NVIDIA OpenShell:讓自主 AI Agent 安全執行的三層架構
NVIDIA 在 2026 年 3 月推出 OpenShell,這是 NemoClaw 開源堆疊的核心元件,專門解決自主 Agent 同時達成安全、能力、自主三個條件幾乎不可能的困境。其關鍵創新是「程序外政策強制執行」——把安全限制放在 Agent 執行環境之外,讓 Agent 就算被駭入也無法繞過。
- 自主 Agent 面臨安全三角困境:安全、能力、自主三者無法同時達成,OpenShell 從架構層解決這個問題
- 三層防護:沙箱隔離技能開發、政策引擎管控 Agent 行為、隱私路由決定哪些資料可以送出去
- 支援 OpenClaw、Claude Code、OpenAI Codex、Cursor,零程式碼修改,一行指令部署
自主 Agent 最難解的問題不是「夠不夠聰明」,是「夠不夠安全」
NVIDIA 在 GTC 2026 後連續釋出技術深度文章,OpenShell 是其中最值得細看的一篇。原因很簡單:它直接點出了 AI Agent 落地最核心的矛盾。
文章開頭用一個三角形困境描述問題:一個自主 Agent 如果「安全又自主,但沒有工具和資料存取權」,根本完成不了任務。反過來說,給了完整存取權限、能力也夠強,安全就很難保證。長時間運行的 Agent 有持久的 shell 存取權限和不斷累積的執行上下文,這是靜態聊天機器人從來不需要面對的攻擊面。
NemoClaw 是 NVIDIA 為此推出的開源堆疊,OpenShell 是其治理層,由 Ali Golshan、Alex Watson、John Myers 三位工程師主導開發。
OpenShell 三層架構拆解
沙箱:不只是隔離,是為自我演化 Agent 設計的驗證機制
一般的容器隔離是通用的,OpenShell 的沙箱是針對「會自己學習新技能的 Agent」設計的。當 Agent 嘗試安裝新工具或開發新技能時,沙箱負責驗證這個行為,並提供完整的允許/拒絕決策稽核記錄。可程式化的系統和網路隔離讓開發者可以精細設定哪些行為被允許。
政策引擎:從 prompt 層移到環境層的安全邊界
這是 OpenShell 最核心的設計決策。傳統做法是用 prompt 告訴 Agent「你不能做 X」,問題是 prompt 可以被注入攻擊覆蓋,也可能因為上下文太長而被稀釋。
OpenShell 的政策引擎在程序外運作,也就是在 Agent 的執行環境之外強制執行限制。 原文的比喻很好:這就像瀏覽器的分頁隔離機制,不是靠網頁自己乖乖遵守規則,而是瀏覽器底層不讓跨分頁存取發生。政策引擎在二進位程式、目標位址、呼叫方式、路徑等四個層面評估 Agent 行為,包括套件安裝和子 Agent 的派生都納入管控。
值得注意的設計:Agent 可以「提案」修改政策,但需要開發者核准才能生效。這保留了 Agent 的自主性,同時確保人在決策迴路中。
隱私路由:讓敏感資料留在本地的主動分流機制
隱私路由解決的問題是:Agent 在執行任務時不可避免會碰到敏感資料,但又需要呼叫 Claude、GPT 這類前沿模型來完成複雜推理。OpenShell 的做法是讓路由器根據政策主動決定資料流向——敏感資料用本地開源模型處理,只有在政策明確允許的情況下才送到雲端模型。
這個設計是模型無關的(model-agnostic),不依賴特定模型,決策權在政策而不在 Agent。
相容性與部署範圍
OpenShell 的實際部署門檻很低。一行指令完成沙箱建立:
openshell sandbox create --remote spark --from openclaw相容的 Agent 包含 NVIDIA OpenClaw、Anthropic Claude Code、OpenAI Codex、Cursor,不需要修改任何程式碼。部署環境從個人的 RTX PC、DGX Spark、DGX Station,到企業級 GPU 叢集,使用完全相同的安全基礎設施。授權為 Apache 2.0 開源。
我的觀點
我認為 OpenShell 這篇技術文章最值得關注的不是產品本身,而是它揭示的一個行業共識:用 prompt 管控 Agent 行為這條路已經走到了極限。 NVIDIA 選擇從執行環境層面解決問題,跟 Anthropic 在 Claude Code 中強調 permission model 的思路方向一致——Agent 越自主,越需要環境層面的硬邊界,而不是軟性的行為指引。
隱私路由這個設計特別有意思。它把「哪些資料可以出去」這個決策從 Agent 手上拿走,交給獨立的政策層,這在企業合規場景下非常關鍵。很多公司不是不想用 AI,是不知道怎麼在不洩露客戶資料的前提下用。這個架構給了一個可執行的答案。
文章結尾提到:「未來 6-12 個月的基礎設施決策將決定企業 Agent 部署的長期模式。」這句話我信。現在選擇用什麼 Agent 框架、什麼安全基礎設施,大概率就是之後幾年的技術鎖定。NVIDIA 在這個節點推 OpenShell,時機點拿捏得很準。
不過我也有個疑問:OpenShell 目前的相容清單(Claude Code、Codex、Cursor)都是 coding agent,對於更廣泛的工作流 Agent 場景(訂單處理、客服、資料分析)能不能適用,文章沒有說清楚。這塊如果能打通,才算真的企業級。
OpenShell 是 NVIDIA NemoClaw 開源堆疊中的執行治理層,專為自主 AI Agent 設計。和一般容器隔離最大的不同是「程序外政策強制執行」:安全限制在 Agent 執行環境之外強制落地,Agent 本身無法覆蓋或繞過,即使遭到 prompt 注入攻擊也一樣。它由沙箱、政策引擎、隱私路由三層組成,針對長時間運行、會自我演化的 Agent 的特殊安全需求設計。
OpenShell 目前官方相容的 Agent 包含 NVIDIA OpenClaw、Anthropic Claude Code、OpenAI Codex 和 Cursor,不需要修改任何程式碼。透過一行指令即可完成部署。支援從個人 RTX PC、NVIDIA DGX Spark、DGX Station 到企業級 GPU 叢集的所有環境,使用相同的安全基礎設施。授權採 Apache 2.0 開源。
隱私路由是一個獨立的政策層,負責決定哪些資料可以送到雲端前沿模型(如 Claude、GPT),哪些必須留在本地用開源模型處理。路由決策依據成本和隱私政策,而不是由 Agent 自行判斷。這個設計對企業合規場景特別重要,讓組織在使用 AI Agent 的同時,能確保客戶資料不會在未經授權的情況下離開內部環境。
原文:Run Autonomous, Self-Evolving Agents More Safely with NVIDIA OpenShell|NVIDIA Technical Blog,2026 年 3 月 16 日,作者:Ali Golshan、Alex Watson、John Myers
