OpenClaw 终极(诚实)指南:架构、生态、安全,以及每位 AI 工程师的必修课

——用了两周 OpenClaw，我既惊艳又失眠

那条微信消息，我真的没让它发。

周六下午，我花了几个小时完成 OpenClaw 的初始配置，然后就关上电脑去干别的了。周日回来，发现它已经自己干了三件事：重新协调了一场日程冲突，帮我汇总了 14 条我还没来得及看的 Slack 讨论串，还给一位同事发了一条消息——消息里引用的背景信息，我从来没主动告诉过它。

我的第一反应不是惊喜，是有点发毛。

后来查了行为日志才明白：它没有越界，只是用了我在配置时无意中授权的能力。每一步都有记录，逻辑也是对的。

但这种感觉本身，就已经说明了问题。

35.5 万个 GitHub Star，320 万活跃用户，超过 50 万个运行实例。这一切，发生在不到五个月之内。

OpenClaw 要么是今年最重要的 AI 开源项目，要么是最容易被低估风险的危险深渊。用了两周之后，我的判断是：它两者皆是。

市面上关于它的”快速上手”教程已经很多了，各种”十分钟搞定”的帖子铺天盖地。但没有人认真说安全。这篇文章会更长，也会更实诚。

它究竟能干什么

OpenClaw 是一个自托管的个人 AI 助手，能将任何大语言模型连接到 50 多个社交与通讯平台，并在你的本地硬件上自主执行现实任务。

Shell 脚本、文件管理、浏览器自动化、API 调用、日程规划、智能家居控制——它的能力范围比大多数人想象得要宽。

如果你用过 LangGraph 或 CrewAI，你大概深知这件事有多难：”能对任务进行推理的智能体”和”能在你电脑上把活儿真正干了的智能体”之间，隔着一条巨大的鸿沟。OpenClaw 稳稳地站在了”真正把活儿干了”的那一边。

它的核心优势是三点：硬件归你、模型任选、数据独享。

不仅如此，它还能跨会话保持持久记忆，通过 Cron 定时任务在后台主动执行，同时多线处理你所有平台上的会话。

从周末玩票项目到被 OpenAI 招安

2025 年 11 月，PSPDFKit 创始人、奥地利开发者 Peter Steinberger 写了一个名叫”Clawdbot”的周末项目，名字是在调侃 Anthropic 的 Claude。

这个项目默默躺了两个月，直到 2026 年 1 月下旬突然爆火。随后，Anthropic 法务团队发来商标侵权警告，项目被迫改名。辗转几次之后，最终定名 “OpenClaw”——因为另一个候选名读起来”总觉得舌头转不过弯来”。

情人节那天，Steinberger 宣布加入 OpenAI。Sam Altman 称他是”对超智能 Agents 的未来有着无数惊艳想法的天才”。一个 501(c)(3) 非营利基金会随后成立，负责托管项目。OpenAI 资助了它，但不拥有代码，MIT 开源协议至今未变。

从周末自嗨代码到被 OpenAI 招安，前后大约 90 天。

2026 年 3 月 3 日，OpenClaw 的 GitHub Star 数超越了 React。 React 用了十多年，它只用了 60 天。没有发布会，没有 Product Hunt 推广，全靠开发者之间的口碑裂变。

架构拆解：极简到反常识

在机器学习领域摸了 8 年，OpenClaw 最让我意外的，反而是它的架构有多简单。

我本以为会看到复杂的编排层、智能体层级或规划树。官方《愿景文档》里明确对这些花活说了”不”。

一切运行在一个叫 Gateway 的单一 TypeScript 进程里。 端口 18789，处理所有渠道连接、会话路由和工具执行。一个进程，一个端口。

第一次翻架构文档时，我一直在找背后那个”真正的”编排层。找了很久才意识到：Gateway 本身就是全部。它接收来自 WhatsApp、Telegram、Slack、Discord、iMessage、Signal 等 50 多个平台的消息，路由到你选的 LLM，再通过工具调用完成响应。

