在NVIDIA Jetson Orin Nano 8GB部署NemoClaw

OpenClaw是一个强大的开源AI Agent平台，被业界形容为“AI智能体的操作系统”。

然而这样强大的自主AI Agent，可以发出任意网络请求、存取主机文件系统，并调用任何推理端点，如果没有防护措施，就会像一匹脱缰的野马，将带来严重的安全、成本和合规性风险。

为了在“强大”与“制约”之间取得有效平衡，NVIDIA在2026年3月的GTC大会中，推出了基于OpenShell技术的NemoClaw管理器，利用沙箱（sandbox）容器技术对OpenClaw智能体的权限范围进行约束，确保系统的安全性。

本文要带着大家在 Jetson Orin Nano 8GB 系统上安装NemoClaw，因为这个设备的资源非常紧凑，能在这里装上去并使用的话，那其他资源更丰富的设备上就能得到更好的效果。

NemoClaw原理说明

下图是NemoClaw官网（https://docs.nvidia.com/nemoclaw/about/how-it-works）所提供的高阶架构图：

现在做些简单的说明：

• Users+Operators（最左边）：使用者（人），包含开发者、管理员、终端用户等
• NemNemoClaw Control（左二）：作为使用者对沙箱进行管理的交流界面，提供一组CLI或Dashboard，接收使用者对沙箱的初始化、配置与管理生命周期的要求；
• OpenShell Gateway（中间）：主要基于K3S技术，是真正对沙箱的生命周期（创建/销毁）、网络/安全策略进行管理的机制；
• NemoClaw Sandbox（右二）：OpenClaw真正执行的安全执行环境（容器）；
• State+Artifacts（最右边）：存放这个沙箱所创建的配置文件、凭证、日志、工作区、策略、对话记录等待；
• Inference（上方）：添加推理的能力，如接到NVIDIA端点、NIM服务、网上服务上（OpenAI、Anthropic、阿里。。）或本地的Ollama、vllm、llama.cpp之类的兼容API；
• Integrations（下方）：与外界沟通的消息服务、MCP、GitHub、HuggingFace、npm、PyPI等等。

上图可以清楚地看到，NemoClaw透过OpenShell将OpenClaw执行范围都封藏在沙箱里面，与外界的所有互动都必须在OpenShell安全策略的控制下进行。如此让OpenClaw在沙箱内可以发挥完整的功能，又不会越界去执行危害系统的行为，这是非常符合实际应用的处理方式。

下面提供一个比较形象的各元件的角色与功能，让大家能更容易掌握之间的差异：

• NemoClaw是总指挥，提供一键安装、编排OpenShell和OpenClaw的协同工作
• OpenShell是保安系统，提供沙箱隔离、策略引擎、隐私路由
• Sandbox是隔离的办公室，OpenClaw 实际运行的容器化环境，受 OpenShell 管控
• OpenClaw是AI员工，在 Sandbox 内部执行具体任务的 AI智能体

优化 Jetson Orin Nano 8GB

OpenClaw是个AI智能体，必须依赖LLM模型提供处理事务的智能，通常分为线上或本地两种方式。但大部分LLM模型都在 4GB以上规模，这对于仅有8GB显存的设备会相当吃力，因此在部署之前需要先对设备进行一些优化，确保系统能够持续正常的运行。

主要优化内容如下：

1. 调整系统记忆体（必须做），包括以下步骤：

• 删除系统内置的4GB ZRAM 虚拟内存，但在大部分状况下用不到，最后直接删除以腾出更多资源。执行步骤如下：
  代码语言：javascript

  复制

  sudo systemctl disable nvzramconfig
  cd /etc/systemd  &&  sudo mv nvzramconfig.sh nvzramconfig.sh.orig

• 创建8GB交换空间：
  代码语言：javascript

  复制

  sudo fallocate -l 8G /swapfile
  sudo chmod 600 /swapfile
  sudo mkswap /swapfile
  sudo swapon /swapfile
  # 永久生效
  echo '/swapfile none swap sw 0 0' | sudo tee -a /etc/fstab

• 关闭GUI图形桌面：可以节省 800MB 左右记忆体
  代码语言：javascript

  复制

  sudo systemctl set-default multi-user.target

• 执行 sudo reboot 重启系统，让前面的配置生效

2. 为Docker配置 “免sudo” 操作，让NemoClaw安装能自动完成：

• Jetson Orin Nano 配置的 Jetpack 6.2.2 版本工作环境，已经内置 Docker 与 nvidia-container 功能，因此不需要再单独安装，只需要执行以下指令即可：
  代码语言：javascript

  复制

  sudo usermod -aG docker $USER  &&  newgrp docker

• 为了要提高拉取 Docker 镜像文件的效率，建议在 /etc/docker/daemon.json 里添加国内的镜像网站，操作如下：
  代码语言：javascript

  复制

  sudo  nano  / etc/docker/daemon.json
  # 在里面添加以下内容：
      "registry-mirrors": [
          "https://docker.m.daocloud.io",
          "https://docker.mirrors.ustc.edu.cn",
          "https://hub-mirror.c.163.com"
      ],
  # 按 Ctrl-x 存档t退出
  # 执行以下指令重启 Docker
  sudo systemctl daemon-reload && sudo systemctl restart ollama.service

3. 安装推理框架：

• 目前业界比较常用的推理框架，主要有ollama、vllm、llama.cpp、LMStudio等等。对Jetson Orin Nano 8GB 来说，在考量开销、性能与稳定性的多方因素下，原厂推荐使用 ollama 推理平台是最稳妥而且容易上手。
• 安装ollama只需要执行 curl -fsSL https://ollama.com/install.sh | sh 这样一道指令就行，安装好就能执行使用。
• 执行 ollama list可以检查服务是否启动？如果未启动就执行 ollama serve来启动

