使用 NVIDIA OpenShell 更安全地运行自主自进化代理

人工智能已从遵循您指令的助手演变为能够独立行动的智能体。这些被称为 claws 的智能体能够接收目标、自行规划实现路径并持续执行，同时让您完全脱离操作闭环。claws 的能力越强，就越难以建立信任。而它们自我进化的自主性，彻底改变了其运行环境的方方面面。

能够更安全运行 claws 的基础设施此前并不存在，直到如今才正式问世。

NVIDIA 在 GTC 大会上发布了 NemoClaw，这是一款开源技术栈，仅需一条命令即可简化 OpenClaw 持续在线助手的运行。该堆栈内置了基于策略的隐私与安全护栏，使您能够全面掌控智能体的行为与数据处理方式。借此，自我进化的 claws 能够在云端、本地部署环境、NVIDIA RTX PC 以及 NVIDIA DGX Spark 上实现更安全的运行。

NVIDIA NemoClaw 采用开源模型（如 NVIDIA Nemotron）以及 NVIDIA OpenShell 运行时，后者是 NVIDIA Agent Toolkit 的组成部分。通过将强大的开源模型与内置安全机制相结合，NemoClaw 简化并保障了 AI 智能体的部署。

与此同时，NVIDIA Agent Toolkit 提供完整的部署堆栈——涵盖模型、工具、评估与运行时——用于构建、测试和优化可长时间运行的智能体。此类智能体能够规划任务、跨应用与企业数据协同工作，并作为可靠且具备生产就绪能力的服务稳定运行。

基于 Apache 2.0 许可，OpenShell 位于您的智能体与基础设施之间。它负责管控智能体的执行方式、可见范围与操作权限，以及推理任务的分配流向。OpenShell 支持 claws 在隔离沙盒中运行，使您在对隐私与安全进行细粒度控制的同时，仍能充分享受智能体带来的生产力优势。

运行一条命令：openshell sandbox create --remote spark --from openclaw，即可实现零代码更改。随后，任何 claw 或编程智能体（如 OpenClaw、Anthropic 的 Claude Code 或 OpenAI 的 Codex）均可无需修改直接在 OpenShell 内部运行。

本文将探讨 AI 智能体的演进过程，并详细说明 OpenShell 的工作原理。

claw 如何引入风险

Claws 能够跨会话保持上下文记忆，派生独立运行的子代理，在任务中途自行编写代码以学习新技能，调用工具，并在您关闭笔记本电脑后仍持续执行。开发者首次能够启动一个承担团队工作的代理，使其持续运转并处理以往需要多方协调、搭建流水线以及耗费数周时间才能应对的复杂任务。

类似 OpenClaw 的长周期运行代理虽已展现出生产力的提升，但也构成了安全风险。当前的代理运行时环境与互联网早期阶段颇为相似。它们功能强大，却缺失了核心安全原语：沙盒机制、权限控制与运行隔离。

要让长周期运行且具备自我演进能力的代理真正发挥作用，必须同时满足三个条件：安全性、能力与自主性。采用现有方案，每次通常只能可靠地兼顾其中两项。若代理安全且自主，却无法访问所需的工具与数据，则无法完成任务；若代理能力强且安全，但操作受限于频繁的人工审批，则仍需人工全程盯防；若代理能力强且自主并拥有完全访问权限，则相当于一个长周期进程在自我监管——安全护栏与其本应约束的进程共存于同一运行环境中。

最后一种情况是关键的失效模式。无状态的聊天机器人几乎没有实质性的攻击面。而一个拥有持久 shell 访问权限、有效凭证、能够重写自身工具，并积累了六小时上下文以针对你的内部 API 运行的智能体，则代表了一种截然不同的威胁模型。每一次提示词注入都可能引发凭证泄露。claw 安装的每一个第三方技能，都是未经审查且具备文件系统访问权限的二进制程序。它派生的每一个子代理，都可能继承其本不应拥有的权限。

智能体已准备就绪。然而，能够让你真正信任它们的环境却一直在缺失。

NVIDIA 如何构建 OpenShell

OpenShell 的核心架构决策在于采用进程外策略执行机制。它不依赖于行为提示词，而是对智能体的运行环境施加约束——这意味着即使智能体被攻破，也无法覆盖这些限制。这相当于将浏览器标签页模型应用于智能体：各会话相互隔离，且任何操作执行前，其权限均需由运行时进行验证。

Claude Code 和 Cursor 等工具附带了有价值的内部安全护栏与系统提示词，但这些保护机制均存在于智能体内部。OpenShell 对这些防护框架进行封装，将最终控制点完全移至智能体无法触及的范围之外。

该运行时环境将依赖众多组件，但以下是 NVIDIA 目前交付的部分内容：

• 该沙盒专为长期运行、自我进化的智能体设计。它并非通用的容器隔离方案。它负责技能的开发与验证、可编程的系统与网络隔离，并提供隔离的执行环境，使智能体能够在不触及宿主机的情况下进行试错或越界操作。策略更新会在获得开发者批准后于沙盒范围内实时生效，且每一项允许或拒绝的决策均保留完整的审计轨迹。
• 策略引擎在文件系统、网络和进程层面对智能体环境实施约束。自我进化的智能体在安装包、运行时学习技能以及生成限定范围的子智能体时，需要细粒度的监督以建立信任。该引擎会在二进制文件、目标、方法和路径级别对每一项操作进行评估，确保智能体能够安装已验证的技能，但无法执行未经审查的二进制文件。智能体由此获得了在您设定边界内自主进化所需的空间。当智能体触及约束时，它能够分析受阻原因并提出策略更新建议，最终审批权仍由您掌握。
• 隐私路由器通过本地开源模型将敏感上下文保留在设备端，仅在策略允许时才会将请求路由至 Claude 和 GPT 等前沿模型。路由决策基于您的成本与隐私策略，而非智能体自身的逻辑。OpenShell 在设计上具备模型无关性，为所有智能体及其控制框架的统一治理提供了环境。

OpenShell如何赋能下一代智能爪

OpenShell的设计旨在实现从使用NVIDIA DGX Spark或NVIDIA技术栈的单名开发者，到企业级部署的平滑扩展，并在各个层级采用相同的基础原语。无论您是独立开发者还是运营企业级GPU集群，系统均支持默认拒绝、实时策略更新以及完整的审计追踪。

对 Claws 的采用与应用正不断加速，未来六至十二个月内做出的基础设施决策，将长期决定企业级智能体部署的格局。

基于 OpenShell 构建的智能体能够借助 Claude Code、Codex、Cursor 和 OpenCode 等主流编程智能体，随时间推移持续拓展新技能；您可通过沙盒界面对工具、模型及行为进行配置，同时确保所有新增能力均受统一的策略与隐私管控约束。

立即访问 NVIDIA GitHub 仓库开始使用 OpenShell，并将其部署至您的 NVIDIA DGX Spark、NVIDIA DGX Station 或配备 NVIDIA RTX GPU 的专用 PC 上。