Agent不该为自己的安全负责:NVIDIA NemoClaw重新定义AI沙箱规则

发表于 更新于 分类于 阅读次数: 本文字数: 4.8k 阅读时长 ≈ 4 分钟

cover

你的 AI Agent 现在能访问什么?终端、文件系统、AWS 密钥、网络连接——全部。

这不是危言耸听。过去三个月,AI Agent 安全事故密集爆发:Claude Code 沙箱逃逸、OpenClaw 130+ 安全漏洞、恶意 Skill 偷 API Key、安全厂商自己的安装包泄露 SSL 密钥。每一起事故的根因都一样——安全逻辑跑在 Agent 进程内部,Agent 自己负责约束自己。

这就像让一个实习生自己决定能不能进老板办公室。

3 月 16 日,黄仁勋在 GTC 2026 大会上宣布了 NVIDIA 的回答:NemoClaw + OpenShell。一个开源安全栈,核心理念只有一句话——Agent 不该为自己的安全负责,基础设施应该替它做。

今天我们来拆解:这个大厂方案到底怎么玩,它真的能解决 AI Agent 的信任危机吗?

先搞清楚:NemoClaw 到底是什么

很多人以为 NemoClaw 是 OpenClaw 的竞品。不是。

NemoClaw 是一个安装在 OpenClaw 上面的安全栈。一条命令,把 NVIDIA 的 Nemotron 开源模型和 OpenShell 安全运行时装到你现有的 OpenClaw 环境里。不用改代码,不用迁移数据,原来的 Agent 照跑,只是多了一层”笼子”。

OpenClaw 的创始人 Peter Steinberger 自己参与了 NemoClaw 的开发。他在发布会上说:**”我们正在和 NVIDIA 一起,为 Claw 构建安全护栏。”**

NemoClaw 的架构分三层:

1
2
3
4
5
NVIDIA Nemotron 开源模型(本地推理)

OpenShell 安全运行时(沙箱 + 策略 + 隐私路由)

OpenClaw Agent(不做任何修改)

关键是中间那层——OpenShell。它才是整个安全架构的核心。

OpenShell:安全不靠 Agent 自觉

OpenShell 的核心设计决策,用一句话就能说清楚:进程外策略执行(Out-of-Process Policy Enforcement)

什么意思?现在市面上几乎所有 AI Agent 的安全方案,都是在 Agent 内部加限制。系统提示词里写”不要做危险操作”,代码里加 if-else 检查权限。但问题是——这些保护措施跟 Agent 跑在同一个进程里。一旦 Agent 被 Prompt Injection 攻击,或者一个恶意 Skill 获得了执行权限,所有内部安全检查都形同虚设。

OpenShell 把安全控制点搬到了 Agent 外面。 Agent 跑在一个隔离的沙箱容器里,它的每一个动作——读文件、发网络请求、调用 API——都要先经过 OpenShell 的策略引擎审批。Agent 自己无法覆盖这些策略,就像浏览器标签页无法修改浏览器的安全策略一样。

NVIDIA 的技术博客用了一个精准的类比:这是浏览器标签页模型应用到 Agent 上。 每个会话隔离,权限由运行时验证,不是由标签页里的网页自己决定。

四层防护:从文件到推理全覆盖

OpenShell 的安全防护分四个层次,每一层解决一个具体问题。

第一层:文件系统锁定

沙箱创建时,文件系统就被锁定了。Agent 只能访问策略允许的目录和文件,其他一切都是不可见的。

这解决了什么?OpenClaw 社区曾经出现过恶意 Skill 读取用户 ~/.ssh/ 目录的案例。在 OpenShell 里,这个操作会被直接拦截——不是因为 Agent “知道”不该读,而是因为文件系统层面就看不到这个目录。

第二层:网络默认全阻断

所有出站网络连接默认被阻断。 只有策略明确允许的目标地址才能通过。

这是最激进也最有效的设计。传统方案是”允许一切,拦截恶意”——但谁来定义什么是恶意?OpenShell 反过来:默认禁止一切,只开放你明确允许的。

策略用 YAML 定义,清晰易读:

