Nvidia NemoClaw : plugin OpenClaw pour OpenShell

(github.com/NVIDIA)

1 points par GN⁺ 2026-03-19 | 1 commentaires | Partager sur WhatsApp

Plugin open source de NVIDIA permettant d’installer et d’exécuter en toute sécurité des agents OpenClaw, en fournissant un environnement sandbox sécurisé basé sur le runtime OpenShell
Structure reposant sur l’installation de NVIDIA OpenShell et du modèle Nemotron, avec contrôle basé sur des politiques pour toutes les requêtes réseau, les accès fichiers et les appels d’inférence
Configuration facile de l’environnement via un script d’installation, avec possibilité d’interagir directement avec les agents dans la sandbox via des interfaces CLI et TUI
Les requêtes d’inférence ne sortent pas directement de la sandbox et sont routées en toute sécurité via la NVIDIA Cloud API ; l’inférence locale (Ollama, vLLM) est prise en charge à titre expérimental
En intégrant couches de sécurité, contrôle par politiques et onboarding automatisé, le projet fournit une base importante pour les développeurs souhaitant déployer et exploiter en toute sécurité des agents IA autonomes

Vue d’ensemble

NemoClaw est une stack open source de NVIDIA pour exploiter en toute sécurité des assistants IA persistants basés sur OpenClaw
- Installe le runtime OpenShell et configure une sandbox sécurisée dans l’environnement NVIDIA Agent Toolkit
- L’inférence est routée via le NVIDIA Cloud et toute l’exécution est gérée selon des politiques
Le projet est actuellement au stade alpha (Alpha) ; l’interface et les API peuvent changer, et il n’est pas encore recommandé en production

Démarrage rapide (Quick Start)

Prérequis avant installation : Ubuntu 22.04 ou version ultérieure, Node.js 20+, npm 10+ et un runtime de conteneur
Configuration matérielle minimale : 4 vCPU, 8 Go de RAM, 20 Go d’espace disque ; configuration recommandée : 16 Go de RAM ou plus
Exemple de commande d’installation :
```
curl -fsSL https://www.nvidia.com/nemoclaw.sh | bash
```
- Après l’installation, vous pouvez vous connecter à la sandbox avec la commande nemoclaw my-assistant connect
Une fois l’installation terminée, le résumé de l’environnement affiche notamment le nom de la sandbox, le modèle et les commandes d’état

Interaction avec l’agent

Il est possible d’échanger avec l’agent OpenClaw via la TUI (interface texte) ou la CLI
- La TUI est adaptée aux échanges interactifs de messages
- La CLI affiche directement dans le terminal les réponses longues (par ex. résultats de génération de code)

Exemple de commande :

openclaw agent --agent main --local -m "hello" --session-id test

Fonctionnement (How It Works)

NemoClaw installe le runtime OpenShell et le modèle Nemotron, puis configure l’environnement sandbox via des blueprints versionnés
Composants principaux :
- Plugin : commandes CLI en TypeScript (launch, connect, status, etc.)
- Blueprint : artefact Python gérant la création de la sandbox, les politiques et la configuration de l’inférence
- Sandbox : conteneur OpenShell limitant par politique l’accès au réseau et au système de fichiers
- Inference : appels de modèles via la NVIDIA Cloud API
En cas d’erreur, il est possible de vérifier l’état avec nemoclaw <name> status ou openshell sandbox list

Inférence (Inference)

Toutes les requêtes d’inférence sont routées depuis la sandbox vers le NVIDIA Cloud Provider
- Modèle par défaut : nvidia/nemotron-3-super-120b-a12b
- Une clé d’API NVIDIA est requise
L’inférence locale (Ollama, vLLM) est expérimentale et nécessite, sur macOS, la prise en charge du routage hôte OpenShell

Couches de protection (Protection Layers)

NemoClaw renforce l’isolation de la sandbox grâce à quatre couches de sécurité

Couche	Élément protégé	Moment d’application
Network	Blocage des connexions externes non autorisées	Pendant l’exécution
Filesystem	Blocage des accès hors de `/sandbox` et `/tmp`	À la création
Process	Blocage de l’élévation de privilèges et des `syscall` dangereux	À la création
Inference	Routage des appels d’API de modèle vers un backend contrôlé	Pendant l’exécution

En cas d’accès hôte non autorisé, OpenShell bloque la requête et l’affiche dans la TUI

Commandes clés (Key Commands)

Commandes hôte (nemoclaw)
- nemoclaw onboard : lance l’assistant d’installation interactif
- nemoclaw <name> connect : connexion à la sandbox
- nemoclaw start/stop/status : gestion du service
Commandes du plugin (openclaw nemoclaw)
- openclaw nemoclaw launch : bootstrap d’OpenClaw dans une sandbox OpenShell
- openclaw nemoclaw status : vérification de l’état et du blueprint
- openclaw nemoclaw logs : streaming des logs
Les commandes du plugin sont encore en développement ; l’utilisation de la CLI nemoclaw est actuellement recommandée