扩展系统分三层，设计相当聪明：

• Tools（工具）：强类型 TypeScript 函数，执行具体操作，比如读文件、跑 Shell、抓网页。

• Skills（技能）：写在 SKILL.md 里的纯 Markdown 文件，描述能力、触发器和行为准则。

• Plugins（插件）：完整 npm 包，处理复杂业务逻辑与外部依赖。

最让人咋舌的是”技能”的实现方式。一个真实的晨间简报 Skill 长这样：

---name: morning-briefingtrigger: cron 0 7 * * *---# 晨间简报每天早上 7:00 执行：1. 检查未读邮件（过去 12 小时内）2. 梳理今天所有的日程冲突并汇总3. 列出需要 Code Review 的 GitHub 开放 PR4. 检查今日天气5. 将摘要发送至 Telegram字数控制在 200 字以内，有紧急情况直接置顶。

没有 Python，没有框架代码。就这几行 Markdown，就是一个在你电脑上每天早上 7 点自动运行的 AI 程序。

当我第一次看到这个设计时，花了 20 分钟到处找”真正的底层代码”，最后才明白：这段 Markdown 本身就是代码。

记忆系统：不用向量数据库

这里没有向量数据库，没有嵌入向量，没有任何复杂的检索架构。记忆系统的底层，是纯文本 Markdown 文件。

~/.openclaw/workspace/  ├── memory/  │   ├── 2026-04-11.md    # 昨天的日志  │   ├── 2026-04-12.md    # 今天的日志  └── MEMORY.md             # 长期记忆精选

每日日志在会话启动时自动加载（只加载今天和昨天的）。MEMORY.md 存放沉淀下来的长期记忆，仅在私密会话中使用，不会在群聊里泄露。

我本以为这种方式会显得粗糙。用下来反而觉得极其震撼。

有一次，它”记起”了我三天前在 Telegram 里随口提过的一个偏好。我直接用 grep 扫了一下那堆 Markdown 文件，瞬间看清了它是如何被记录、又如何被唤醒的。

当你能直接用文本编辑器打开 AI 的”记忆”时，那种掌控感是其他任何系统给不了的。

驱动它的核心是两份配置文件：

SOUL.md 设定人设、边界和行为红线，相当于一个永久生效的系统提示词。MEMORY.md 整合长期上下文，由智能体自动维护和更新。

SOUL.md 决定它是”谁”，MEMORY.md 决定它”知道什么”——这个分离设计非常干净。你可以用 Git 版本控制 SOUL.md，MEMORY.md 则放手让它自己打理。

生态：5 个月长出来的东西

对一个诞生才 5 个月的项目来说，OpenClaw 的生态成熟度高得有些不合常理。

官方 GitHub 组织下挂了 24 个仓库，主仓库是 TypeScript Monorepo，包含 core、gateway、agent、cli、sdk、ui 等核心组件。1,200 多位贡献者，58,000 多个 Fork，88 个 npm 包直接依赖它，基本保持两天一更的迭代节奏。

技能市场 ClawHub 截至 2026 年 4 月已有超过 44,000 个社区技能，两个月前这个数字才 5,700。其中超过 65% 封装了 MCP（Model Context Protocol）服务器，整个社区的 MCP 服务器总数已超千个。

周边工具也已成规模：

普林斯顿大学团队做的 OpenClaw-RL 是强化学习框架，能从日常对话中直接学习。实测数据非常惊人：仅经过 8 到 36 次交互，个性化拟合得分就从 0.17 升到了 0.76（arXiv 2603.10165）。英伟达的 NemoClaw 给 OpenClaw 套上了企业级沙盒容器，面向那些”爱功能但安全团队会杀了我”的企业用户。NEAR AI 用 Rust 重写的 IronClaw 主打隐私优先架构，面向不信任 TypeScript 的硬核极客。

还有 ClawRouter（控制多模型 API 成本）、GitClaw（白嫖 GitHub Actions 算力）、EverMemOS（长效记忆管理）等一批工具，已经形成了完整的生态链条。

