夜雨聆风在众人瞩目的GTC 2026上,Nvidia 的CEO黄仁勋发布了NVIDIA NemoCLAW。它能解决企业对OpenCLAW的安全顾虑吗?我的看法是,恐怕没有那么简单。把一堆开源组件打包成"方案"而非成品,反而让事情变得更加复杂。但无论结局如何,NVIDIA都将是赢家。
一个"不安分"的龙虾 - OpenClaw
在本周举行的NVIDIA GTC大会的主题演讲上,黄仁勋在宣布了一系列新硬件和云计算产品之后,把最大的篇幅留给了一个出人意料的主角:OpenCLAW。
OpenCLAW由奥地利工程师Peter Steinberger在2025年11月以业余项目起步。短短数月,它已经成为GitHub历史上增速最快的开源项目之一,星标数突破32万,增速超过了Linux和React的同期表现。黄仁勋在台上称其为"个人AI的操作系统"和"软件新文艺复兴的开端"。
但OpenCLAW的走红本身就是一个悖论。LangChain联合创始人兼CEO Harrison Chase在VentureBeat播客中说得很直白:"我们告诉员工,不能在公司电脑上安装OpenCLAW。安全风险太大了。OpenAI永远不会发布这样的东西—他们不可能发布。但这恰恰是OpenCLAW之所以是OpenCLAW的原因。"
这句话道出了OpenCLAW的根本矛盾:它之所以强大,恰恰因为它"不安分"。它拥有root级权限,能执行shell命令、管理本地文件、浏览网页、调用API,甚至能在无人监督下连续运行数小时,将多个动作串联完成。这不是一个听话的聊天助手,而是一台自主运转的"数字员工"。可"数字员工"越能干,攻击面也就越大。
每个企业IT团队都想要一个"安全版的OpenCLAW"。但如何做到既不阉割它的能力,又不让它成为安全噩梦?这就是老黄在GTC 2026上试图回答的问题。
NemoCLAW:一个"参考架构",而非产品
黄仁勋对这个问题给出的答案叫NemoCLAW,一个围绕OpenCLAW的企业级包装方案。严格来说,NemoCLAW不是OpenCLAW的竞品,而是一个参考架构(reference architecture),它试图把企业部署自主Agent所需的多个组件打包在一起,号称几条终端命令就能安装。
这个方案主要由两大组件构成:
第一是Nemotron模型家族。NVIDIA的开源大模型系列,核心卖点是可以在本地硬件上运行,不需要把数据发送到外部API。Nemotron 3 Super在PinchBench(一个测试OpenCLAW任务执行能力的基准测试)上排名开源模型第一。配合NVIDIA自家的DGX Spark和DGX Station等工作站,企业可以在本地运行一个"自带大脑"的Agent。
第二是OpenShell,一个开源安全运行时。你可以把它理解为"给AI Agent定制的Docker":它为每个Agent提供进程级隔离的沙箱环境,管理员通过YAML策略文件定义Agent可以访问哪些文件、建立哪些网络连接、调用哪些云服务。策略之外的一切操作自动封锁。OpenShell还包含一个隐私路由器(privacy router),敏感查询走本地模型,需要更强能力时才路由到外部前沿模型API。路由之前,系统会利用差分隐私技术剥离个人身份信息(PII)。
此外,NVIDIA还发布了Agent Toolkit(Agent工具集)和Nemotron Coalition(与Mistral AI、Perplexity、Cursor、LangChain等合作的开放模型联盟),并展示了Box、Cisco等企业合作伙伴的集成案例,覆盖从客户引导流程到零日漏洞自动响应。
这个阵仗不可谓不大。但仔细瞧瞧,这些组件每一个都是开源的、模块化的、需要组装的。NemoCLAW并不是一个开箱即用的企业产品,而是一张材料清单加一份施工图纸。
"方案"而不是"产品"
这正是NemoCLAW最需要审视的地方。
