Обход изоляции песочницы NemoClaw для локального агента Nemotron 9B

Локальный обход NemoClaw для полного локального вывода

Разработчик задокументировал метод обхода изоляции песочницы NVIDIA NemoClaw для запуска полностью локального ИИ-агента. NemoClaw, представленный на GTC, представляет собой корпоративную песочницу для ИИ-агентов, построенную на OpenShell (k3s + Landlock + seccomp), которая по умолчанию ожидает подключений к облачным API и строго ограничивает локальную сеть.

Детали технической реализации

Разработчик хотел добиться 100% локального вывода на WSL2 + RTX 5090 и пробился через песочницу к экземпляру vLLM. Решение включало несколько компонентов:

• Настройка iptables на хосте: Разрешила трафик от моста Docker к vLLM на порту 8000
• TCP-ретранслятор в Pod: Пользовательский ретранслятор на Python в основном пространстве имён Pod, соединяющий veth песочницы → мост Docker
• Внедрение правил iptables в песочницу: Использовал nsenter для внедрения правила ACCEPT в цепочку OUTPUT песочницы, обходя стандартное REJECT
• Перевод вызовов инструментов: Создал пользовательский шлюз, который перехватывает потоковый SSE-ответ от vLLM, буферизует его, анализирует текстовый вывод Nemotron 9B <TOOLCALL>[...]</TOOLCALL> и преобразует его в совместимые с OpenAI tool_calls в реальном времени

Эта конфигурация позволяет opencode внутри песочницы использовать Nemotron как полностью автономного агента. Всё работает локально, без передачи данных за пределы машины. Настройка нестабильна (перезагрузки WSL2 сбрасывают хаки с iptables), но позволяет модели на 9B параметров выполнять команды терминала внутри защищённого корпоративного контейнера.