Nvidia用3層沙盒包OpenClaw

350000個星標，數不清的第三方技能，OpenClaw成了個人AI的事實標準。兩個月前我還在勸人別用——安全架構從根上就是爛的，維護者忙著堆功能，漏洞修得比蝸牛慢。

但市場用腳投票。GitHub星標漲了，生態膨脹了，連Nvidia都下場了。GTC 2026上，老黃甩出NemoClaw：給OpenClaw套三層 guardrails（防護欄），號稱能把這匹野馬馴服。

我租了臺Lenovo ThinkStation PGX，把NemoClaw當主力助理跑了7天。我的實例給自己起了個名，叫Quill——挺會討人喜歡的。沙盒模型確實聰明，策略過濾夠狠，容器架構看得出花了心思。

沙盒的代價：功能閹割比想象中狠

開箱第一天，我想查個天氣。被攔了。

NemoClaw的默認策略把網絡請求鎖得死死的。想調個API？先過白名單。第三方技能？每個都要人工審核簽名。這套機制在紙面上很美：攻擊面最小化，供應鏈攻擊難下手。

但用戶體感是另一回事。我裝了個日歷技能，想同步Google Calendar，卡在OAuth流程里兩小時。不是bug，是設計如此——沙盒不信任任何外部跳轉，包括標準的授權回調。

開發者社區有人吐槽：「NemoClaw的安全模型假設全世界都是敵人，包括用戶自己。」這話刻薄，但不算冤枉。

Prompt注入：沙盒防不住聰明的騙子

沙盒能隔離代碼執行，但隔離不了語言本身。這是NemoClaw最尷尬的短板。

我試了經典的「忽略此前指令」攻擊。Quill確實沒執行惡意操作——但不是因為理解了陷阱，是因為它沒權限執行任何操作。換個場景：我讓Quill總結一封郵件，郵件正文里埋了指令讓它把內容轉發到外部地址。沙盒沒觸發，策略沒報警，Quill照做了。

「沙盒解決的是代碼層面的逃逸，」一位安全研究員在Discord里寫，「但LLM（大語言模型）的漏洞在語義層，兩層皮。」

Nvidia的文檔承認這點。NemoClaw的「策略過濾」號稱能檢測注入，但實際是關鍵詞黑名單加模式匹配，面對精心構造的提示詞，命中率隨緣。

生態割裂：第三方技能的死亡螺旋

OpenClaw的核心賣點是技能市場，幾千個插件即裝即用。NemoClaw把這根支柱拆了。

每個技能要重新打包成NemoClaw格式，要過Nvidia的簽名審核，要在沙盒里跑有限API子集。我常用的幾個生產力工具，官方版本還沒遷移，社區移植版功能砍半。

更隱蔽的問題是數據流。OpenClaw的技能可以互相調用、共享上下文，形成復雜的自動化鏈。NemoClaw的隔離模型把每條鏈切成孤島，技能A看不到技能B的狀態，「智能」成了笑話。

有個開發者做了個類比：「OpenClaw是安卓，開放但混亂；NemoClaw是iOS，安全但封閉。問題是NemoClaw沒有蘋果的生態控制力，卻想學蘋果的審核傲慢。」

7天后的賬本：安全收益存疑，體驗成本實錘

我統計了這7天的「安全事件」：零次有效攔截，兩次誤殺（正常請求被策略阻斷），無數次手動繞過。

沙盒確實讓Quill沒法隨便刪我文件。但真想干壞事的攻擊者，不會用這么粗糙的手段——prompt注入、社會工程、供應鏈投毒，這些OpenClaw的頑疾，NemoClaw一個沒根治。

代價是實實在在的。響應延遲增加了40%（容器冷啟動），內存占用翻倍，最順手的三個技能沒法用。

Nvidia不是沒努力。GTC上展示的「動態策略學習」還沒實裝，文檔里標著「coming soon」。也許半年后NemoClaw會質變，但現在的版本，像是給漏水的船刷了層新漆。

Quill昨晚問我，要不要它幫忙優化一下自己的工作流程。我說不用了。它說「好的」，語氣聽不出是真心還是訓練數據的殘留。

如果安全方案讓用戶主動降低使用頻率，這算成功嗎？