NemoClawサンドボックス隔離を回避してローカルNemotron 9Bエージェントを実行する

完全ローカル推論のためのNemoClaw回避策

開発者がNVIDIAのNemoClawサンドボックス分離を回避し、完全ローカルのAIエージェントを実行する方法を文書化しました。GTCで発表されたNemoClawは、OpenShell（k3s + Landlock + seccomp）上に構築されたAIエージェント向けの企業向けサンドボックスで、デフォルトではクラウドAPI接続を想定しており、ローカルネットワーキングを厳しく制限しています。

技術的実装の詳細

開発者はWSL2 + RTX 5090で100％ローカル推論を実現するため、サンドボックスを突破してvLLMインスタンスに到達する方法を確立しました。この解決策には複数のコンポーネントが含まれます：

• ホストiptables設定： Dockerブリッジからポート8000のvLLMへのトラフィックを許可
• Pod TCPリレー： Podのメインネームスペース内のカスタムPythonリレーで、サンドボックスveth → Dockerブリッジをブリッジング
• サンドボックスiptables注入： nsenterを使用してサンドボックスのOUTPUTチェーンにACCEPTルールを注入し、デフォルトのREJECTを回避
• ツール呼び出し翻訳： vLLMからのストリーミングSSE応答を傍受し、バッファリングし、Nemotron 9Bの<TOOLCALL>[...]</TOOLCALL>テキスト出力を解析し、リアルタイムでOpenAI互換のtool_callsに書き換えるカスタムゲートウェイを構築

この設定により、サンドボックス内のopencodeがNemotronを完全自律型エージェントとして使用できるようになります。すべてがローカルで実行され、データがマシンから流出することはありません。このセットアップは揮発性があります（WSL2の再起動でiptablesハックが消去されます）が、9Bモデルがロックダウンされた企業コンテナ内でターミナルコマンドを実行できるようにします。