Contourner l'isolation du bac à sable NemoClaw pour l'agent local Nemotron 9B

Contournement local de NemoClaw pour une inférence entièrement locale

Un développeur a documenté une méthode pour contourner l'isolation sandbox de NemoClaw de NVIDIA afin d'exécuter un agent IA entièrement local. NemoClaw, lancé lors du GTC, est un sandbox d'entreprise pour agents IA construit sur OpenShell (k3s + Landlock + seccomp) qui, par défaut, s'attend à des connexions API cloud et restreint fortement le réseau local.

Détails techniques de l'implémentation

Le développeur souhaitait une inférence 100 % locale sur WSL2 + RTX 5090 et a percé le sandbox pour atteindre une instance vLLM. La solution impliquait plusieurs composants :

• Configuration iptables de l'hôte : Autorisation du trafic du pont Docker vers vLLM sur le port 8000
• Relais TCP du Pod : Relais Python personnalisé dans l'espace de noms principal du Pod reliant le veth du sandbox → pont Docker
• Injection iptables dans le sandbox : Utilisation de nsenter pour injecter une règle ACCEPT dans la chaîne OUTPUT du sandbox, contournant le REJECT par défaut
• Traduction des appels d'outils : Création d'une passerelle personnalisée qui intercepte la réponse SSE en streaming de vLLM, la met en mémoire tampon, analyse la sortie texte <TOOLCALL>[...]</TOOLCALL> de Nemotron 9B et la réécrit en tool_calls compatibles OpenAI en temps réel

Cette configuration permet à opencode à l'intérieur du sandbox d'utiliser Nemotron comme un agent entièrement autonome. Tout s'exécute localement sans que les données ne quittent la machine. La configuration est volatile (les redémarrages de WSL2 effacent les hacks iptables), mais permet à un modèle de 9B d'exécuter des commandes terminal à l'intérieur d'un conteneur d'entreprise verrouillé.