NVIDIA 这篇 NemoClaw 与 Hermes Agent 教学,最有价值的地方不是又多一个 agent demo,而是把企业最难处理的问题放到前台:agent 要同时用内部资料和公开资料时,安全边界应该怎样设计。文章以产品研究为例,把 Outlook、Slack、GitHub 和 NVIDIA developer forums 接入同一个 agent workflow。
架构分成三层:NVIDIA Nemotron 3 Super 负责推理与生成,Hermes Agent 负责 harness、skills、sessions、memory 和 bridges,NVIDIA OpenShell 负责 runtime policy、filesystem、network control 和 credential brokering。这个分层很重要,因为安全不靠 prompt 口头承诺,而是由 runtime 实际限制网络、凭证和工具使用。
OpenShell sandbox 的设计尤其值得留意。Hermes Agent 不直接看到 Slack 或 Outlook token,认证由 sandbox proxy 在请求离开时处理。agent 可读内部讯息,但不能直接接触公开互联网;GitHub 和论坛资料则由另一条 ETL 流程拉回来,提供 read-only access。即使 agent 被错误指令带偏,也不能任意把内部资料贴到外部网站。
文章另一个重点是 self-evolving。用户可以在对话中教 agent 一个固定报告格式,Hermes 会把这个模式写成 SKILL.md,之后新 conversation 或同事用 email 触发同一需求时,也能套用相同格式。snapshot 流程会保存 skills、memories、sessions 和 scheduled jobs,同时过滤 .env、token、secret 等敏感文件,让学到的状态可以跨部署延续。
这类设计比单纯「长记忆」更接近企业需要。真正可用的 agent 需要有可迁移的工作格式、可审计的 execution trace、明确的 network allowlist、可重建的 sandbox,以及不暴露凭证的工具接驳。对 sales research、customer support、engineering triage、competitive analysis 和 internal knowledge discovery 来说,这些基础设施比模型回复是否漂亮更关键。
NVIDIA 的讯号很清楚:agent 能力正由 prompt engineering 走向 runtime engineering。当企业开始把 agent 放入真实资料和真实工作流,重点不是让 agent 什么都可以做,而是让它在可验证、可限制、可恢复的边界内,把重复研究和整理工作越做越稳定。
