NemoClaw 샌드박스 격리 우회를 통한 로컬 Nemotron 9B 에이전트 실행

완전 로컬 추론을 위한 로컬 NemoClaw 우회 방법

한 개발자가 NVIDIA의 NemoClaw 샌드박스 격리를 우회하여 완전 로컬 AI 에이전트를 실행하는 방법을 문서화했습니다. GTC에서 출시된 NemoClaw는 OpenShell(k3s + Landlock + seccomp) 기반의 엔터프라이즈 AI 에이전트 샌드박스로, 기본적으로 클라우드 API 연결을 기대하며 로컬 네트워킹을 엄격히 제한합니다.

기술 구현 세부사항

해당 개발자는 WSL2 + RTX 5090에서 100% 로컬 추론을 원했으며, 샌드박스를 뚫고 vLLM 인스턴스에 도달했습니다. 솔루션에는 여러 구성 요소가 포함되었습니다:

• 호스트 iptables 구성: Docker 브리지에서 포트 8000의 vLLM으로의 트래픽 허용
• Pod TCP 릴레이: Pod의 메인 네임스페이스에서 샌드박스 veth → Docker 브리지를 연결하는 사용자 정의 Python 릴레이
• 샌드박스 iptables 주입: nsenter를 사용하여 샌드박스의 OUTPUT 체인에 ACCEPT 규칙을 주입하여 기본 REJECT 우회
• 도구 호출 변환: vLLM의 스트리밍 SSE 응답을 가로채고 버퍼링하며, Nemotron 9B의 <TOOLCALL>[...]</TOOLCALL> 텍스트 출력을 파싱하여 실시간으로 OpenAI 호환 tool_calls로 재작성하는 사용자 정의 게이트웨이 구축

이 구성은 샌드박스 내의 opencode가 Nemotron을 완전 자율 에이전트로 사용할 수 있게 합니다. 모든 것이 로컬에서 실행되며 데이터가 기기를 떠나지 않습니다. 설정은 휘발성(WSL2 재부팅 시 iptables 해킹이 초기화됨)이지만, 9B 모델이 잠긴 엔터프라이즈 컨테이너 내에서 터미널 명령을 실행할 수 있게 합니다.