1
2
3
4
5
6
7
8
9
network:
  - destination: "api.github.com"
    method: "GET"
    paths:
      - "/repos/*"
    allow: true
  - destination: "api.github.com"
    method: "POST"
    allow: false

这段策略的意思是:Agent 可以从 GitHub 读取仓库信息,但不能往 GitHub 写任何东西。粒度精确到 HTTP 方法和 URL 路径。

而且策略支持热更新——修改 YAML 文件后,沙箱立即生效,不用重启 Agent。

第三层:进程级隔离

防止权限提升和危险的系统调用。Agent 无法 sudo,无法修改系统配置,无法 spawn 超出权限范围的子进程。

这对 OpenClaw 的 Skill 自我生成功能尤其重要。Agent 在运行中学习新技能、安装新包时,策略引擎会验证每一个操作——可以安装经过验证的 Skill,但不能执行未审核的二进制文件。

第四层:推理路由控制

这一层最精妙。OpenShell 内置了一个隐私路由器(Privacy Router),控制 Agent 的推理请求往哪里发。

敏感数据用本地的 Nemotron 模型处理,不出设备。只有策略允许的非敏感请求才会路由到云端的 Claude 或 GPT。路由决策基于你的隐私策略,不是 Agent 自己的判断。

这意味着:即使 Agent 被攻击了,它也无法把你的私有数据发送到未授权的模型服务。

凭证注入:API Key 永远不落盘

这是 OpenShell 最让人拍案叫绝的设计细节。

传统方式:API Key 写在配置文件里 → Agent 能读到 → 被攻击后泄露。IronClaw 的方案是加密保险箱,在网络边界注入。OpenShell 的方案更直接——API Key 只作为运行时环境变量注入到内存中,永远不写入磁盘。

系统会自动识别 Agent 类型,注入对应的凭证:

  • Claude Code → ANTHROPIC_API_KEY
  • Codex → OPENAI_API_KEY
  • OpenCode → OPENROUTER_API_KEY

如果 Agent 试图把密钥写到文件里?文件系统策略拦截。试图通过网络外泄?出站策略拦截。两道关卡,密钥不可能离开内存。

一条命令,零代码改动

说了这么多安全机制,部署难不难?

1
2
3
4
5
6
7
8
9
10
11
# 安装 OpenShell
curl -LsSf https://raw.githubusercontent.com/NVIDIA/OpenShell/main/install.sh | sh

# 给 OpenClaw 创建沙箱
openshell sandbox create --from openclaw

# 给 Claude Code 创建沙箱
openshell sandbox create -- claude

# 给任意 Agent 创建沙箱
openshell sandbox create --from codex

就这样。原来的 Agent 不用改一行代码。OpenShell 像一个透明的保护壳套在外面。

如果你有 DGX Spark 或者远程设备,还可以:

1
openshell sandbox create --remote spark --from openclaw

一条命令,远程设备上的沙箱就建好了。

说说争议:NemoClaw 不是银弹

公平起见,NemoClaw 现在还有不少问题。

Alpha 阶段,单人模式

NVIDIA 自己在 README 里写得很直白:**”Alpha software — single-player mode. OpenShell is proof-of-life: one developer, one environment, one gateway.”**

当前只支持单个开发者、单个环境。多租户企业部署是未来目标,不是现在。

K3s 架构偏重

OpenShell 在 Docker 容器内跑了一个完整的 K3s Kubernetes 集群。对于单 Agent 沙箱来说,这个架构偏重了——启动延迟高、内存占用大、调试复杂度增加。

和 IronClaw 的 WASM 沙箱或 ZeroClaw 的轻量级方案相比,OpenShell 明显更”企业级”,也更”笨重”。

合作伙伴是”宣布”而非”发货”

