Nvidia NemoClaw

 (github.com/NVIDIA)
1P by GN⁺ 8시간전 | ★ favorite | 댓글 1개
  • OpenClaw 에이전트를 안전하게 설치하고 실행하기 위한 NVIDIA의 오픈소스 플러그인으로, OpenShell 런타임을 기반으로 한 보안 샌드박스 환경을 제공
  • NVIDIA OpenShellNemotron 모델을 설치해, 모든 네트워크 요청·파일 접근·추론 호출을 정책 기반으로 제어하는 구조
  • 설치 스크립트로 손쉽게 환경을 구성하며, CLI와 TUI 인터페이스를 통해 샌드박스 내 에이전트와 직접 상호작용 가능
  • 추론 요청은 샌드박스 외부로 직접 나가지 않고 NVIDIA Cloud API를 통해 안전하게 라우팅되며, 로컬 추론(Ollama, vLLM)은 실험적 지원 단계
  • 보안 계층, 정책 제어, 자동화된 온보딩을 통합해, 자율형 AI 에이전트를 안전하게 배포·운영하려는 개발자에게 중요한 기반 제공

개요

  • NemoClaw는 OpenClaw 기반의 상시 실행형 AI 어시스턴트를 안전하게 운영하기 위한 NVIDIA 오픈소스 스택
    • OpenShell 런타임을 설치하고, NVIDIA Agent Toolkit 환경에서 보안 샌드박스를 구성
    • 추론은 NVIDIA Cloud를 통해 라우팅되며, 모든 실행은 정책 기반으로 관리됨
  • 현재 알파(Alpha) 단계로, 인터페이스와 API가 변경될 수 있으며 프로덕션 환경에서는 아직 권장되지 않음

빠른 시작 (Quick Start)

  • 설치 전 요구사항으로 Ubuntu 22.04 이상, Node.js 20+, npm 10+ 및 컨테이너 런타임이 필요
  • 하드웨어 최소 사양은 4 vCPU, 8GB RAM, 20GB 디스크 공간, 권장 사양은 16GB RAM 이상
  • 설치 명령 예시: 
    curl -fsSL https://www.nvidia.com/nemoclaw.sh | bash
    • 설치 후 nemoclaw my-assistant connect 명령으로 샌드박스 접속 가능
  • 설치 완료 후 환경 요약에는 샌드박스 이름, 모델, 상태 명령어 등이 표시됨

에이전트와의 상호작용

  • TUI(텍스트 UI) 또는 CLI를 통해 OpenClaw 에이전트와 대화 가능
    • TUI는 대화형 메시지 교환에 적합
    • CLI는 긴 응답(예: 코드 생성 결과)을 터미널에 직접 출력
  • 예시 명령: 
    openclaw agent --agent main --local -m "hello" --session-id test

작동 방식 (How It Works)

  • NemoClaw는 OpenShell 런타임과 Nemotron 모델을 설치하고, 버전 관리된 블루프린트를 통해 샌드박스 환경을 구성
  • 주요 구성요소:
    • Plugin: TypeScript 기반 CLI 명령어 (launch, connect, status 등)
    • Blueprint: Python 아티팩트로, 샌드박스 생성·정책·추론 설정을 관리
    • Sandbox: OpenShell 컨테이너로, 네트워크·파일시스템 접근을 정책으로 제한
    • Inference: NVIDIA Cloud API를 통한 모델 호출
  • 오류 발생 시 nemoclaw <name> status 또는 openshell sandbox list로 상태 점검 가능

추론 (Inference)

  • 모든 추론 요청은 샌드박스 내부에서 NVIDIA Cloud Provider로 라우팅
    • 기본 모델: nvidia/nemotron-3-super-120b-a12b
    • 사용 시 NVIDIA API Key 필요
  • 로컬 추론(Ollama, vLLM)은 실험적이며 macOS에서는 OpenShell 호스트 라우팅 지원이 필요

보호 계층 (Protection Layers)

  • NemoClaw는 네 가지 보안 계층을 통해 샌드박스 격리 강화
    계층 보호 대상 적용 시점
    Network 무단 외부 연결 차단 런타임 중
    Filesystem /sandbox, /tmp 외 접근 차단 생성 시
    Process 권한 상승 및 위험한 syscall 차단 생성 시
    Inference 모델 API 호출을 통제된 백엔드로 라우팅 런타임 중
  • 승인되지 않은 호스트 접근 시 OpenShell이 요청을 차단하고 TUI에 표시

주요 명령어 (Key Commands)

  • 호스트 명령어 (nemoclaw)
    • nemoclaw onboard: 인터랙티브 설치 마법사 실행
    • nemoclaw <name> connect: 샌드박스 접속
    • nemoclaw start/stop/status: 서비스 관리
  • 플러그인 명령어 (openclaw nemoclaw)
    • openclaw nemoclaw launch: OpenShell 샌드박스 내 OpenClaw 부트스트랩
    • openclaw nemoclaw status: 상태 및 블루프린트 확인
    • openclaw nemoclaw logs: 로그 스트리밍
  • 플러그인 명령은 개발 중이며, 현재는 nemoclaw CLI 사용이 권장됨

