Si vous faites deja tourner OpenClaw avec Ollama, vous avez probablement un agent qui sait lire des fichiers, executer des commandes et repondre sur plusieurs canaux. La vraie question n’est alors plus seulement “est-ce que ca marche ?”, mais “qu’est-ce qui l’empeche de faire quelque chose qu’il ne devrait pas faire ?”
NemoClaw repond a cette question par une idee simple : placer l’agent dans une sandbox systeme stricte. L’agent continue d’agir, mais a l’interieur de limites fortes :
- fichiers limites
- reseau controle
- inference routee
- isolement des processus
Autrement dit, on passe d’un agent pratique a un agent plus defensif et plus governable.
Avant de commencer
Le minimum raisonnable :
- Ubuntu 22.04+
- Node.js 20+
- Docker installe
- 8 Go de RAM minimum, 16 Go recommandes
- espace disque suffisant pour l’image et la stack
L’installation est plus lourde qu’un simple plugin CLI, car il faut faire tourner une vraie couche d’isolation.
Comment NemoClaw s’insere dans votre stack
Sans NemoClaw, OpenClaw tourne plus directement sur votre machine.
Avec NemoClaw :
- le gateway OpenClaw reste la porte d’entree
- l’agent tourne dans une sandbox OpenShell
- les acces sont filtres par politique
- l’inference est routee via une couche controlee
Le comportement visible peut sembler identique. La difference se joue dans ce que le systeme refuse.
Les quatre briques a comprendre
- Plugin : le CLI TypeScript cote hote
- Blueprint : l’artefact versionne qui decrit le sandbox
- Sandbox : le conteneur OpenShell lui-meme
- Inference router : la couche qui controle l’acces au modele
Il n’est pas necessaire de tout maitriser pour l’utiliser, mais comprendre ces noms aide enormement quand quelque chose casse.
Installation
Le chemin standard repose sur le script fourni :
curl -fsSL https://www.nvidia.com/nemoclaw.sh | bash
Le wizard d’installation demande ensuite :
- le port du gateway
- le fournisseur d’inference
- l’URL Ollama
- le nom du modele
- le nom du sandbox
- les politiques reseau et filesystem
Une fois termine, il faut verifier :
nemoclaw --version
et s’assurer que le sandbox demarre correctement.
Se connecter a l’agent
Une fois la stack en place, on peut :
- ouvrir un shell interactif dans la sandbox
- lancer le TUI
- envoyer des messages via CLI
L’important ici est de bien distinguer ce qui tourne :
- sur l’hote
- dans le sandbox
Beaucoup de malentendus viennent de cette confusion.
Les 5 fonctionnalites qui changent vraiment la donne
1. Mur de securite a quatre couches
Ce n’est pas une simple consigne system prompt. C’est une barriere d’infrastructure.
2. Politique reseau avec approbation
Le trafic reseau peut etre explicitement autorise ou refuse selon des regles claires.
3. Isolation du filesystem
L’agent ne voit pas tout le systeme, seulement ce qu’on lui expose.
4. Inference locale avec Ollama
NemoClaw peut rester compatible avec un usage local des modeles.
5. Blueprints versionnes
Cette logique rend le sandbox plus reproductible et plus facile a faire evoluer proprement.
Usage quotidien
Au quotidien, il faut surtout savoir :
- demarrer et arreter la stack
- verifier le statut
- ajuster la politique reseau
- connecter ou changer un modele
- mettre a jour le blueprint
Ce sont ces operations simples qui feront la difference sur la duree.
Depannage
Quelques erreurs typiques :
inference: disconnected- crashs ou
OOMKilled - mismatch de blueprint
- probleme de PATH
- politique reseau bloquant Ollama
La plupart se reglent en verifiant :
- l’adresse reseau de l’hote
- la memoire disponible
- la coherences des policies
- l’etat du sandbox
NemoClaw vs OpenClaw classique
En resume :
- OpenClaw simple : plus direct, moins protege
- NemoClaw : plus sur, plus structure, plus lourd
Le bon choix depend du niveau d’exigence en securite et de la surface de risque que vous acceptez.
Quand utiliser NemoClaw
NemoClaw devient tres pertinent si :
- l’agent peut toucher des fichiers sensibles
- l’acces reseau doit etre controle
- vous voulez une execution plus gouvernable
- vous preferez des garde-fous d’infrastructure a de simples conventions
Il est moins necessaire pour des experimentations jetables ou des environnements tres simples.
Le sujet de l’alpha
Le statut alpha n’est pas un detail. Cela signifie :
- interfaces encore mouvantes
- bugs possibles
- docs parfois inegales
- besoin de rester prudent en production
Ce n’est pas une raison de l’ignorer, mais une raison de le tester avec lucidite.
Resume
NemoClaw est important parce qu’il deplace la conversation sur les agents du niveau du prompt au niveau du systeme. Si vous utilisez deja OpenClaw et que la securite ou l’isolation deviennent un sujet reel, NemoClaw vaut clairement l’effort d’installation.