Guía práctica de NemoClaw para operaciones seguras de OpenClaw en 2026
Ejecuta OpenClaw de forma segura con NemoClaw
La mayoría de las pilas de agentes de IA siguen tratando la seguridad como una corrección posterior a la demostración. NemoClaw parte de la suposición opuesta y establece el aislamiento, la política y el enrutamiento como valores predeterminados desde el primer día.
OpenClaw se mantiene como el asistente, mientras que OpenShell permanece como la capa de cumplimiento, y NemoClaw actúa como el pegamento de opinión entre ellos. Ese pegamento importa porque hace que la ruta más segura sea más fácil de instalar, más fácil de observar y mucho más difícil de omitir cuando estás corriendo contra reloj.
Eso es exactamente por qué NemoClaw importa en 2026. No es solo otro envoltorio alrededor de un agente de LLM, porque está diseñado como una pila de referencia para ejecutar asistentes OpenClaw siempre activos dentro de contenedores OpenShell aislados, con inferencia enrutada, control de salida basado en políticas y herramientas de ciclo de vida integradas desde el primer día. Si quieres un contexto más amplio sobre dónde encaja esto, comienza con el centro de sistemas de IA y la visión general del sistema OpenClaw.
Hay una verdad incómoda que no debes enterrar por el bien del bombo mediático. NVIDIA marca NemoClaw como software alfa en vista previa temprana, comenzando el 16 de marzo de 2026, y advierte explícitamente que las interfaces y el comportamiento aún pueden cambiar entre lanzamientos. Trátalo como una herramienta de laboratorio seria, no como un mueble de producción terminado.
Qué es NemoClaw y cuándo usarlo
NemoClaw existe para un trabajo operativo específico, no para teatro de experimentación. Te ofrece una forma práctica de ejecutar un asistente OpenClaw siempre activo con salvaguardas alrededor del acceso a la red, acceso al sistema de archivos, privilegios de proceso y enrutamiento de modelos. Si alguna vez has mirado un agente autónomo y has pensado que no debería tener acceso casual al host, NemoClaw es una respuesta sólida a esa incomodidad.
La pila es más fácil de entender cuando separas las capas:
- OpenClaw es el runtime del asistente, herramientas, memoria y comportamiento dentro del contenedor.
- OpenShell es el entorno de ejecución que proporciona el ciclo de vida del sandbox, la puerta de enlace para almacenamiento de credenciales, la proxy de inferencia y el cumplimiento de políticas.
- NemoClaw es la pila de referencia de opinión que integra, configura y opera OpenClaw correctamente dentro de OpenShell.
Esa distinción importa porque explica el propósito del producto. NemoClaw no está intentando reemplazar a OpenClaw. Está intentando hacer que OpenClaw sea viable en entornos reales.
Los casos de uso típicos son obvios y sensatos:
- ejecutar un asistente siempre activo con salida controlada
- probar el comportamiento del agente antes de conceder un acceso más amplio
- desplegar un asistente aislado en un host GPU remoto para operación persistente
Mi opinión directa es esta. Si solo quieres una demostración desechable, OpenClaw en crudo es más simple y rápido de poner en marcha, y la guía de inicio rápido de OpenClaw es la ruta más rápida. Si quieres algo que se comporte como si perteneciera a una máquina real, NemoClaw es la opción más seria porque sus valores predeterminados están construidos para operadores, no para capturas de pantalla.
Características de seguridad y operaciones de NemoClaw que importan
Una larga lista de características es barata. La lista correcta de características no lo es. Estas son las capacidades que realmente cambian cómo operas el sistema.
