■ NemoClaw発表の概要
NVIDIAは2026年3月16日、GTC 2026のジェンスン・ファン(Jensen Huang)CEOによる基調講演にて、OpenClaw向けの新スタック「NemoClaw」を発表した。
NemoClawはオープンソースとして公開されており、コマンド一つでOpenClaw環境にNVIDIAのNemotronモデルと新たに発表されたOpenShellランタイムを導入できる。
NemoClawの技術構成
NemoClawはNVIDIAが独自に開発した「Agent Toolkit」を中核に据えており、エンタープライズ展開における通信のセキュリティ確保とポリシーベースのプライバシーガードレールの適用を担う。
OpenShellは自律エージェントを独立したサンドボックス環境内で実行するランタイムで、データプライバシーとセキュリティを強化する目的で設計されている。
NemoClawにはこのほか、NVIDIAのエコシステム内にある各種オープンソースリソース——cuDF、Nemotron Dynamo、cuOPTといったライブラリ・フレームワーク——へのアクセスが含まれており、エージェントの能力を大幅に拡張する。
ローカルモデルとクラウドモデルを組み合わせて使う「プライバシールーター」機能も搭載されており、クラウド上のフロンティアモデルに接続する際には個人識別情報(PII)をフィルタリングした上で送信する仕組みになっている。
ユーザーはこのプライバシールーターを通じて、ローカルで動作するNemotronモデルと、クラウド上の各種フロンティアモデルを定義されたプライバシー・セキュリティガードレールの範囲内で柔軟に使い分けることができる。
Nemotron 3モデルラインアップ
NemoClaw向けに最適化されたモデルとして、NVIDIAは「Nemotron 3 Super」と「Nemotron 3 Nano」の2モデルを同時に発表した。
Nemotron 3 Superは1,200億パラメーターを持つオープンモデルで、エージェント向けの長コンテキストワークロードに特化して設計されており、アクティブパラメーターは120億に抑えられている。
OpenClaw向けのベンチマーク「PinchBench」においてNemotron 3 Superは85.6%のスコアを記録し、同クラスのオープンモデル中で最高性能とされている。
Nemotron 3 SuperはDGX SparkおよびRTX PROワークステーション上での動作に最適化されており、NemoClawのセキュリティ層と組み合わせることでローカル実行時のプライバシーとコスト効率を両立できるとNVIDIAは説明している。
Nemotron 3 Nano 4Bは40億パラメーターのコンパクトモデルで、GeForce RTX GPU上でエージェントやアシスタントをローカル実行したいコンシューマー向けの選択肢として位置付けられている。
ハードウェアおよびパートナーシップ
NemoClawはハードウェアに依存しない設計とされており、NVIDIAのGPU以外でも動作する。
一方でNVIDIAは、DGX Spark・DGX Station・GeForce RTX搭載PCをNemoClaw向けの「エージェントコンピューター」として推奨プラットフォームに位置付けている。
DellはGB300デスクトップにNemoClawとOpenShellをプリインストールした状態で出荷する最初のハードウェアパートナーとなる。
ローンチパートナーにはAdobe、Salesforce、SAP、CrowdStrikeなどが名を連ねており、各社のエンタープライズワークフローへのNemoClaw統合が予定されている。
MistralAI、Perplexity、Cursor、LangChainが参加する「Nemotronコアリション」が組成され、NVIDIAのDGX Cloudコンピュートリソースを活用してNemotron 4モデルファミリーの訓練を行う予定だ。
現時点でNemoClawはアーリープレビュー段階にあり、NVIDIAは「プロダクションレディなサンドボックスオーケストレーションに向けて構築中であり、まずは自分自身の環境を立ち上げることが出発点」と開発者向けに明示している。
OpenClawのセキュリティ問題の経緯
NemoClawが解決を目指すOpenClawのセキュリティ問題は、2025年11月の初版リリース(当時の名称はClawdbot)以降、急速に深刻化していた。
