей инфраструктуры для более безопасного запуска автономных агентов.

В основе NemoClaw лежит среда выполнения NVIDIA OpenShell, которая входит в NVIDIA Agent Toolkit. Именно она отвечает за изоляцию и контроль. Поверх неё запускается OpenClaw, а сама утилита nemoclaw собирает всё вместе: создаёт песочницу, настраивает инференс, применяет политики безопасности и даёт команды для подключения, проверки состояния и просмотра журналов.

Установка сделана предельно просто. Пользователю предлагают скачать и сразу выполнить установочный сценарий одной командой:

curl -fsSL https://www.nvidia.com/nemoclaw.sh | bash

Во время установки сценарий при необходимости ставит Node.js, а затем запускает пошаговый мастер настройки. Он создаёт новую изолированную среду OpenClaw, настраивает инференс и применяет политики безопасности. Если Node.js управляется через nvm или fnm, путь к утилите может не обновиться в текущей оболочке, поэтому после установки иногда приходится перечитать конфигурацию командой вроде source ~/.bashrc или просто открыть новый терминал.

После завершения установки система показывает краткую сводку о том, что именно поднято. В ней указывается имя песочницы, выбранная модель, а также команды для подключения, проверки статуса и просмотра журналов. Пример выглядит так:

Sandbox      my-assistant (Landlock + seccomp + netns)
  Model        nvidia/nemotron-3-super-120b-a12b (NVIDIA Endpoint API)
  
  Run:         nemoclaw my-assistant connect
  Status:      nemoclaw my-assistant status
  Logs:        nemoclaw my-assistant logs --follow

Дальше работа идёт уже внутри изолированной среды. Подключение выполняется командой nemoclaw my-assistant connect, после чего открывается оболочка песочницы с приглашением вида sandbox@my-assistant:~$. Внутри можно запускать команды OpenClaw и общаться с агентом либо через текстовый интерфейс, либо напрямую через командную строку. Для интерактивного режима используется openclaw tui, а для одиночного запроса с полным выводом ответа подходит команда:

openclaw agent --agent main --local -m "hello" --session-id test

Второй вариант разработчики отдельно советуют для длинных ответов, например когда агент генерирует много кода и вывод в текстовом интерфейсе становится неудобным. В таком случае весь текст сразу печатается в терминал без лишней прослойки.

Главная идея NemoClaw связана не с удобством запуска, а с тем, что агент не должен напрямую общаться с внешним миром. Система разворачивает несколько взаимосвязанных компонентов. Утилита на TypeScript отвечает за команды запуска, подключения, проверки статуса и просмотра журналов. Версионируемый blueprint на Python оркестрирует создание песочницы, настройку политик и подключение инференса. Внутри самой песочницы работает контейнер OpenShell с OpenClaw, а вызовы модели идут через отдельный слой провайдера, прозрачный для агента. Жизненный цикл описан довольно чётко: сначала система определяет нужный артефакт, затем проверяет его дайджест, после этого планирует ресурсы и только потом применяет конфигурацию через интерфейс командной строки OpenShell.

Именно эта схема должна удерживать агента в рамках. В песочнице изначально включается жёсткая базовая политика, которая контролирует исходящие сетевые соединения, доступ к файловой системе, опасные системные вызовы и обращения к модели. Для сети ограничение можно менять на лету, а для файловой системы и процессов правила фиксируются уже в момент создания песочницы. Если агент пытается обратиться к хосту, которого нет в разрешённом списке, OpenShell блокирует запрос и показывает его оператору в интерфейсе для отдельного подтверждения. Доступ к файлам тоже урезан: чтение и запись разрешены только внутри /sandbox и /tmp. Повышение привилегий и опасные системные вызовы блокируются на уровне процессов.