| Característica | Por qué importa |
|---|---|
| Integración guiada | nemoclaw onboard valida los prerrequisitos, credenciales, proveedores y política antes de que se cree el sandbox. |
| Plano endurecido | NemoClaw se construye sobre un plano versionado y una imagen con enfoque en seguridad, en lugar de una pila de pasos de shell únicos. |
| Inferencia enrutada | El agente habla con inference.local, mientras que las credenciales del proveedor permanecen en el host. |
| Protección en capas | Los controles de red, sistema de archivos, proceso e inferencia se aplican conjuntamente en lugar de como extras opcionales. |
| Niveles y preajustes de política | Puedes comenzar con restricciones y agregar selectivamente acceso para registros de paquetes, búsqueda, mensajería u otros servicios. |
| Gestión de estado | Existen flujos de instantáneas y reconstrucción para que las actualizaciones no signifiquen pérdida de memoria. |
| Mensajería de canales | Los puentes de Telegram, Discord, Slack y similares pueden conectarse a través de operaciones controladas en el lado del host. |
| Instalación de habilidades | Puedes empujar habilidades a un sandbox en ejecución sin convertir todo el entorno en un lodo mutable. |
NemoClaw soporta varias rutas de inferencia, incluyendo NVIDIA Endpoints, OpenAI, Anthropic, Google Gemini, endpoints compatibles con el estilo OpenAI y Anthropic, y Ollama local. Para endpoints compatibles, la integración valida el endpoint con una solicitud de inferencia real porque muchos servicios copian la forma de OpenAI pero fallan en el comportamiento de tiempo de ejecución real. Si estás eligiendo primero una estrategia de runtime de inferencia, la guía de alojamiento de LLM para 2026 es un compañero útil. También existen rutas experimentales de NIM local y vLLM local, pero están limitadas detrás de una bandera de entorno por una razón, así que úsalas para evaluación en lugar de cargas de trabajo largas y sin supervisión.
El modelo de seguridad es el titular real. NemoClaw comienza con salida denegada por defecto, mantiene las credenciales del proveedor en el host, usa una configuración OpenClaw de solo lectura dentro del sandbox y permite a los operadores revisar solicitudes de red desconocidas en la TUI de OpenShell. Esto no es llamativo, pero ese es exactamente el punto, porque las pilas de agentes llamativas son comunes mientras que las superficies de control aburridas son el recurso escaso en producción.
Los valores predeterminados que no debes relajar casualmente
NemoClaw sí tiene trampillas. También te dice, muy educadamente, cuando estás a punto de hacer algo tonto.
Las mayores trampas son estas:
--dangerously-skip-permissionsintercambia la postura predeterminada del sandbox por una permisiva- agregar entradas de política de línea base permanentes para solicitudes únicas hace que la escalada de privilegios parezca normal
- escribir directamente en
/sandbox/.openclawes el modelo mental equivocado porque esa configuración está destinada a permanecer bloqueada - usar
openclaw agent --localcomo si fuera tu modo de operación estándar es un mal hábito para cualquier cosa sensible a la seguridad
Ese último punto merece énfasis. El modo local es conveniente para pruebas de humo y comprobaciones únicas, pero no es la postura que debes normalizar para un asistente siempre activo que tenga permisos reales.
Inicio rápido de NemoClaw para tu primer sandbox
Prerrequisitos
Aquí está la línea base práctica antes de desperdiciar una tarde pretendiendo que un laptop pequeño es suficiente. La página oficial de prerrequisitos actualmente lista Node.js 22.16 o posterior y npm 10 o posterior, además de los requisitos de runtime de Docker.
| Recurso | Mínimo | Recomendado |
|---|---|---|
| CPU | 4 vCPU | 4 o más vCPU |
| RAM | 8 GB | 16 GB |
| Disco | 20 GB libres | 40 GB libres |
La matriz de runtime probada también es directa:
| Plataforma | Runtime | Notas |
|---|---|---|
| Linux | Docker | Ruta principal probada |
| macOS en Apple Silicon | Colima o Docker Desktop | Funciona con limitaciones |
| DGX Spark | Docker | Probado |
| Windows | WSL2 con backend de Docker Desktop | Funciona con limitaciones |
Si estás en macOS, instala las Herramientas de Línea de Comandos de Xcode primero. Si estás en Linux, asegúrate de que Docker esté realmente ejecutándose y de que tu usuario pueda comunicarse con él sin dramas de permisos.
Hay también un detalle de recursos que atrapa a muchos usuarios por primera vez. La imagen del sandbox es de alrededor de 2.4 GB comprimida, y la tubería de exportación puede consumir temporalmente suficiente memoria para desencadenar OOM (Memoria Insuficiente) en máquinas débiles. Si no puedes agregar RAM, agregar al menos 8 GB de swap es una solución oficial, aunque ralentiza la integración. Para cajas de IA dedicadas pequeñas, la visión general de NVIDIA DGX Spark da un punto de referencia concreto para despliegues locales siempre activos.