OpenClawはメッセージアプリ・カレンダー・ファイルシステム・ブラウザ等へのシステムレベルのアクセスを持つため、設定ミスや悪意ある「スキル(プラグイン)」によって広範な被害を招くリスクが指摘されていた。
2026年初頭から現在にかけて、CVSSスコア7.5〜8.8の高深刻度CVEが8件以上公開されており、リモートコード実行・コマンドインジェクション・SSRF・認証バイパス・パストラバーサルなど多様な攻撃ベクターが確認されている。
SecurityScorecard、Bitsightらの調査によれば、インターネットに公開されたOpenClawインスタンスは最大4万2,900件以上にのぼり、うち1万5,200件がリモートコード実行に脆弱な状態であることが確認されている。
スキルマーケットプレイスのClawHubでも、調査機関による分析で多数の悪意あるスキルが確認されており、マルウェアやリバースシェルバックドアを仕込んだものが流通していた。
※ 画像は記事の内容をもとにしたイメージで、必ずしも現実を反映しているわけではありませんので注意してください。
ジェンスン・ファンは基調講演でOpenClawをLinuxやKubernetesに並ぶ歴史的な転換点として位置付け、次のように語っている。
「MacとWindowsがパーソナルコンピューターのOSであるように、OpenClawはパーソナルAIのOSだ。Linuxが業界に必要なものを正確なタイミングで与えたように、OpenClawも同じことをした」
OpenClaw開発者のピーター・シュタインバーガー氏も「OpenClawは人々をAIに近づけ、誰もが自分のエージェントを持てる世界を作る。NVIDIAと共に、強力で安全なAIアシスタントを誰でも作れる『爪と手すり』を構築している」と述べている。
解説
正直、今回のNemoClawは「技術的に面白い発表」というより「NVIDIAのビジネス戦略として非常に巧い一手」という印象の方が強いです。
OpenClawの問題を「NVIDIAが解決してあげる」という構図
OpenClawはピーター・シュタインバーガー氏が個人プロジェクトとして作ったものが急速にバイラルになり、気づいたら企業環境でも大量展開されていたという経緯があります。
もともとホビープロジェクトだったため、セキュリティへの投資も脆弱性管理の専任リソースもゼロでした。
認証がデフォルトで無効、APIキーが平文保存、ClawHubには悪意あるスキルが大量流通——ここまで問題が噴出しているのは、ある意味で必然的な帰結です。
そこにNVIDIAが「世界最高のセキュリティ研究者を集めてOpenClawを安全にした」と颯爽と登場するわけです。
ジェンスンのプレゼンの上手さはここで、「OpenClawが問題だ」とは一切言わず、「これがパーソナルAIのOSだ、我々はそれをエンタープライズレベルに引き上げた」という勝利宣言の文脈に変換している。
批判ではなく賛美として枠組みを作り直した上で、自社のソリューションを乗せる——NVIDIAらしい鮮やかな手法です。
「ハード非依存」と言いながら、なぜかDGXを推す
NemoClawは「ハードウェアに依存しない」とNVIDIAは言っています。
それが事実であれば、M4 Mac上でも、Radeon搭載PCでも動くはずです。
ただし「エージェントコンピューター」として推奨されているのはDGX Spark、DGX Station、GeForce RTX搭載PCであり、Dellとの提携ではGB300デスクトップにプリインストールという形になっています。
Nemotron 3 SuperはDGX SparkとRTX PROに最適化、Nano 4BはGeForce RTX向け——とモデルまでNVIDIAハード別に使い分けを提示している。
つまり「理論的にはどこでも動く」が「実用的にはNVIDIA環境が最適」という状況を巧みに作り出している。
これはCUDAのプレイブックと同じ手法で、オープン性を標榜しながらエコシステムを実質的に囲い込んでいくという戦略に見えます。
本当にセキュリティ問題は解決されるのか
OpenClawの根本的な問題のひとつは「プロンプトインジェクション」で、これはアーキテクチャレベルの課題です。
エージェントがメールを読み、カレンダーを管理し、ファイルを操作する以上、悪意ある外部コンテンツが「コマンドとして解釈される」リスクはサンドボックスを加えても完全には消せない。