4. 选择合适的模型：

• 官方推荐用千问的 Qwen 3.5 2B（Q4_K_M）模型，初上手者直接先用这个就行。
• 安装好 Ollama 之后，执行ollama pull qwen3.5:2b 从ollama官网直接下载，模型大小约2.7GB。
• 执行ollama list可以检查是否已经下载到本地

5. 启用 Jetson 的最高性能（Super）模式（性能 + 内存优化）

代码语言：javascript

复制

sudo nvpmodel -m 2  && sudo jetson_clocks

完成以上的预设置作业之后，现在就可以准备安装NemoClaw了。

安装 NemoClaw

NVIDIA 虽然提供curl -fsSL https://www.nvidia.com/nemoclaw.sh | bash这样一条很简单的安装指令，过程中需要下载很多东西，包括 github代码仓、npm、docker 镜像、python包等等内容，在缺乏特殊网络的辅助下，很难一次就完成。

推荐的安装方式是先从Github代码仓下载最基础文件，但代码仓 https://github.com/NVIDIA/NemoClaw 完整的项目内容有 49000+ 文件，通常难以下载完成。而我们需要的就是最基础的文件其实不到 2000 个。

可以在下面两种方式中选择一种来操作：

1. 执行下面指令，下载最基础的文件：

git clone --depth 1 --single-branch https://github.com/NVIDIA/NemoClaw.git 

2. https://github.com/NVIDIA/NemoClaw 网页下载 NemoClaw-main.zip（约7MB)到本地后，解压缩生成 NemoClaw-main 文件夹，将文件夹改名为 NemoClaw

接着用代码仓里的 install.sh 进行安装

cd NemoClaw && chmod +x install.sh && ./install.sh

然后会开始按照以下步骤进行：

• NemoClaw启动画面：

• [1/3] 安装 Node.js：

• [2/3] 安装 NemoClaw CLI：

• [3/3] Onboarding（NemoClaw进行配置）

接下去就会开始 8 个配置步骤：

• [1/8] Preflight checks 与 [2/8] Starting OpenShell gateway ：如果网络顺畅的话会顺利完成！如果这里出现问题需要重新进行配置的话，只要在执行 nemoclaw onboard --no-gpu 即可。
• [3/8] Configuring inference provider：选择推理的LLM来源。我们在前面安装的 Ollama 与下载的 qwen3.5:2b 模型，就要在这个步骤中填入：
  • 在 Inference options 部分选择 “ 7) Local Ollama (localhost:11434) — running (suggested) "，NemoClaw已经检测到系统上安装了 Ollama；
  • 在 Ollama models 选项中就填入 qwen3.5:2b 前面的编号，例如“1”

  一切顺利的话，NemoClaw 会为我们做好配置

• 下一步就是要创建可以执行 OpenClaw 的 Sandbox 名称。例如我们需要这个 Sandbox 作为网上信息整理与透过指定的通信软件进行提示的应用，可以命名为 my-info-assis。命名是有要求的：
  • 英语字母（只能小写）、数字与“-”，中间不能有空格
  • 最长为63个字符，以字母开头、字母或数字结尾

然后会显示这个沙箱的信息，确认无误就确认往下继续进行。

• [4/8] Setting up inference provider：NemoClaw 开始创建 my-info-assis 沙箱。这里会询问是否启动 Brave 搜索功能（“Enable Brave Web Search? [y/N]: ”），这里选 N 就行。
• [5/8] Messaging channels：这里就是让使用者选择想用的通讯软件。不过本文先略过选项与配置，直接按 "Enter" 继续往下，后面还可以透过 NemoClaw CLI 进行设置

接下去还提供 6 种沙箱资源配置原则，新上手的选择“ 1)creator (cpu=50%, ram=50%) ” 比较合适。

• [6/8] Creating sandbox：NemoClaw 启动 docker composer 来创建刚刚配置的 my-info-assis 沙箱，这是最耗费时间的步骤.过程中需要下载 ghcr.io/nvidia/nemoclaw/sandbox-base:v0.0.54(1.2GB)，然后生成一个 openshell/sandbox-from:xxxxxxxxxx 镜像文件。可以用 docker images 检查，如下：

如果下载 ghcr.io/nvidia/nemoclaw/sandbox-base:v0.0.54 镜像没完成，可以直接用下面指令下载：

 docker pull ghcr.io/nvidia/nemoclaw/sandbox-base:v0.0.54 

这个镜像文件只需要下载一次就行，后面再创建其他沙箱就容易得多。

每次创建沙箱，就是生成一个 openshell/sandbox-from:xxxxxxxxxx 镜像文件

• [7/8] Setting up OpenClaw inside sandbox：到这里表示沙箱创建完成
• [8/8] Policy presets：现在一个策略原则，初学者选择 Balanced 即可，直接按 Enter 往下。下面会继续显示这个策略里的细节，目前先不用自行修改，再按一次 Enter 往下。

接着 NemoClaw 会进行完整的配置，如果一切顺利，最后会显示如下的信息：

进入沙箱启动 OpenClaw

1. 执行nemoclaw <sandbox-name> connect进入沙箱容器内；
2. 进入沙箱容器内， 命令行显示为 sandbox@xxxxxxxxxxxx:~$表示在容器内工作；
3. 执行 openclaw tui 就会进入其终端交互模式，如下图：

现在就可以在 NemoClaw 的安全范围里，尽情地操控OpenClaw了。【完】