Adobe、Atlassian、Cisco、CrowdStrike、Salesforce、Trend Micro 都被列为合作伙伴。但目前这些都是宣布级别的合作,不是已经上线的集成产品。从”宣布合作”到”生产可用”,中间还差好几个季度。

生态绑定的隐忧

i-GENTIC AI 的 CEO Zahra Timsah 评价得很到位:**”开发者会被 NemoClaw 吸引,不是因为它更好,而是因为在 NVIDIA 硬件上更快、在 NVIDIA 生态里更方便。”**

虽然 OpenShell 号称硬件无关,但 NemoClaw 的完整体验——Nemotron 模型 + DGX Spark 推理 + OpenShell 沙箱——显然对 NVIDIA 硬件用户更友好。这是不是另一种形式的生态锁定?

NemoClaw vs IronClaw vs ZeroClaw

现在 AI Agent 安全赛道已经有三个主要方案,快速对比一下:

维度 NemoClaw/OpenShell IronClaw ZeroClaw
背后力量 NVIDIA Illia Polosukhin Harvard/MIT 团队
核心语言 Python + K8s Rust Rust
沙箱方案 K3s 容器 + 策略引擎 WASM 沙箱 allowlist + 6 层校验
凭证管理 内存注入,不落盘 加密保险箱 + 网络边界注入 加密存储 + deny-by-default
策略定义 YAML(热更新) 内置规则 内置规则
适合场景 企业级、NVIDIA 生态 金融、敏感凭证场景 边缘设备、资源受限
当前状态 Alpha Beta 正式版

一句话:NemoClaw 是大厂的企业级方案,IronClaw 是安全极客的选择,ZeroClaw 是性能党的最爱。

这件事为什么重要

NVIDIA 入局 AI Agent 安全,意义远超产品本身。

第一,它确立了一个原则:安全必须在基础设施层实现。 不是靠系统提示词,不是靠 Agent 自律,而是靠运行时强制执行。这就像 Docker 让应用无法决定自己的权限一样——Agent 也不应该有这个权力。

第二,它填补了 Agent 信任链的最后一环。 之前我们有了好用的 Agent(OpenClaw),有了安全的语言重写(IronClaw、ZeroClaw),但缺少一个”即插即用”的安全层。OpenShell 做到了——不改代码,一条命令,给任何 Agent 套上安全壳。

第三,NVIDIA 正在从”卖 GPU”转向”卖 AI 基础设施”。 NemoClaw + OpenShell + Agent Toolkit + Nemotron + DGX Spark——这是一整套从模型到运行时到硬件的完整栈。NVIDIA 不只想卖算力,它想成为 AI Agent 时代的基础设施提供商。

Futurum Research 的分析师说得好:NemoClaw 和 OpenShell 很好地解决了 Agent 信任链的部署端问题,但企业不应该把它当作完整的治理方案。

安全是一个持续的过程,不是一个产品。但至少,现在你的 Agent 可以跑在一个像样的笼子里了。

写在最后

过去三个月,AI Agent 从”玩具”变成了”生产力工具”,也从”酷炫的 demo”变成了”安全噩梦”。

OpenClaw 证明了 Agent 能做什么。IronClaw 和 ZeroClaw 证明了 Agent 可以更安全更快。NemoClaw 证明了大厂愿意为 Agent 安全投入资源——而且方向是对的:让基础设施负责安全,让 Agent 专注干活。

NVIDIA 的这步棋下得很精准。它没有重新造轮子,而是在 OpenClaw 生态上加了一层安全壳。一条命令,零代码改动,立即生效。

当然,Alpha 阶段的粗糙、K3s 的笨重、企业合作的落地周期——这些都是现实的挑战。但方向已经清楚了:2026 年,AI Agent 的竞争不再是”谁更能干”,而是”谁更可信”。

你的 Agent 现在跑在沙箱里吗?你觉得安全应该由 Agent 自己负责,还是由基础设施强制执行?欢迎在评论区聊聊你的看法。