Instalační proces NemoClaw je překvapivě hladký na alpha software. Jeden curl příkaz, průvodce a máte spuštěného sandboxovaného OpenClaw agenta s privacy routingem. Tady je kompletní návod.

Potřebujete Linux. Ne macOS, ne Windows, ne WSL2. Skutečný Linux. NemoClaw používá sandboxing na úrovni kernelu přes OpenShell, který vyžaduje Linux-specifické syscally.

Hardwarová minima: 20 GB místa na disku, 8 GB RAM. Pokud plánujete pouštět modely Nemotron lokálně pro inferenci (což je celý smysl privacy routingu pro citlivá data), budete chtít víc RAM. 16 GB je komfortních, 32 GB je lepší, pokud spouštíte větší varianty Nemotron.

Jeden příkaz:

curl -fsSL https://www.nvidia.com/nemoclaw.sh | bash

Ano, je to curl-pipe-bash. Pokud vám to vadí (oprávněně), stáhněte si skript nejdřív a přečtěte si ho. Skript zkontroluje, jestli je nainstalovaný Node.js, a pokud chybí, nainstaluje ho. Pak stáhne tři věci:

Po stažení spustí průvodce nastavením.

Průvodce vás provede čtyřmi kroky:

Konfigurace sandboxu. Vytvoří OpenShell sandbox a zeptá se, ke kterým adresářům by měl mít agent přístup. Výchozí je jen pracovní adresář. Držel bych to na minimu. Přístup můžete vždy rozšířit později.

Nastavení inference. Tady si vyberete LLM. Můžete ho nasměrovat na cloudového poskytovatele (Anthropic, OpenAI, atd.) nebo použít lokální model Nemotron. Pokud zvolíte cloudového poskytovatele, Privacy Router bude sedět mezi agentem a API, klasifikovat dotazy a odstraňovat osobní údaje z čehokoli citlivého, než to opustí váš stroj.

Bezpečnostní politiky. Síť je ve výchozím stavu deny-all. Průvodce se zeptá, jestli chcete přidat na whitelist nějaké odchozí destinace. API endpointy pro vašeho LLM poskytovatele se whitelistují automaticky. Vše ostatní je blokováno, dokud to nepřidáte.

Pravidla schvalování operátorem. Můžete nakonfigurovat, které akce potřebují lidské schválení před provedením. Zápis souborů mimo workspace, síťové požadavky na nové domény, shellové příkazy se zvýšenými oprávněními. Zapnul bych na začátku všechno.

Když průvodce skončí, vypíše shrnutí s vaším stavem sandboxu, použitým modelem a příkazy pro správu. Něco jako:

NemoClaw ready
  Sandbox:   active (OpenShell v0.4.2)
  Model:     nemotron-local (4B)
  Privacy:   router active, PII stripping on
  Network:   default-deny, 2 whitelisted

Commands:
  nemoclaw status    - show current config
  nemoclaw logs      - tail agent logs
  nemoclaw policy    - edit security policies
  nemoclaw shell     - open agent shell

Privacy Router dělá víc než jen odstraňování osobních údajů. Klasifikuje každý odchozí dotaz podle úrovně citlivosti. Vysoce citlivé dotazy (cokoli s osobními daty, přihlašovacími údaji, finančními informacemi) se směrují na lokální model Nemotron a nikdy neopustí váš stroj. Středně citlivé dotazy se očistí od osobních údajů a pak odešlou na vaše cloudové LLM. Málo citlivé dotazy projdou přímo.

Tahle klasifikace není dokonalá. Je to heuristika a v alfa verzi je konzervativní. Občas pošle věci lokálně, které by bezpečně mohly jít do cloudu, což znamená pomalejší odpovědi pro tyto dotazy. Radši mám falešně pozitivní než falešně negativní, takže mi to vyhovuje.

Tohle je alpha software. API se mohou a budou měnit mezi verzemi. Nepoužívejte to v produkci. Použijte to k naučení se setupu, vyhodnocení bezpečnostního modelu a buďte připraveni nasadit naostro, jakmile se to ustálí.