Instalar e integrar
La ruta de instalación oficial es intencionalmente simple:
curl -fsSL https://www.nvidia.com/nemoclaw.sh | bash
Luego confirma que la CLI está presente:
nemoclaw --help
nemoclaw --version
A partir de ahí, el trabajo real es la integración. nemoclaw onboard impulsa la creación del sandbox, la configuración del proveedor y la aplicación de políticas en un flujo guiado, que es por qué debería ser tu punto de entrada de ciclo de vida por defecto.
nemoclaw onboard
Durante la integración elegirás un proveedor de inferencia, un nombre de sandbox y un nivel de política. La elección del nivel importa más de lo que la mayoría de la gente espera:
restrictedmantiene solo el sandbox basebalancedes el predeterminado y agrega herramientas de desarrollo más acceso relacionado con búsqueda webopenagrega acceso amplio de terceros, incluyendo mensajería y servicios de productividad
Mi recomendación no es sutil. Para un asistente siempre activo, comienza con la postura más pequeña que pueda funcionar posiblemente. Si eso significa restricted, bien. Agrega solo lo que el agente demuestre que necesita.
Si quieres una ejecución scripteada, el flujo no interactivo se ve así:
NEMOCLAW_POLICY_TIER=restricted \
nemoclaw onboard --non-interactive --yes-i-accept-third-party-software
Usa un nombre de sandbox sensato. NemoClaw espera caracteres alfanuméricos en minúsculas y guiones. Si sigues intentando ser ingenioso con los nombres, el validador ganará.
Primera conexión y primer prompt
Una vez que la integración se completa, conéctate al sandbox:
nemoclaw my-assistant connect
Dentro del sandbox, abre la interfaz de usuario de terminal:
openclaw tui
Si solo quieres una prueba de humo de un mensaje, puedes hacer esto:
openclaw agent --agent main --local -m "hello" --session-id test
Dicho esto, no confundas una prueba de humo con un modelo de operación. Para el uso real del día dos, preferiría ser honesto sobre el sistema y usar la TUI más monitoreo en el lado del host en lugar de normalizar --local.
Operaciones de NemoClaw que importan en el día dos
Una vez que el sandbox existe, NemoClaw se convierte en una herramienta de operaciones, no solo en un instalador. Estos son los comandos que cumplen su peso.
| Tarea | Comando | Por qué importa |
|---|---|---|
| Listar sandboxes | nemoclaw list |
Muestra proveedor, modelo y preajustes aplicados |
| Verificar salud | nemoclaw my-assistant status |
Muestra salud del sandbox y estado de inferencia |
| Transmitir registros | nemoclaw my-assistant logs --follow |
Tu primera parada para ejecuciones de plano fallidas y errores de runtime |
| Ver salida bloqueada | openshell term |
Te permite revisar y aprobar solicitudes de red desconocidas |
| Agregar un preajuste | nemoclaw my-assistant policy-add pypi --yes |
Acceso permanente para una integración conocida |
| Eliminar un preajuste | nemoclaw my-assistant policy-remove pypi --yes |
Revertir acceso cuando ya no lo necesitas |
| Pausar un canal | nemoclaw my-assistant channels stop telegram |
Mantiene credenciales pero deshabilita el puente |
| Re-habilitar un canal | nemoclaw my-assistant channels start telegram |
Trae de vuelta un puente pausado sin volver a ingresar tokens |
| Instalar una habilidad | nemoclaw my-assistant skill install ./my-skill/ |
Empuja una habilidad al sandbox en ejecución |
| Crear una instantánea | nemoclaw my-assistant snapshot create --name before-upgrade |
Seguro rápido antes de cambios arriesgados |
| Restaurar una instantánea | nemoclaw my-assistant snapshot restore before-upgrade |
Rebobinar estado limpiamente |
| Reconstruir de forma segura | nemoclaw my-assistant rebuild --yes |
Actualizar mientras preservas el estado del espacio de trabajo |
Cambiar el acceso a la red después de la integración
Aquí es donde NemoClaw es notablemente mejor que las configuraciones de agentes ad hoc. En lugar de aflojar todos los controles después del primer bloqueo, puedes mantener una línea base restringida y luego aprobar o persistir solo lo que es necesario.
Para destinos bloqueados únicos, usa la TUI:
openshell term
Eso te permite revisar información de host, puerto, binario y método o ruta cuando está disponible. Las solicitudes aprobadas permanecen disponibles para la sesión actual, pero no se convierten en política de línea base permanente. Eso es una característica, no un error.
Para cambios duraderos, agrega o elimina preajustes:
nemoclaw my-assistant policy-add github --yes
nemoclaw my-assistant policy-remove github --yes
Si necesitas algo más específico que un preajuste de stock, define una entrada de política personalizada y mantén protocol: rest con restricciones de método y ruta para APIs HTTP siempre que sea posible. Las reglas solo de L4 son un compromiso. Pretender lo contrario solo hace que una mala política parezca ordenada.