Documentation et licence

Documentation officielle : docs.nvidia.com/nemoclaw/latest
- Détails disponibles sur Architecture, Network Policies, CLI Commands, Troubleshooting, etc.
Licence : Apache License 2.0
Le projet est présenté comme un plugin d’installation sécurisée pour NVIDIA OpenClaw

1 commentaires

GN⁺ 2026-03-19

Commentaires sur Hacker News

Je ne comprends pas pourquoi, dès que les gens parlent d’OpenClaw, ils parlent tous de sandbox
C’est comme confier des documents importants à un chien, puis, de peur qu’il les mange, enfermer le chien et les documents ensemble dans une cage
Au final, pour que ce soit utile, il faut le connecter à des services comme l’e-mail ou le calendrier, et c’est précisément ce qui provoque à la fois confusion et destruction
Je doute que le fait que Nvidia gère directement l’inférence rende cela plus sûr. Leur matériel n’empêchera pas la suppression de mes e-mails
- Ces chiens-là sont du genre Malinois : même si on essaie de les arrêter, ils finissent toujours par s’infiltrer
  Il y a déjà eu des cas où des bots laissés tourner toute la nuit ont compromis un réseau entier
  Leur donner seulement un budget ou un compte limité via une sandbox, ça peut aller, mais ces agents n’ont pas de conscience cohérente
  Selon le texte qu’ils croisent sur Internet, ils peuvent partir complètement dans la mauvaise direction
  Les bots Claw actuels ressemblent davantage à un RPG en réalité alternative qu’à des outils vraiment utiles
  Je pense qu’il vaut mieux attendre une version sûre
- Tu as raison, mais pour jouer l’avocat du diable, il y a des moyens d’obtenir une partie des fonctionnalités d’un agent Claw sans l’utiliser de façon totalement dangereuse
  Par exemple, dans Gmail, on peut créer un nouveau compte pour transférer les e-mails, et partager le calendrier avec Family Sharing
  De cette façon, Claw peut lire les mails et accéder à l’agenda, sans pouvoir casser le vrai compte
  Cela dit, je doute que l’utilité obtenue en vaille vraiment la peine
  Un Claw sûr est presque inutile, et un Claw utile n’est pas sûr
- J’ai étudié en profondeur l’architecture de sécurité de Claw pendant plusieurs semaines, et la sandbox est utile, mais cauchemardesque
  Lors d’un essai de configuration, une mauvaise config de sandbox a poussé Opus à tenter une évasion, ce qui m’a valu 20 $ de frais d’API
  Après des millions de tokens et 130 appels d’outils, il est sorti de la sandbox
  Maintenant, j’utilise des sandbox séparées pour isoler les outils et les données accessibles à chaque agent
  C’est utile, mais très délicat à manier
- La différence ici, c’est l’override de la passerelle OpenShell
  NemoClaw installe le runtime OpenShell et les modèles Nemotron, et contrôle toutes les requêtes réseau et tous les accès fichiers avec des politiques déclaratives
  Autrement dit, le point clé n’est pas le matériel lui-même, mais la combinaison entre la passerelle OpenShell et les politiques réseau
  Nvidia semble avoir conçu cette architecture dans le cadre d’une stratégie visant à créer un écosystème de déploiement de modèles fondé sur la location de GPU
- Beaucoup d’utilisateurs d’OpenClaw ne donnent pas tous les droits d’accès
  Par exemple, pour un agent chargé de maintenir la disponibilité d’un service, on ne lui donne que les droits sur les PR GitHub et les redémarrages
  L’essentiel, c’est un accès volontairement limité
  Dire que « pour être utile, il faut tout lui donner » est un homme de paille
Tout l’écosystème des agents entièrement autonomes donne l’impression d’une disparition du bon sens
On dirait qu’on consacre tout l’effort d’ingénierie à renforcer la salle des machines du Titanic
Si un hacker soutenu par un État découvre un zero-day de prompt injection, aucune isolation ne servira à rien
Au fond, le vrai problème, c’est l’accès lui-même
C’est comme faire de l’amour libre sans préservatif dans les années 80. Vu de loin, ça a l’air amusant, mais au final c’est dangereux
- L’amour libre, c’était plutôt dans les années 60-70, et dans les années 80 il y a eu le SIDA et les addictions
  Je pense que l’IA aura bientôt son moment de ce genre
- En réalité, on peut compromettre CPU, OS, firmware, équipements réseau, et même la JVM d’une carte SIM
  L’échelle de la menace est d’un tout autre ordre
- Au final, on vit dans le même monde que ceux qui construisent ces systèmes, donc on en subira aussi les conséquences
- La plupart des gens ne s’inquiètent pas des hackers étatiques
  Ils exposent déjà leur vie au cloud
- La blague sur le Titanic est drôle, mais au fond, c’est une question de tolérance au risque
  Au lieu d’un accès total, il est plus réaliste de chercher de l’utilité dans un cadre limité
