NVIDIAs GTC 2026 hat das Agent Toolkit vorgestellt, aber die zwei Komponenten, die für Entwickler am wichtigsten sind, gingen in den GPU-Schlagzeilen unter: NemoClaw und AgentIQ. NemoClaw nimmt OpenClaw, die Open-Source-Agent-Runtime mit 24.478 im Internet exponierten Instanzen und einer kritischen RCE-Schwachstelle, und verpackt sie in Kernel-Level-Sandboxing, Policy-Enforcement und einen Privacy-Router. AgentIQ ist ein Open-Source-Profiler und Observability-Toolkit, das jeden Tool-Aufruf, jedes Token und jeden Latenz-Spike über Multi-Agenten-Workflows hinweg verfolgt, unabhängig vom verwendeten Framework. Zusammen bilden sie eine offene Agenten-Entwicklungsplattform, die die zwei größten Hindernisse für den Enterprise-Einsatz von KI-Agenten löst: Sicherheit und Transparenz.
NemoClaw: OpenClaw mit Enterprise-Sicherheit von Grund auf
OpenClaw wurde 2025 zur Standard-Open-Source-Agent-Runtime, aber die Sicherheitslage war katastrophal. Selbstlernende Agenten mit vollem Netzwerkzugriff, ohne Dateisystem-Isolation, und API-Keys auf der Festplatte gespeichert. Die CVSS-8.8-RCE-Schwachstelle, die Anfang 2026 entdeckt wurde, überraschte niemanden, der die Situation verfolgt hatte.
NemoClaw behebt das auf Infrastruktur-Ebene, nicht auf Anwendungsebene. Diese Unterscheidung ist entscheidend. Guardrails auf Anwendungsebene lassen sich per Prompt-Injection umgehen. Infrastruktur-Level-Containment nicht, weil dem Agenten-Prozess die Systemrechte schlicht fehlen, um aus der Sandbox auszubrechen.
Drei Sicherheitsschichten, die tatsächlich funktionieren
NemoClaw kapselt jeden OpenClaw-Agenten in drei Kontrollebenen, die jeweils unterhalb der Anwendung greifen:
Kernel-Level-Sandbox (Deny-by-Default). Die OpenShell-Runtime erzeugt einen isolierten Container für jeden Agenten. Dateisystemzugriff wird bei Container-Erstellung festgelegt. Kein Agent kann das Host-Dateisystem verändern, Daten anderer Agenten lesen oder Rechte eskalieren. Das ist kein Docker-Container mit Standard-Berechtigungen, sondern eine zweckgebundene Sandbox mit Least-Privilege-Zugriffskontrolle auf Kernel-Ebene.
Out-of-Process-Policy-Engine. Sicherheitsrichtlinien werden in YAML geschrieben und von einem separaten Prozess durchgesetzt, den kompromittierte Agenten nicht überschreiben können. Ein Administrator kann einem bestimmten Agenten den Zugriff auf api.openai.com erlauben und dabei alle anderen Netzwerk-Endpunkte sperren. Policies lassen sich im laufenden Betrieb austauschen, ohne die Agenten neu zu deployen. Eine typische Policy sieht so aus:
network:
default: deny
allow:
- api.openai.com:443
- api.anthropic.com:443
filesystem:
default: deny
allow:
- /workspace/data:read
- /workspace/output:write
Privacy-Router. Das architektonisch interessanteste Element. Der Router sitzt zwischen Agent und Model-Backend und entscheidet, welche Anfragen an lokale Nemotron-Modelle auf der eigenen Hardware gehen und welche an Cloud-Frontier-Modelle (Claude, GPT-5) geroutet werden. Sensible Daten wie Kundendaten, Finanzdaten oder personenbezogene Daten bleiben auf dem lokalen Modell. Komplexe Reasoning-Aufgaben, die Frontier-Level-Fähigkeiten brauchen, werden in die Cloud geroutet, aber mit entferntem sensiblen Kontext.
Das ist nicht nur ein Sicherheits-Feature. Es ist auch eine Kostenoptimierung. NVIDIA gibt an, dass hybrides Routing zwischen lokalen Nemotron-Modellen und Cloud-Frontier-Modellen die Anfragekosten um mehr als 50% senkt. Für DACH-Unternehmen, die unter DSGVO-Anforderungen arbeiten, ist der Privacy-Router besonders relevant: Personenbezogene Daten verlassen nie die eigene Infrastruktur.
Erste Schritte mit NemoClaw
Die Installation erfolgt mit einem einzigen Befehl:
curl -fsSL https://nvidia.com/nemoclaw.sh | bash
Das Script installiert die OpenShell-Runtime und Nemotron-Modelle und führt einen Setup-Assistenten durch, der die erste Sandbox-Umgebung konfiguriert. NemoClaw befindet sich aktuell im Early-Access-Alpha-Stadium, Ecken und Kanten sind also zu erwarten. Aber die Architektur ist solide, und die Hardware-Agnostik (läuft auf NVIDIA-, AMD- und Intel-Hardware) nimmt die Vendor-Lock-in-Sorge.