Отдельно вынесен контроль инференса. Запросы к модели не уходят из песочницы напрямую. OpenShell перехватывает каждый такой вызов и маршрутизирует его к провайдеру NVIDIA Endpoint. По умолчанию предлагается модель nvidia/nemotron-3-super-120b-a12b, для которой нужен ключ интерфейса прикладного программирования от build.nvidia.com. Этот ключ мастер настройки запрашивает прямо во время onboarding-процедуры. Локальные варианты, включая Ollama и vLLM, пока помечены как экспериментальные. На macOS они зависят не только от доступности сервиса на хосте, но и от поддержки маршрутизации на стороне OpenShell.

Список требований у проекта выглядит умеренным только на первый взгляд. В минимальной конфигурации заявлены 4 виртуальных ядра процессора, 8 ГБ оперативной памяти и 20 ГБ свободного места, а в рекомендуемой уже фигурируют 16 ГБ ОЗУ и 40 ГБ на диске. Сам образ песочницы весит около 2,4 ГБ в сжатом виде, но во время публикации образа одновременно работают демон Docker, k3s и шлюз OpenShell, а распакованные слои буферизуются в памяти. На машинах с объёмом памяти меньше 8 ГБ такая совокупная нагрузка может привести к срабатыванию OOM killer. Если добавить оперативную память нельзя, NVIDIA советует настроить хотя бы 8 ГБ подкачки, понимая, что за это придётся платить более низкой скоростью работы.

Поддержка платформ тоже пока довольно приземлённая. На Linux основным и фактически главным вариантом остаётся Docker. Для macOS на Apple Silicon рекомендуются Colima и Docker Desktop. Podman на macOS пока не поддерживается, потому что текущая версия NemoClaw зависит от возможностей OpenShell, которых там ещё нет. Для Windows путь идёт через Docker Desktop с WSL-бэкендом. Отдельно упомянут DGX Spark: для него предлагается сначала пройти специальное руководство с настройкой cgroup v2 и Docker, а уже потом запускать стандартную установку.

Если что-то ломается, разработчики советуют сразу разделять два слоя диагностики. Состояние самого NemoClaw проверяется командой nemoclaw <name> status, а состояние песочницы на стороне OpenShell можно посмотреть через openshell sandbox list. Такое разделение хорошо показывает общую архитектуру проекта: верхний уровень отвечает за управление и сценарий использования, нижний за фактическую изоляцию и исполнение.

Удаление тоже оформлено отдельным сценарием, который чистит песочницы, шлюз, провайдеры, связанные образы и контейнеры Docker, локальные каталоги состояния и глобальный npm-пакет nemoclaw. При этом общесистемные инструменты вроде Docker, Node.js, npm или Ollama он не трогает. Базовая команда выглядит так:

curl -fsSL https://raw.githubusercontent.com/NVIDIA/NemoClaw/refs/heads/main/uninstall.sh | bash

Для неё предусмотрены дополнительные флаги. --yes отключает подтверждение, --keep-openshell оставляет установленный бинарный файл OpenShell, а --delete-models дополнительно удаляет модели Ollama, которые подтянул NemoClaw. Например, запуск без запроса подтверждения выглядит так:

curl -fsSL https://raw.githubusercontent.com/NVIDIA/NemoClaw/refs/heads/main/uninstall.sh | bash -s -- --yes

Вся эта конструкция интересна не набором отдельных команд, а тем, какой подход NVIDIA предлагает для следующего поколения ИИ-ассистентов. Вместо того чтобы надеяться на благоразумие самого агента, компания строит внешнюю обвязку, которая жёстко ограничивает доступ к сети, файлам, процессам и даже к вызовам модели. Для постоянно работающих помощников такой подход выглядит почти неизбежным: как только агент получает возможность выполнять реальные действия, обычного диалогового интерфейса уже недостаточно и нужен отдельный слой безопасности между моделью и системой.

NemoClaw пока остаётся ранним экспериментом, а не готовым решением для промышленной эксплуатации. Но именно в таком виде проект и интересен: он показывает, как крупный игрок видит практический запуск автономных агентов в ближайшем будущем. Не просто модель в контейнере, а песочница с политиками, шлюзом, маршрутизацией инференса и явным контролем каждого выхода наружу. Для рынка ИИ это, пожалуй, не менее важный сигнал, чем выпуск очередной большой модели.