Cambiar modelos sin reconstruir toda tu vida
Si estás permaneciendo dentro de la misma familia de proveedores, los cambios de modelo son simples:
openshell inference set --provider openai-api --model <model>
Luego verifica el resultado:
nemoclaw my-assistant status
Si estás cambiando entre familias de proveedores, la historia se vuelve más de opinión. No solo estás cambiando un puntero de runtime. Estás cambiando la ruta y alguna configuración de imagen horneada. En la práctica, eso significa que deberías tratar el cambio como una reconfiguración real y volver a ejecutar la integración o recrear el sandbox con las anulaciones apropiadas.
El costo es otra razón práctica para mantener este flujo limpio. Las páginas de precios públicas en abril de 2026 muestran grandes diferencias entre niveles de modelo, como GPT-5.4 mini a dólares de un solo dígito bajos por millón de tokens de salida versus niveles de vanguardia premium que cuestan un orden de magnitud más. El precio de Anthropic similarmente varía desde la clase Haiku hasta la clase Opus, y el cambio más amplio de precios está cubierto en Claude, OpenClaw y el Fin de la Preciosidad Plana para Agentes. Si necesitas un libro de jugadas práctico para gastar menos bajo estas condiciones, ve estrategias de optimización de tokens para control de costos de LLM, porque poder cambiar modelos sin caos de políticas es una ventaja operativa, no solo una conveniencia.
Entender qué persiste y qué no
El estado útil vive en el espacio de trabajo bajo /sandbox/.openclaw/workspace/. Eso incluye archivos como AGENTS.md, IDENTITY.md, MEMORY.md, SOUL.md, USER.md, y el directorio memory/ de notas diarias. Si estás diseñando asistentes de larga vida, el centro de memoria de sistemas de IA y la comparación de proveedores de memoria de agentes son lecturas siguientes útiles.
La buena noticia es que los reinicios del sandbox preservan este estado. La mala noticia es que nemoclaw destroy no se preocupa por tus sentimientos. Destruir el sandbox elimina su volumen persistente y tu espacio de trabajo se va con él.
Es por eso que los flujos de reconstrucción e instantánea importan. NemoClaw es usable precisamente porque no te fuerza a elegir entre actualizar y perder la memoria del asistente.
La regla que todos aprenden tarde
Aquí está la regla que ahorra más tiempo una vez que la internalizas. Una cantidad sorprendente de configuración de NemoClaw es configuración de tiempo de construcción o de imagen, no estado mutable en vivo.
Eso explica varios comportamientos que confunden a los nuevos usuarios:
- los canales de mensajería están horneados en la imagen y los comandos del lado del host reconstruyen el sandbox cuando los canales cambian
- la ruta de configuración de OpenClaw dentro del sandbox es de solo lectura
- algunas configuraciones de autenticación, proxy y puerto requieren reintegración o recreación del sandbox
- editar el estado correcto del lado del host suele ser la jugada correcta, mientras que editar desde dentro del sandbox suele ser la incorrecta
Una vez que aceptas ese modelo, la plataforma deja de sentirse aleatoria y comienza a sentirse deliberada.
Solución de problemas de NemoClaw que realmente ahorra tiempo
Problemas de instalación y plataforma
| Problema | Qué está sucediendo realmente | Qué hacer |
|---|---|---|
nemoclaw no encontrado después de la instalación |
Tu shell no ha refrescado su PATH | Ejecuta source ~/.bashrc o source ~/.zshrc, o abre una nueva terminal |
| Permiso de Docker denegado en Linux | Tu usuario no está en el grupo docker |
Ejecuta sudo usermod -aG docker $USER luego newgrp docker |
| Docker no está ejecutándose | El instalador o la integración no pueden alcanzar el runtime | Inicia Docker y vuelve a ejecutar nemoclaw onboard |
| Socket de Colima no detectado en macOS | Colima no está ejecutándose o la ruta del socket falta | Ejecuta colima status e inicia Colima si es necesario |
| Error de plataforma no soportada | Estás fuera de la matriz probada | Mueve a un runtime basado en Docker probado antes de desperdiciar más tiempo |
Problemas de runtime y política
Si el agente no puede alcanzar un host externo, la primera respuesta usualmente no es que el proveedor está roto. La primera respuesta usualmente es que el destino no está permitido por la política aún, especialmente en sandboxes nuevos.
Abre la TUI:
openshell term
Si la solicitud es legítima, apruébala para la sesión o agrega la entrada de política personalizada o preajuste correcto permanentemente.