AgentIQ: Profiling und Observability für Multi-Agenten-Pipelines
Sicherheit bringt Agenten ins “sicher genug für den Einsatz.” Aber Produktionssysteme brauchen auch Observability. Wenn eine Multi-Agenten-Pipeline 45 statt 5 Sekunden braucht, wo steckt der Engpass? Wenn die monatliche API-Rechnung sich verdreifacht, welcher Agent ist verantwortlich? Wenn eine Agenten-Kette ein falsches Ergebnis liefert, welcher Schritt in der Kette hat versagt?
AgentIQ (jetzt Teil des NeMo Agent Toolkit) beantwortet alle drei Fragen. Es ist eine Open-Source-Bibliothek, die Agenten, Tools und Workflows als komposierbare Funktionsaufrufe behandelt und jeden einzelnen instrumentiert.
Der End-to-End-Profiler
Der AgentIQ-Profiler erfasst Input/Output-Tokens und Ausführungszeiten an jedem Knoten der Agenten-Pipeline. Bei einer fünfstufigen Agenten-Kette, wo Agent 3 zwei Tools aufruft und Agent 5 einen Sub-Agenten startet, erfasst der Profiler Latenz, Token-Verbrauch und Kosten für jeden einzelnen Schritt, unabhängig von der Verschachtelungstiefe.
Der Profiler generiert auch Vorhersagen über künftigen Token- und Tool-Verbrauch. Damit lässt sich ein Workflow in der Vorproduktion stresstesten und man bekommt Sizing-Empfehlungen, bevor echter Traffic darauf trifft. Wenn der Profiler vorhersagt, dass das Dokument-Retrieval-Tool von Agent 3 80% des Token-Budgets verbraucht, weiß man, wo optimiert werden muss, bevor man in Produktion geht.
Genau diese Art von Werkzeug unterscheidet “funktioniert im Notebook” von “läuft in Produktion.” Die meisten Teams, die Multi-Agenten-Systeme bauen, entdecken Performance-Probleme erst nach dem Deployment. AgentIQ ermöglicht es, sie vorher zu finden.
Framework-agnostische Observability
AgentIQ ist framework-agnostisch. Es funktioniert mit LangGraph, CrewAI, OpenAI Agents SDK, eigenen Python-Agenten oder beliebigen Kombinationen. Workflows werden in YAML definiert, und jede Komponente (Agent, Tool, Sub-Workflow) bietet eine Standard-function_call-Schnittstelle, die AgentIQ instrumentieren kann.
Die Observability-Schicht nutzt eine Event-getriebene Architektur, die Telemetriedaten an die vorhandene Plattform exportiert: Phoenix, Langfuse, Weave oder jedes OpenTelemetry-kompatible Backend. Man bekommt Traces, Spans und Metriken, ohne den Agenten-Code zu ändern. Einfach die AgentIQ-Middleware einbinden, und der bestehende Observability-Stack nimmt die Agenten-Telemetrie neben den regulären Anwendungsmetriken auf.
from agentic_toolkit import AgentIQProfiler
profiler = AgentIQProfiler(
export_to="langfuse",
track_tokens=True,
track_latency=True,
track_cost=True
)
# Beliebigen Agenten-Workflow wrappen
result = profiler.run(my_agent_pipeline, input="Analysiere Q1-Umsatz")
profiler.report() # Generiert Aufschlüsselung pro Knoten
Die UI zum Debuggen von Workflows
AgentIQ liefert eine Chat-basierte UI mit, über die man mit Agenten interagieren und gleichzeitig den Execution-Trace in Echtzeit visualisieren kann. Man sieht, welche Tools aufgerufen wurden, welche Daten zwischen Agenten flossen und wo Fehler auftraten. Für Teams, die Multi-Agenten-Systeme bisher durch Lesen von Logdateien debuggt haben, ist das ein enormer Fortschritt.
Wie NemoClaw und AgentIQ zusammenspielen
Der eigentliche Wert liegt nicht in einem der beiden Tools allein. Er liegt in der Kombination.
NemoClaw betreibt Agenten in sicheren, richtliniengesteuerten Sandboxen. AgentIQ instrumentiert jede Aktion, die diese Agenten ausführen. Zusammen ergibt sich ein Entwicklungszyklus:
- Bauen: Agenten-Pipeline mit beliebigem Framework erstellen (LangGraph, CrewAI, eigene Lösung).
- Profilieren: Pipeline mit AgentIQ auf Latenz-Engpässe und Token-Verschwendung prüfen.
- Deployen: Pipeline in NemoClaw-Sandboxen mit YAML-definierten Sicherheitsrichtlinien ausrollen.
- Überwachen: Produktionsverhalten über AgentIQ-Telemetrie beobachten, exportiert in den bestehenden Observability-Stack.
- Optimieren: AgentIQ-Profiler nutzen, um Policy-Änderungen und Model-Routing-Anpassungen vor dem Deployment zu testen.