企业对OpenCLAW的顾虑,不仅仅是"缺一个安全层"那么简单。安全只是冰山一角。更深层的障碍在于:自主Agent是一个全新的软件范式,企业在治理、审计、合规、权限管理等方面的准备几乎为零。
Futurum Group的分析师在评估NemoCLAW时指出,Agent的安全、透明和问责不是从运行时层才开始的,它从规划和开发阶段就开始了,需要贯穿AI开发的整个生命周期。他们的结论是:NemoCLAW解决了部署端的问题,但如果企业把它当作完整的治理方案,那是远远不够的。
换句话说,NemoCLAW给出了拼图的一块(而且确实是重要的一块),但企业需要的是完整的图景。
让我们具体看看这中间的鸿沟:
操作成熟度。OpenShell的YAML策略模型需要企业具备相当的运维成熟度来编写和维护。大多数企业连传统的IAM(身份与访问管理)策略都还没理顺,现在要为AI Agent单独制定一套权限体系?Agent的权限应该镜像哪个员工的权限?如Box在集成案例中展示的那样,Agent权限需要与员工权限体系对齐。概念上很美,落地却是一个庞大的工程。
自演化风险。NVIDIA的架构明确支持Agent"自我进化",允许它们通过Claude Code、Codex、Cursor等编码Agent持续获取新技能。但新获取的技能是否仍在策略框架之内?VentureBeat文章指出,"能够自我进化和获取新技能的agent……引发的治理问题不是任何沙箱能完全解决的。"沙箱能限制动作,但限制不了意图和策略漂移。
集成复杂性。NemoCLAW是一个开源堆栈,不是一项托管服务。企业需要自己把Nemotron模型、OpenShell运行时、策略配置、隐私路由、硬件选型、日志审计这些组件串联起来。这不是"几条终端命令"的事。它本质上是把一个原本由OpenCLAW直接暴露的问题,转化成了一个由多个开源项目组合才能解决的更复杂的问题。
缺乏验证。Futurum Group特别指出,企业买家在现阶段最想看到两样东西:第三方安全审计,以及受监管行业的生产级参考部署。这两样目前都还没有。NVIDIA暗示"很快就会有",但对于合规要求严格的金融、医疗、政府等行业,"很快"和"已经有了"之间隔着天壤之别。
Harrison Chase自己也承认,即使有了这些工具,"安全版的企业OpenCLAW"到底长什么样,他也不确定。"是Claude Cowork或许更接近,还是OpenCLAW本身更接近?我真的不知道。"这种来自业内核心人物的坦诚,本身就说明了问题所在:我们还没有找到正确答案。
NVIDIA真正在做什么
如果NemoCLAW大概率不会在短期内真正解决企业的顾虑,那NVIDIA为什么要如此高调地推出它?
答案藏在他们的硬件策略里。
黄仁勋在台上一再强调,自主Agent是"永远在线"的。它们不等人类打开浏览器,而是24/7持续运行,监控邮箱、执行任务、构建工具、完成多步骤工作流。这种"永远在线"的特性意味着Agent需要专用算力,不能和组织的其他工作负载抢资源。
NVIDIA希望企业得出的结论正是如此:你需要专门的GPU来跑你的Agent。NemoCLAW有意设计为在RTX PC、RTX PRO工作站、DGX Spark和DGX Station上运行。想跑最好的开源模型?你大概率需要一台DGX Station。想在本地跑Nemotron以确保数据不出门?你需要NVIDIA的硬件。
这是一个精心设计的飞轮:OpenCLAW的走红制造了Agent需求 → NemoCLAW把"企业级Agent"的故事讲通 → 企业级Agent需要本地推理 → 本地推理需要NVIDIA GPU → NVIDIA卖出更多硬件。
这也解释了为什么NemoCLAW是开源的、免费的。NVIDIA不需要在软件层赚钱。它需要的是让尽可能多的企业开始尝试在本地运行Agent,因为一旦开始,硬件采购就成了刚需。NemoCLAW不过是鱼饵,GPU则是鱼钩。
