Innlegget på Flying Penguin tar utgangspunkt i NVIDIAs nylige tutorial som setter opp OpenClaw på DGX Spark med Ollama, Telegram-bot og host-side policy-TUI. Ottenheimer, som selv bygger en konkurrerende gateway kalt Wirken, tok tutorialen som anledning til å gjennomgå åtte konkrete arkitekturvalg trinn for trinn.
Poengene hans er tekniske, ikke retoriske. NVIDIA binder Ollama til 0.0.0.0 for at den sandkassede agenten skal nå inferens over sitt eget nettverksnamespace. Wirken lar Ollama ligge på 127.0.0.1 fordi agenten er en host-prosess. NVIDIA parer Telegram-botten via en kode i chatten. Wirken bruker en fersk Ed25519-nøkkel per kanal og lagrer bot-tokener i en kryptert vault. NVIDIA håndhever policy ved netns-grensen. Wirken gjør det på tool-dispatch-laget, med 16 høyrisiko-prefikser som alltid ber om bekreftelse.
«Én prosess, ett token, med LLM som holder linjen. Det er slik agent-gatewayene ser ut i dag.» — Davi Ottenheimer, Flying Penguin
Han henter paralleller til MS-DOS: ett program, ingen isolasjon, alle kredentialer delt. Moderne operativsystemer løste dette med prosess-separasjon, ACL og separate adresserom. Agent-verdenen, mener han, gjentar feilen ved å pakke hele kjøretiden inn i én container med én kredentialstore og én LLM som dommer. En vellykket prompt-injeksjon i én kanal eksponerer da hver eneste tilkoblet tjeneste.
Kritikken overlapper med det Brex dokumenterte da de åpnet kildekoden til CrabTrap forrige uke. Men Ottenheimer går lenger: han tviler på at selv et ekstra LLM-dommerlag gir reell sikkerhet hvis tillitsgrensen rundt agenten fortsatt er hele agenten. Wirken forsøker å krympe grensen til tool-kallet og gi hver kanal sin egen prosess og identitet. Det er en alternativ arkitektur, ikke en validert løsning. Wirken er i versjon 0.7.5 og har ikke produksjonsbruk utenfor forfatterens egen testing.
For norske utviklere som tester OpenClaw eller bygger egne agent-oppsett: den praktiske lesningen er at «agent-sandbox» betyr svært forskjellige ting avhengig av hvor tillitsgrensen ligger. En container rundt hele agenten beskytter verten, men ikke agentens credentials mot agenten selv.
Hva bør du gjøre?
- Kartlegg tillitsgrensene i din egen agent-stack. Hvor mange tjenester kan nås med samme token, og hvor i kallkjeden sitter policy-sjekken.
- Før du lener deg på en LLM-dommer for sikkerhet, still spørsmålet Ottenheimer reiser: hva er angrepsflaten hvis dommeren selv kan manipuleres.
- Test shell-exec-verktøyet ditt med en bevisst ødeleggende prompt i dev-miljø. Hvis agenten kan skrive utenfor workspace-mappen eller åpne nettverk uten godkjenning, er sandboxen symbolsk.
Bakgrunn
OpenClaw er et åpent kjøremiljø for Claude Code-stil agenter. NVIDIAs tutorial posisjonerer det som en selvhostet KI-assistent på DGX Spark. Flying Penguin-blogginnlegget er skrevet av utvikleren bak en konkurrerende løsning, og skal leses som en kritisk sammenligning, ikke en installasjonsguide.