Genau dieser Workflow hat im Open-Source-Agenten-Ökosystem bisher gefehlt. Einzelne Bausteine gab es (Sandboxing via Docker, Observability via Langfuse, Profiling über eigene Skripte), aber niemand hatte sie in eine einzige offene Plattform integriert. NVIDIA hat das getan, und das Ganze hardware-agnostisch gestaltet.
Was das für Agenten-Entwickler bedeutet
Drei Punkte stechen heraus.
Das Sicherheitsmodell ist richtig. Sicherheit auf Infrastruktur-Ebene statt auf Anwendungsebene durchzusetzen, ist die richtige Architektur-Entscheidung. NemoClaws Ansatz bedeutet: Selbst wenn ein Agent per Prompt-Injection kompromittiert wird, kann er seine Sandbox nicht verlassen. Das gleiche Sicherheitsmodell nutzen Cloud-Provider für Multi-Tenant-Compute, angewendet auf KI-Agenten.
Observability ist nicht mehr optional. AgentIQs Profiler macht sichtbar, wie viel Geld in schlecht optimierten Agenten-Pipelines verschwendet wird. Wenn man sieht, dass 80% der Tokens an einen einzelnen Sub-Agenten gehen, der auf einem günstigeren lokalen Modell laufen könnte, amortisiert sich das Tooling sofort.
Hardware-Agnostik ist strategisch. NemoClaw läuft auf NVIDIA-, AMD- und Intel-Hardware. NVIDIA setzt darauf, dass der Wert in der Software-Schicht liegt, nicht im GPU-Lock-in. Für DACH-Unternehmen, die oft mehrere Hardware-Anbieter parallel nutzen und Vendor-Lock-in vermeiden wollen, ist das ein starkes Argument.
Der Alpha-Status bleibt das Hauptrisiko. NemoClaw und AgentIQ sind beide im Frühstadium, und NVIDIA warnt Entwickler vor Ecken und Kanten. Aber die Architektur ist solide, der Code ist Open Source (Apache 2.0), und Partner wie Adobe, Salesforce, SAP, CrowdStrike und Dell integrieren bereits. Wer heute Produktions-Agenten baut, sollte diese Tools jetzt evaluieren, selbst im Alpha-Stadium.
Häufig gestellte Fragen
Was ist NVIDIA NemoClaw?
NemoClaw ist NVIDIAs Open-Source-Enterprise-Sicherheitsschicht für OpenClaw, die beliebte KI-Agenten-Runtime. Es fügt Kernel-Level-Sandboxing über die OpenShell-Runtime, eine Out-of-Process-YAML-basierte Policy-Engine und einen Privacy-Router hinzu, der sensible Daten auf lokalen Nemotron-Modellen hält, während komplexes Reasoning an Cloud-Frontier-Modelle geroutet wird. Es wurde auf der GTC 2026 angekündigt und befindet sich aktuell im Early-Access-Alpha-Stadium.
Was ist NVIDIA AgentIQ und wofür wird es eingesetzt?
AgentIQ (Teil des NeMo Agent Toolkit) ist eine Open-Source-Bibliothek zum Profiling, Debugging und Beobachten von Multi-Agenten-KI-Pipelines. Es verfolgt Tokens, Latenz und Kosten an jedem Knoten eines Agenten-Workflows, funktioniert mit jedem Framework (LangGraph, CrewAI, OpenAI Agents SDK) und exportiert Telemetriedaten an Plattformen wie Langfuse, Phoenix und jedes OpenTelemetry-kompatible Backend.
Funktioniert NemoClaw nur auf NVIDIA-GPUs?
Nein. NemoClaw ist hardware-agnostisch und läuft auf NVIDIA-, AMD- und Intel-Hardware. Die lokalen Nemotron-Modelle profitieren von GPU-Beschleunigung, aber die Sicherheits-Sandbox, Policy-Engine und der Privacy-Router funktionieren auf beliebiger Hardware. NVIDIA hat die Plattform so konzipiert, dass kein Vendor-Lock-in entsteht.
Wie funktioniert NemoClaws Privacy-Router im Kontext der DSGVO?
Der Privacy-Router sitzt zwischen Agenten und Model-Backends. Er klassifiziert die Sensitivität jeder Anfrage und routet sensible Anfragen (mit personenbezogenen Daten, Finanzdaten, Kundenakten) an lokale Nemotron-Modelle auf der eigenen Hardware. Komplexe Reasoning-Aufgaben werden an Cloud-APIs geroutet, aber mit entferntem sensiblen Kontext. Für DSGVO-Compliance bedeutet das: Personenbezogene Daten verlassen nie die eigene Infrastruktur. NVIDIA gibt an, dass dieser hybride Ansatz die Anfragekosten um über 50% senkt.
Kann AgentIQ mit LangGraph und CrewAI verwendet werden?
Ja. AgentIQ ist framework-agnostisch und funktioniert mit LangGraph, CrewAI, OpenAI Agents SDK, eigenen Python-Agenten oder beliebigen Kombinationen. Es nutzt eine Standard-function_call-Schnittstelle zur Instrumentierung und exportiert Telemetriedaten über eine Event-getriebene Architektur, die mit OpenTelemetry, Langfuse, Phoenix und Weave kompatibel ist.