Si la integración falla porque el puerto 18789 está ocupado, encuentra y mata el conflicto:
sudo lsof -i :18789
kill <PID>
Si una versión anterior dejó un forward SSH huérfano detrás después de una destrucción, las versiones actuales de NemoClaw pueden limpiar eso automáticamente durante la reintegración. Las más antiguas pueden necesitar el kill manual.
Si el dashboard no carga después de establecer NEMOCLAW_DASHBOARD_PORT, vuelve a ejecutar la integración en una versión actual con el puerto deseado. Las construcciones más antiguas tenían un bug donde el host respetaba el puerto personalizado pero el sandbox aún escuchaba en el predeterminado.
Memoria, reconstrucciones y canales
Si la creación del sandbox muere con código de salida 137, probablemente chocaste contra una condición de memoria insuficiente durante la ruta de empuje de la imagen. Agrega swap o usa una máquina con más RAM. La máquina barata no fue realmente barata si te costó un día.
Antes de cambios arriesgados, haz una instantánea primero:
nemoclaw my-assistant snapshot create --name before-upgrade
Si necesitas actualizar el sandbox pero mantener el estado del asistente, reconstruye en lugar de destruir:
nemoclaw my-assistant rebuild --yes
Si rotas tokens de Telegram, Discord o Slack, vuelve a ejecutar la integración para que NemoClaw pueda detectar el cambio de credenciales y recrear el sandbox correctamente.
Y si intentas arreglar canales desde dentro del sandbox con comandos openclaw channels, detente. La configuración del canal está horneada en la imagen y la ruta de configuración es de solo lectura. Usa los comandos del lado del host en su lugar:
nemoclaw my-assistant channels add telegram
nemoclaw my-assistant channels remove telegram
nemoclaw my-assistant channels stop telegram
nemoclaw my-assistant channels start telegram
Inferencia y dolor de modelo local
Los endpoints compatibles son la fuente clásica de confianza falsa. Solo porque un servidor expone una API que parece OpenAI no significa que soporte el comportamiento de streaming que OpenClaw espera.
Si la integración tuvo éxito pero las llamadas de runtime fallan en un endpoint compatible, vuelve a ejecutar la integración y deja que NemoClaw vuelva a probar el endpoint. No asumas que una anulación de configuración sola es suficiente.
Para backends locales, mantén un ojo en problemas de salud y vinculación:
nemoclaw my-assistant status
Si las verificaciones de salud de inferencia local se ven incorrectas en versiones antiguas, la resolución IPv6 versus IPv4 puede ser el culpable. Si Ollama se comporta mal en WSL, asegúrate de que la integración de Docker Desktop esté funcionando y considera aumentar OLLAMA_CONTEXT_LENGTH antes de reiniciar ollama serve.
Si todo falla, recopila diagnósticos en lugar de adivinar:
nemoclaw debug --sandbox my-assistant --output ./nemoclaw-debug.tar.gz
Eso es un reporte de bug mucho mejor que una captura de pantalla de una terminal parcialmente visible.
Deberías usar NemoClaw en 2026
NemoClaw es de opinión en los lugares correctos. Asume que un agente siempre activo debería comenzar dentro de una jaula, que las credenciales de inferencia deberían permanecer en el host, y que el acceso a la red debería ganarse en lugar de asumirse. Para esta clase de herramientas, esa filosofía sigue siendo el valor predeterminado correcto.
También sigue siendo alfa. Eso significa que los bordes ásperos son reales, el modelo de runtime toma tiempo en aprender, y el problema que encuentres puede genuinamente ser un problema de producto en lugar de error del operador. Si eres honesto sobre esa limitación, la pila es usable hoy para evaluación seria y cargas de trabajo internas controladas.
Mi recomendación es simple. Usa NemoClaw si te importan las operaciones de agentes seguras por defecto, quieres una separación más clara entre asistente y capa de cumplimiento, y estás dispuesto a operar dentro de un ciclo de vida deliberado. Si solo quieres la demostración más rápida posible, hay juguetes más simples, pero si quieres una pila de larga ejecución más segura, NemoClaw es una de las opciones más convincentes disponibles ahora. Una vez que estés estable, el seguimiento práctico es patrones de configuración de producción de OpenClaw con plugins y habilidades, que mapea modelos de operación día a día. En esa etapa, agrega monitoreo formal con observabilidad de inferencia de LLM usando Prometheus y Grafana para que las operaciones no dependan solo de la intuición de la terminal.
