Umgehung der NemoClaw-Sandbox-Isolierung für den lokalen Nemotron 9B-Agenten

Lokale NemoClaw-Umgehung für vollständig lokale Inferenz

Ein Entwickler hat eine Methode dokumentiert, um die Sandbox-Isolation von NVIDIAs NemoClaw zu umgehen und einen vollständig lokalen KI-Agenten auszuführen. NemoClaw, das auf der GTC vorgestellt wurde, ist eine Unternehmens-Sandbox für KI-Agenten, die auf OpenShell (k3s + Landlock + seccomp) basiert und standardmäßig Cloud-API-Verbindungen erwartet sowie lokale Netzwerkverbindungen stark einschränkt.

Technische Implementierungsdetails

Der Entwickler wollte 100% lokale Inferenz auf WSL2 + RTX 5090 erreichen und durchbrach die Sandbox, um eine vLLM-Instanz zu erreichen. Die Lösung umfasste mehrere Komponenten:

• Host-iptables-Konfiguration: Erlaubte Datenverkehr von der Docker-Bridge zu vLLM auf Port 8000
• Pod-TCP-Relay: Benutzerdefinierter Python-Relay im Haupt-Namespace des Pods, der die Sandbox-veth mit der Docker-Bridge verbindet
• Sandbox-iptables-Injektion: Verwendete nsenter, um eine ACCEPT-Regel in die OUTPUT-Kette der Sandbox einzufügen und die Standard-REJECT-Regel zu umgehen
• Tool-Aufruf-Übersetzung: Erstellte ein benutzerdefiniertes Gateway, das die Streaming-SSE-Antwort von vLLM abfängt, puffert, die <TOOLCALL>[...]</TOOLCALL>-Textausgabe von Nemotron 9B analysiert und sie in Echtzeit in OpenAI-kompatible tool_calls umschreibt

Diese Konfiguration ermöglicht es opencode innerhalb der Sandbox, Nemotron als vollständig autonomen Agenten zu nutzen. Alles läuft lokal, ohne dass Daten das Gerät verlassen. Das Setup ist flüchtig (WSL2-Neustarts löschen die iptables-Hacks), ermöglicht aber einem 9B-Modell, Terminalbefehle innerhalb eines abgeschotteten Unternehmenscontainers auszuführen.