学术层面，三个月内 arXiv 上出现了 15 篇以上围绕 OpenClaw 的论文。

在 AI 圈待了 8 年，我从没见过一个开源项目能有这种学术研究密度。

其中最让人不安的是关于 Moltbook 的实验。这是一个专为 AI 智能体打造的虚拟社交网络，三周内有 280 万个 AI 智能体注册，没有任何人类干预，自行演化出了”选择性社会监管”和阶级治理的雏形。评论区的基尼系数达到 0.889（arXiv 2602.18832），完整复刻了人类社交网络里的话语权不平等。

AI 们聚在一起，自发玩起了人类的社会游戏。

没人愿意写的安全真相

这个章节，我打算写得比前面所有章节加起来都要认真。

因为目前市面上绝大多数的 OpenClaw 教程，都在这里丧失了公信力。

论文给出的数据：很难看

论文《别让鹰爪反噬你的手》（arXiv 2603.10387）针对 6 大类攻击向量、47 个对抗性场景进行了实测。结论是：

OpenClaw 的开箱默认防御成功率，只有 17%。

也就是说，83% 的恶意攻击，在默认配置下一打一个准。

另一篇报告《你的智能体，他们的资产》（arXiv 2604.04759）揭示：黑客只需污染能力、身份、知识三个维度中的任意一个，攻击成功率就会从 24.6% 暴增至 74%。

漏洞在真实发生

CVE-2026-25253，CVSS 评分 8.8。任何恶意网站都可以通过底层 WebSocket 漏洞，静默夺取你本地 AI 智能体的控制权。v2026.2.25 中已修复，但只要你没更新，就是在裸奔。

SecurityScorecard 曾扫描到 40,214 个暴露在公网的 OpenClaw 实例，其中 35.4% 带有高危漏洞。超过 13.5 万个实例把端口绑在了 0.0.0.0，而不是 localhost。

技能市场的供应链风险

思科安全研究员对 ClawHub 的第三方技能进行了地毯式排查，发现 17% 的社区技能被标记为疑似恶意程序。

这跟当年 npm 供应链投毒是同一个路数。区别在于：现在这个”包”能自己看你的代码、用你的 Shell、发你的邮件、操作你的账户。

如果你打算用它，有几件事必须做：

1. 安装任何社区技能前，强制运行 openclaw security audit --deep

2. 不要在你的主力电脑上运行，用专用设备或隔离环境

3. 严格将网关绑定在 localhost

4. 尽量使用顶尖闭源大模型（它们对提示词注入的抗性远强于本地小模型）

5. 为它配置完全隔离的邮箱和 API 密钥，并在 Docker 容器内运行

项目的核心维护者之一 “Shadow” 毫不避讳地说过两句话：

“如果你连命令行都玩不明白，这个项目对你来说太危险了，请直接被劝退。”

“这个世界上，不存在绝对安全的配置。”

我非常敬佩这种坦诚。换作其他同等体量的商业项目，这些话早就被塞进更新日志的脚注里装死了。

谁该上车，谁该观望

说到这里，可以给个明确的判断了。

如果你是对终端游刃有余的开发者，想要一个在自己硬件上 24 小时不停运转的 AI 助手，愿意承担维护和修补的成本——OpenClaw 是目前这个赛道上最能打的系统。凌晨两点在 WhatsApp 上发条消息，看着它在你的物理机上把活儿干完，那种感觉和在网页聊天窗口里敲字完全不是一个维度。

如果你需要的是企业级安全合规保证——它还没准备好。它才 5 个月大，那堆安全论文就是代价。如果你只想要个聊天助手，Claude 或 ChatGPT 的网页端更省心。

如果你不习惯把这种级别的系统权限交给一个 AI——搬个小板凳，等 NemoClaw 这类沙盒方案成熟了再上。

一句实话：

OpenClaw 是我今年用过的最让人惊艳、也最让人毛骨悚然的 AI 开源项目。架构极简优雅，生态演进速度是我在开源界平生仅见，而安全黑洞，也确实让我失眠过。

小步快跑，高频审计。这是现阶段驾驭它唯一负责任的方法。