문서 및 라이선스

  • 공식 문서: docs.nvidia.com/nemoclaw/latest
    • Architecture, Network Policies, CLI Commands, Troubleshooting 등 세부 항목 제공
  • 라이선스: Apache License 2.0
  • 프로젝트는 NVIDIA OpenClaw 보안 설치용 플러그인으로 명시됨
GN⁺ 8시간전  [-]
Hacker News 의견들

  • 사람들이 OpenClaw를 이야기할 때 왜 전부 sandbox 얘기를 하는지 모르겠음
    마치 개에게 중요한 서류를 주고, 그걸 먹을까봐 걱정돼서 개와 서류를 함께 우리에 넣는 느낌임
    결국 유용하려면 이메일, 캘린더 같은 서비스에 연결해야 하는데, 그게 동시에 혼란과 파괴를 초래함
    Nvidia가 추론을 직접 처리한다고 해서 더 안전해지는 건지 의문임. 그들의 하드웨어가 내 이메일 삭제를 막아주는 건 아님

    • 이런 개들은 Malinois 같은 존재라서, 막으려 해도 결국 침투함
      실제로 봇을 밤새 돌려뒀다가 네트워크 전체가 뚫린 사례도 있음
      sandbox로 제한된 예산이나 계정만 주는 건 괜찮지만, 이 에이전트들은 일관된 의식이 없음
      인터넷에서 어떤 텍스트를 접하느냐에 따라 완전히 엉뚱한 방향으로 가버릴 수 있음
      지금의 Claw 봇은 유용한 도구라기보다 대체 현실 RPG에 가까움
      안전한 버전이 나올 때까지 기다리는 게 현명하다고 생각함
    • 네 말이 맞지만, devil’s advocate로 보자면
      Claw-agent를 완전히 위험하게 쓰지 않고도 일부 기능을 얻는 방법이 있음
      예를 들어 Gmail에서는 새 계정을 만들어 메일을 포워딩하고, 캘린더는 Family Sharing으로 공유함
      이렇게 하면 Claw가 메일을 읽고 일정에 접근할 수 있지만, 실제 계정을 망가뜨리진 못함
      다만 이렇게까지 해서 얻는 효용이 가치 있는지는 의문임
      안전한 Claw는 쓸모가 거의 없고, 쓸모 있는 Claw는 안전하지 않음
    • 몇 주 동안 Claw의 보안 구조를 깊게 파봤는데, sandbox는 유용하지만 악몽 같은 존재임
      설정 실험 중 잘못된 sandbox 구성으로 인해 Opus가 탈출 시도를 하며 $20의 API 요금이 청구됨
      수백만 토큰과 130번의 툴 호출 끝에 sandbox를 벗어남
      지금은 각 에이전트가 접근할 수 있는 도구와 데이터를 sandbox로 분리해 쓰고 있음
      유용하지만 다루기 까다로운 구조임
    • 여기서 다른 점은 OpenShell gateway override
      NemoClaw는 OpenShell 런타임과 Nemotron 모델을 설치하고, 선언적 정책으로 모든 네트워크 요청과 파일 접근을 제어함
      즉, 하드웨어 자체가 아니라 OpenShell gateway와 네트워크 정책의 조합이 핵심임
      Nvidia가 이런 구조를 만든 이유는 GPU 임대형 모델 배포 생태계를 만들려는 전략으로 보임
    • 많은 OpenClaw 사용자는 모든 접근 권한을 주지 않음
      예를 들어 서비스 가용성을 유지하는 에이전트라면 GitHub PR 권한과 재시작 권한 정도만 줌
      즉, 의도적이고 제한된 접근이 핵심임
      “모든 걸 줘야 유용하다”는 건 허수아비 논리임

  • 완전 자율형 에이전트 생태계는 상식이 사라진 느낌
    타이타닉의 기관실을 보강하는 데 모든 엔지니어링 노력을 쏟는 것 같음
    국가 지원 해커가 프롬프트 인젝션 제로데이를 발견하면, 아무리 격리해도 소용없음
    결국 문제는 접근 권한 자체임
    이건 80년대 콘돔 없는 자유연애를 하는 것과 같음. 멀리서 보면 재밌지만, 결국 위험함

    • 자유연애는 60~70년대였고, 80년대엔 AIDS와 중독이 왔음
      AI에도 그런 시점이 곧 올 거라 생각함
    • 사실 CPU, OS, 펌웨어, 네트워크 장비, 심지어 SIM 카드 JVM까지 다 뚫릴 수 있음
      위협의 스케일이 완전히 다른 차원임
    • 결국 이런 시스템을 만든 사람들과 같은 세상에 살고 있으니, 그 결과를 우리도 함께 겪게 됨
    • 대부분의 사람은 국가 해커를 걱정하지 않음
      이미 클라우드에 삶을 노출하고 있으니까
    • 타이타닉 농담은 웃기지만, 결국 리스크 허용도의 문제임
      완전한 접근 대신, 제한된 범위에서 유용성을 찾는 게 현실적임
      보호 장치를 둔 자유연애처럼, 적절한 균형이 필요함