  Comme l’amour libre avec des protections, il faut trouver le bon équilibre
Le passage disant que « les requêtes d’inférence ne sortent pas directement de la sandbox » m’a paru intéressant
OpenShell intercepte tous les appels et les redirige vers le cloud Nvidia
Au final, on dirait une stratégie visant à faire de Nvidia le fournisseur de calcul par défaut d’OpenClaw
Si cela réussit, ils pourraient capter des revenus d’inférence assez importants
- Le point central, ce n’est peut-être pas le revenu, mais les données
- Le problème fondamental n’est pas une installation sûre, mais la structure même qui consiste à tout donner comme accès au LLM
  Ce projet ne résout pas le vrai problème
- Exact. Mais les utilisateurs ordinaires n’utiliseront probablement pas ça
  Au final, une version Google apparaîtra et prendra le marché
NemoClaw est en pratique un cheval de Troie qui pousse vers le cloud Nvidia
OpenShell fournit un contrôle fin de l’exécution et du réseau, mais fait passer en proxy toutes les requêtes LLM vers le cloud Nvidia
On peut utiliser d’autres fournisseurs, mais la documentation n’explique pas comment
C’est un coup très habile sur le plan marketing
La phrase « NVIDIA NemoClaw installs… » m’a fait rire
On en est au point où j’ai l’impression de manger un sandwich dans un réfrigérateur NVIDIA, de conduire une voiture NVIDIA et d’aller dans un magasin NVIDIA
Je trouve impressionnant que quelqu’un en début de carrière ait publié quelque chose comme ça
Il est fascinant de voir la hausse des projets IA de grande qualité menés par des ingénieurs juniors ces temps-ci
- Avec l’expérience viennent aussi la peur et les idées préconçues, ce qui rend parfois plus difficile le fait d’oser
  À l’inverse, les débutants, parce qu’ils ignorent beaucoup de choses, tentent plus volontiers
  Il n’est pas rare qu’un « projet de week-end » devienne un produit abouti deux ans plus tard
  La naïveté est parfois une force
- Si on regarde la liste des contributeurs GitHub, les quatre semblent être des développeurs expérimentés
  Je me demande pourquoi tu as pensé qu’il s’agissait de débutants
- On peut désormais constituer une équipe d’IA pour résoudre des problèmes de niveau senior
  Ce qui compte davantage que l’expérience, c’est la capacité de coordination
- Il y a aussi ceux qui se demandent : « qu’y a-t-il d’extraordinaire dans quelque chose fait par un débutant ? »
- Une génération totalement différente est apparue par rapport à il y a 2 ou 3 ans
  Leur manière de penser consiste moins à « coder directement » qu’à faire tourner des systèmes et vérifier les résultats
  Un développeur de 21 ans essaie 20 directions en parallèle, tandis qu’un senior réfléchit encore à l’architecture parfaite
  Au final, la jeune génération domine clairement en vitesse et capacité d’adaptation
  Les fondateurs réduisent le nombre de développeurs de plus de 24 ans et les remplacent par de jeunes talents
  Une pensée polynomiale ne peut pas rattraper une époque exponentielle
C’est une architecture qui fait tourner Kubernetes dans une VM, donc pensée pour l’entreprise
Les fonctions de sandbox et de politiques sont bonnes, mais il faudrait quelque chose d’aussi léger que Docker Compose
Je suis sceptique vis-à-vis du genre Claw lui-même
En particulier, je me méfie encore plus des Claw fermés qui rapportent à un serveur
- C’est un peu comme demander à quoi sert un logiciel propriétaire
Honnêtement, tout cela me semble être une idée folle
Même avec un modèle comme Claude, il faut toujours une validation humaine
L’IA peut changer de comportement de façon absurde à tout moment
Même avec un assistant en qui j’ai confiance, je veux vérifier ce qui part en mon nom
Claw est conçu en ignorant ce simple bon sens
Autoriser pleinement l’accès aux e-mails, au calendrier et au téléphone, c’est une catastrophe de sécurité
Même avec un compte proxy, il agit quand même en mon nom
Et puis, suis-je vraiment à ce point débordé ? Je n’en ai pas besoin
- Dans ce cas, il suffit de donner à l’agent son propre nom et son propre compte, pour qu’il agisse de manière indépendante
En regardant l’historique des commits, on dirait que le travail a commencé deux jours avant l’annonce
Il y avait des documents de conception, mais l’implémentation donne l’impression d’avoir été refaite à partir de zéro
- Ce genre de dépôt GitHub n’apparaît pas soudainement
  Il est très probable que le développement ait déjà été terminé en interne, puis déplacé pour une publication publique
- Le concept de Claw est simple. Avec l’IA, on peut en fabriquer un en un week-end avec environ 100 dollars de tokens
  Je l’ai fait moi-même