複数のセキュリティ企業が指摘する「lethal trifecta(致命的な三重苦)」——「プライベートデータへのアクセス」「外部への通信能力」「信頼できないコンテンツの処理」が同一エージェントに同居している問題——は構造的なものであり、NemoClawのOpenShellがコード実行のリスクを緩和しても、プロンプトレベルの操作を防ぐことは別問題です。
現時点でNemoClawはアーリープレビューであり、NVIDIAも「荒削りな部分を覚悟して欲しい」と自ら認めています。
企業のセキュリティ担当者は、ジェンスンの煽り文句よりも、このアーリープレビューという事実の意味するところを重く受け止める必要があるでしょう。
この点でGoogleのアプローチと比較すると、NemoClawの限界がより鮮明になります。
GoogleはGoogle Cloud上でModel Armorを提供しており、ユーザーのプロンプトとモデルの応答を両方向でリアルタイムにスキャンする専用のAPIファイアウォールとして機能します。
プロンプトインジェクション・ジェイルブレーク検出、PII(個人識別情報)の検出と匿名化、悪意あるURLの検出、PDFなどドキュメント内のテキストスキャンまで、「何が危険なコンテンツか」を機械学習ベースで判定する専用レイヤーが独立して存在しています。
さらにModel ArmorはLLMに依存せず、Gemini・OpenAI・Anthropic・Llamaなど任意のモデルにREST APIで適用できるため、エージェントフレームワークを問わず同一のセキュリティポリシーを一元管理できます。
NemoClawのOpenShellが「エージェントが動くサンドボックスを分離する」という実行環境の保護を主眼としているのに対し、Model Armorは「プロンプトそのものを入出力の両端でフィルタリングする」という根本的に異なるレイヤーで防御しています。
プロンプトインジェクション対策という観点では、Model Armorのように入力段階で悪意あるコンテンツを検知・遮断するアプローチの方が、実行環境の分離よりも直接的に有効であることは否定しにくい。
もちろんGoogleも「Model Armorで完全にプロンプトインジェクションを防げる」とは言っておらず、開発者向けの説明でも信頼度閾値の継続的なチューニングを推奨しています——つまり銀の弾丸は存在しないというのが業界全体の正直な現状認識です。
ただ、エージェントAIのセキュリティにおいて「どのレイヤーで何を防げるか・防げないか」をモデルケースとして業界に提示した点では、Model Armorは先行事例として明確な価値がある。
NVIDIAがNemoClawでエンタープライズのセキュリティ問題を「解決した」と語る際には、Googleがすでにより専門的なアプローチで同じ問題に取り組んでいる事実をセットで理解しておく必要があります。
AI推論需要を「エージェントコンピューター」需要に転換する
もうひとつ重要な視点は、NVIDIAがNemoClawを通じてGPU販売の新たな口実を作っているということです。
エージェントAIが「常時稼働」するためには、スリープしたPCでは困る——だから「専用のエージェントコンピューターが必要だ」という論理です。
これはDGX Spark(デスクトップAIスーパーコンピューター)やDGX Stationの販売と直結しており、業界アナリストのFuturum Groupは「NVIDIAはチップサプライヤーから自律エージェントのインフラプロバイダーへ自己再定義しようとしている」と評価しています。
エージェントAIの「スキル(クロー)」が新たなアプリケーション層となり、それが「桁違いのコンピュート需要を生み出している」とNVIDIA自身も述べており、AI推論の商機をエージェントコンピューティングという形で次の段階に引き上げる戦略が明確です。
OpenClawが本当に「パーソナルAIのOS」になるかどうかに関わらず、NVIDIAはその流れに乗るポジションをすでに確保した——それが今回の発表の最大のポイントです。
まとめ:NemoClawはOpenClawのセキュリティ問題を解決すると同時に、NVIDIAがエージェントAIのインフラ層を押さえるための足場を静かに固めた布石——CUDAが計算インフラを支配したように、NemoClawはエージェントインフラを支配しようとしている。