这个逻辑在NVIDIA的历史中反复出现:CUDA是免费的,但你只能在NVIDIA GPU上跑它;NIM(NVIDIA Inference Microservices)是开放的,但它优化的是NVIDIA的硬件;现在OpenShell也是开源的,但它的最佳运行环境,当然还是NVIDIA的工作站。Futurum Group分析师注意到了NVIDIA的一贯模式:先建立开放基础,然后逐步叠加针对自有硬件优化的托管服务和配置。从CUDA到Dynamo到NIM,概莫能外。
Nemotron Coalition的成立也服务于这一目的。NVIDIA拉上Mistral AI、Perplexity、Cursor、LangChain等公司合作开发开源前沿模型,名义上是打造"闭源前沿模型生态的替代方案",实际上是确保开源模型的训练跑在DGX Cloud上,推理跑在NVIDIA的硬件上。
所以,即使NemoCLAW作为企业OpenCLAW方案本身成效有限,NVIDIA也并不在乎。它已经实现了真正的目标:将自己定位为AI Agent时代的基础设施提供商。无论最终胜出的是Salesforce、ServiceNow还是某个未知的创业公司,只要Agent需要跑在GPU上,NVIDIA就赢了。
真正的企业Agent之路
抛开NVIDIA的算盘不谈,NemoCLAW对行业的贡献是真实的。OpenShell确实填补了一个重要空白:自主Agent迫切需要一个标准化的安全运行时,就像容器化应用需要Docker一样。隐私路由器的设计思路也是对的:用本地模型处理敏感数据,只在必要时路由到外部API。
但NemoCLAW应该被视为一个起点和参考,而不是解决方案。
真正的企业Agent之路可能更接近这样的图景:在安全运行时之上,还需要企业级的可观测性平台(LangSmith等已在探索这个方向)、经过认证的Agent标准(如AIUC-1这样的Agent认证体系)、跨组织的权限治理框架。而最关键的一环是时间。企业需要时间来建立对这种全新软件范式的机构信任(institutional trust),这不是任何技术方案能够加速的。
AIUC(AI Underwriting Corporation)联合创始人Rajiv Dattani说得好:"数据已经在那里了。但合规、防护措施,以及最重要的,机构信任,还不在。"SecurityPal创始人兼CEO Pukar Hamal则从另一个角度指出了紧迫性:"安全顾虑将会限制企业采用的速度,这意味着它们更容易被没有同样顾虑的市场低端玩家颠覆。"
"不用怕被淘汰"和"用了怕出事"之间的张力,才是当下企业面对AI Agent时代的真实处境。NemoCLAW缓解了其中的一部分焦虑,但远远没有消除它。
结语
NemoCLAW的发布是2026年AI Agent生态的一个标志性事件。它第一次由一家头部硬件厂商站出来,正式尝试回答"如何让自主Agent进入企业"这个问题。但它给出的答案,说到底是一套需要企业自行组装、调试、维护和持续演进的开源组件集合。
对于已经具备强大工程能力的技术公司,NemoCLAW确实提供了一个有价值的起点。但对于绝大多数企业,尤其是那些连传统AI项目都还在"概念验证"阶段挣扎的企业,它更可能是又一份需要消化的技术白皮书,而不是可以立即部署的解决方案。
把开源模型、框架和工具捆绑成一个"方案",不等于把它们变成了"产品"。方案降低的是技术门槛,但不降低组织门槛。而在企业采用AI Agent这件事上,组织门槛才是真正的瓶颈。
不过,对NVIDIA来说,这一切都无关紧要。NemoCLAW成功了,NVIDIA卖出更多GPU。NemoCLAW没有达到预期,但只要它推动了"本地运行AI Agent"这个叙事,NVIDIA照样卖出更多GPU。这是一个无论结果如何,庄家都不会输的牌局。
老黄在闪光灯下真正宣布的不是一个企业Agent方案。他宣布的是:在AI Agent时代,NVIDIA打算做所有人的供应商。
2026年3月19日