3月16日のGTCで、NVIDIAはNemoClawを発表した——OpenClawをNVIDIAのOpenShellコンテナ隔離で包むエンタープライズグレードのランタイムだ。売り文句はこうだ:エンタープライズが要求するセキュリティガードレールを備えてAIエージェントを動かせる。
これは重要な動きだ。NVIDIAは、AIエージェントのセキュリティがあれば便利な機能ではなく、エンタープライズにとってのデプロイメントブロッカーであることを認識した。NemoClawはコンテナレベルの隔離、NVIDIAインフラを通じたマネージド推論、そしてOpenClawがネイティブに欠いているセキュリティコントロールを追加することで、この課題に対応する。
しかし注目すべき角度がある:ZeroClawは既にRustのメモリ安全性とデフォルト拒否の権限モデルによって、プロセスレベルのセキュリティを提供している。ZeroClawをNVIDIAのOpenShell内で動かせば、両方のレイヤーを手に入れることができる——言語レベルの安全性の内側にコンテナレベルの隔離の外側。多層防御が、二つの異なるアーキテクチャレベルで実装される。
NVIDIA OpenShellが提供するもの
OpenShellはNVIDIA Agent Toolkitのランタイムコンポーネントだ。AIエージェントのためにサンドボックス化された実行環境を作成する:
コンテナ隔離。 エージェントは、明示的に許可されない限り、ホストのファイルシステム、ネットワーク、他のプロセスにアクセスできない隔離されたコンテナ内で動作する。エージェントのコードが侵害されても、攻撃者はサンドボックス内に封じ込められる。
マネージド推論。 OpenShellはモデル推論をNVIDIAの最適化されたランタイムにルーティングし、GPUアクセラレーション推論にTensorRT-LLMを使用する。汎用的なモデルサービングより高速で、エンタープライズモデルデプロイメントのためのNVIDIAのNIMマイクロサービスをサポートする。
セキュリティポリシー。 OpenShellは設定可能なセキュリティポリシーを強制する——ネットワークアローリスト、ファイルシステム制限、リソース制限、監査ログ。これらのポリシーはエージェントの外部で定義されるため、エージェントが自分自身の制限を変更することはできない。
ウォームプール。 事前にプロビジョニングされたサンドボックス環境がコールドスタートのレイテンシを排除する。新しいエージェントセッションが開始されると、OpenShellはゼロから作成する代わりに事前にウォームアップされたサンドボックスを引き渡す。
なぜZeroClaw + OpenShellがOpenClaw + NemoClawより優れているのか
NemoClawはOpenClaw用に設計された。しかしコンテナ内のOpenClawには依然としてOpenClawの問題がある:
- •ランタイムだけで200MB以上のメモリフットプリント
- •Node.jsのガベージコレクション一時停止によるレイテンシスパイク
- •コンテナ内に1,200以上のnpm依存関係
- •コンテナ内でもスキルはフルプロセスレベル権限で実行される
OpenShellは外側のセキュリティレイヤーを追加するが、内側のレイヤーは依然として許容的だ。NemoClawコンテナ内でOpenClawスキルを侵害した攻撃者は、OpenClawプロセスがアクセスできるあらゆるファイルを読み、プロセスが実行できるあらゆるコマンドを実行し、環境内のあらゆる認証情報にアクセスできる——すべてコンテナ境界の内側で。
OpenShell内のZeroClawなら両方のレイヤーを手に入れられる:
外側レイヤー(OpenShell): コンテナ隔離、ネットワーク制限、ファイルシステムサンドボックス、リソース制限。
内側レイヤー(ZeroClaw): Rustメモリ安全性(バッファオーバーフロー、use-after-free、データ競合なし)、デフォルト拒否アローリスト(ツールは明示的に許可されたパスとエンドポイントのみアクセス可能)、traitベース拡張(ランタイムコードローディングなし)。
OpenShell内で侵害されたZeroClaw拡張は、拡張のケイパビリティ付与を超えることができず(内側レイヤー)、かつコンテナから脱出もできない(外側レイヤー)。攻撃者が順次突破しなければならない、二つの独立したセキュリティ境界が存在する。
デプロイメントアーキテクチャ
```bash [NVIDIA OpenShell Container] ├── ZeroClaw Binary (3.4MB) │ ├── Provider: NVIDIA NIM endpoint (TensorRT-LLMアクセラレーション) │ ├── Memory: 暗号化SQLite │ ├── Tools: デフォルト拒否アローリスト │ └── Channels: 設定済みメッセージングプラットフォーム ├── Model Inference │ └── NVIDIA NIM microservice (GPUアクセラレーション) └── OpenShell Security Policy ├── Network: アローリストされたエンドポイントのみ ├── Filesystem: エージェントデータディレクトリ以外は読み取り専用 ├── Resources: CPU/メモリ制限 └── Audit: 全操作をログ記録 ```
セットアップ
NVIDIA Agent Toolkitをインストール:
```bash pip install nvidia-agent-toolkit ```
OpenClawの代わりにZeroClawを使用するNemoClaw設定を作成:
```bash nemoclaw init --runtime zeroclaw --model nim://llama-3.1-70b ```
これにより、OpenShellマニフェストが生成され、ZeroClawバイナリがコンテナテンプレートにダウンロードされ、モデル推論用のNVIDIA NIMエンドポイントが設定される。
エージェントを起動:
```bash nemoclaw start ```
OpenShellがサンドボックスコンテナをプロビジョニングし、その中でZeroClawを起動し、NIM推論サービスに接続し、セキュリティポリシーを適用する。ZeroClawのサブ10msスタートアップにより、コンテナがプロビジョニングされた後ほぼ即座にエージェントが利用可能になる。
パフォーマンスへの影響
コンテナ隔離を追加すれば必ずパフォーマンスコストが発生する。問題はどの程度かだ。
- •コールドスタート:8ms
- •メモリ:4.8MBアイドル時
- •推論ルーティングオーバーヘッド:0.5ms
- •コールドスタート:180ms(コンテナプロビジョニング)/ ウォームプール使用時12ms
- •メモリ:28MB(コンテナオーバーヘッド + ZeroClaw)
- •推論ルーティングオーバーヘッド:2ms(NIMエンドポイントレイテンシ)
- •コールドスタート:8-12秒(コンテナ + Node.js起動)
- •メモリ:450MB以上(コンテナ + OpenClaw + node_modules)
- •推論ルーティングオーバーヘッド:2ms(同じNIMエンドポイント)
ZeroClaw + OpenShellはOpenClaw + NemoClawと比較して16分の1のメモリで動作し、40-100倍速く起動する。数十のエージェントインスタンスを実行するエンタープライズKubernetesクラスタでは、これが直接インフラコスト削減に繋がる。
誰にこの構成が必要か
ZeroClaw + OpenShellの組み合わせは、以下のケースに特に適している:
- •規制産業 コンテナレベルの隔離がコンプライアンス要件である場合
- •マルチテナントデプロイメント 異なるユーザーのエージェントを互いに隔離する必要がある場合
- •エンタープライズKubernetes エージェントをコンテナ化されたワークロードとして管理する環境
- •GPUアクセラレーション推論 NVIDIA NIMが汎用モデルサービングに対して大きなパフォーマンス優位性を提供する場合
個人利用、自宅デプロイメント、小規模チームであれば、ZeroClawスタンドアロンでコンテナのオーバーヘッドなしに十分なセキュリティが得られる。OpenShellレイヤーは、組織のセキュリティポリシーが要求する場合や、デプロイメント規模がインフラ投資を正当化する場合に価値を発揮する。