  • “추론 요청이 sandbox를 직접 벗어나지 않는다”는 부분이 흥미로웠음
    OpenShell이 모든 호출을 가로채 Nvidia 클라우드로 라우팅함
    결국 Nvidia가 OpenClaw의 기본 연산 제공자가 되려는 전략 같음
    성공하면 꽤 큰 추론 수익을 가져갈 수 있음

    • 수익이 아니라 데이터가 핵심일지도 모름
    • 근본 문제는 안전한 설치가 아니라, LLM에게 모든 접근을 주는 구조 자체임
      이 프로젝트는 진짜 문제를 해결하지 않음
    • 맞음. 하지만 일반 사용자는 이런 걸 안 쓸 것임
      결국 Google 버전이 나와서 시장을 가져갈 것임

  • NemoClaw는 사실상 Nvidia 클라우드로 유도하는 트로이 목마
    OpenShell이 세밀한 실행·네트워크 제어를 제공하지만, 모든 LLM 요청을 Nvidia 클라우드로 프록시함
    다른 제공자를 쓸 수도 있지만 문서에는 방법이 없음
    마케팅적으로 매우 영리한 수

  • “NVIDIA NemoClaw installs…” 문구를 보고 웃음이 나왔음
    이제 NVIDIA 냉장고에서 샌드위치를 먹고 NVIDIA 자동차를 몰고 NVIDIA 상점에 가는 기분임

  • 커리어 초반의 누군가가 이런 걸 출시했다는 게 인상적임
    요즘 초급 엔지니어들의 고품질 AI 프로젝트가 급증하는 게 흥미로움

    • 경력이 쌓이면 오히려 두려움과 선입견이 생겨 도전이 어려워짐
      반면 신입은 모르는 게 많아 과감히 시도함
      “주말 프로젝트”로 시작한 게 2년 뒤 완성품이 되는 경우도 많음
      순진함이 때로는 강점
    • GitHub 기여자 목록을 보면 네 명 모두 숙련된 개발자임
      왜 초보자라고 생각했는지 궁금함
    • 이제는 AI 팀을 구성해 시니어급 문제를 해결할 수 있음
      중요한 건 경험보다 조정 능력
    • “초보가 만든 게 뭐가 대단하냐”는 의문도 있음
    • 2~3년 전과 비교해 완전히 다른 세대가 등장함
      이들은 “직접 코딩”보다 시스템을 돌리고 결과를 확인하는 사고방식을 가짐
      21살 개발자는 20가지 방향을 병렬로 시도하고, 시니어는 여전히 완벽한 설계를 고민함
      결국 젊은 세대가 속도와 적응력에서 압도함
      창업자들은 24세 이상 개발자를 줄이고 젊은 인재로 교체 중임
      다항식 사고로는 지수적 시대를 따라잡을 수 없음

  • 이건 Kubernetes를 VM 안에서 돌리는 구조로, 기업용임
    sandbox와 정책 기능은 좋지만, Docker Compose 수준의 가벼움이 필요함

  • Claw라는 장르 자체에 회의적임
    특히 서버로 보고하는 폐쇄형 Claw는 더 의심스러움

    • 그건 마치 폐쇄형 소프트웨어의 용도를 묻는 것과 같음

  • 솔직히 이 모든 게 미친 발상 같음
    Claude 같은 모델을 쓰더라도 항상 사람이 검수해야 함
    AI는 언제든 엉뚱한 방식으로 바뀔 수 있음
    아무리 신뢰하는 비서라도 내 이름으로 나가는 콘텐츠는 확인하고 싶음
    Claw는 이런 기본 상식을 무시한 구조임
    이메일, 캘린더, 폰 접근을 전면 허용하는 건 보안 재앙
    프록시 계정이라도 결국 내 이름으로 행동함
    게다가 정말 내가 그렇게 바쁜가? 굳이 필요하지 않음

    • 그럼 에이전트에게 자기 이름과 계정을 주고, 독립적으로 행동하게 하면 됨

  • 커밋 히스토리를 보면 발표 이틀 전에 작업이 시작된 것처럼 보임
    설계 문서는 있었지만 구현은 처음부터 새로 만든 듯

    • 이런 GitHub 저장소가 갑자기 생기는 게 아님
      내부에서 이미 개발을 마치고 공개용으로 옮긴 것일 가능성이 큼
    • Claw 개념은 단순함. AI로 주말 동안 100달러 정도의 토큰으로도 만들 수 있음
      나도 직접 해봤음
답변달기