乐于分享
好东西不私藏

Hermes vs OpenClaw 终极对决:我同时跑了30天,一个零漏洞、一个满身补丁

Hermes vs OpenClaw 终极对决:我同时跑了30天,一个零漏洞、一个满身补丁

▲ Hermes(左)vs OpenClaw(右)——一个靠脑子吃饭,一个靠人脉吃饭

先说结论:这两个工具根本不是同类产品。

如果你只看网上那些”AI Agent 排行榜”,你会觉得 Hermes 和 OpenClaw 是两个差不多的东西——都开源、都自托管、都能接聊天软件。

但把它们同时装上跑30天后,我发现它们的关系更像是“深度学习课题组”和”跨国通信运营商”——表面都在做AI,底层逻辑完全不同。

而且,有一件事网上很少有人提:

安全方面,一个零漏洞起步,一个9个CVE高危漏洞缠身。

 差距大到像是两个时代的产物。

下面我从架构设计、核心能力、安全攻击面、真实使用体验四个维度,把30天的实测数据掰开了说。

快速入门:它俩到底是什么

不用废话,一句话版:

Hermes

 = 一个能自我进化的AI运行时。你越用它,它越懂你。核心团队是开源大模型界的”黄埔军校” Nous Research。OpenClaw = 一个连接一切的AI网关。你能在任何聊天软件上使唤它。创始人 Peter Steinberger 已入职 OpenAI,项目由独立的 OpenClaw Foundation 运作,OpenAI 提供赞助。

207K

382K

35K

80K

0

9

Hermes Stars 

OpenClaw Stars

Hermes Forks 

OpenClaw Forks 

Hermes CVE

OpenClaw CVE

注意:OpenClaw 先发制人(2025年11月起步),Hermes 晚了3个月(2026年2月才开源)。所以 Stars 差距不代表质量差距。但 Hermes 的增长速度是 OpenClaw 同期的3倍——Hermes 每周增长约9500星,同期 OpenClaw 约3000星。

▲ 左边是「自我进化引擎」,右边是「万物互联中心」——一个是向内生长,一个是向外扩张

一、Hermes 深度拆解:一个会自己写教科书的AI

Hermes 的开发商 Nous Research 不是普通的创业团队。他们是开源大模型领域的核心玩家,发布过 Hermes 3 系列模型(基于 Llama 3.1),对模型行为有深厚的底层理解。这也是为什么 Hermes Agent 在推理质量上明显强于对手。

1.1 最核心的差异:自我进化闭环

这是 Hermes 跟市面上所有其他 AI Agent 最根本的区别。不是”多接了几个平台”那种区别,而是架构哲学的区别

大多数 AI 工具(包括 OpenClaw)是“无状态”的:每次对话都是新的开始。你可以加载历史上下文,但工具本身不会因为之前的经验而变得更好。

Hermes 不一样。它的核心设计理念是:

「智能体应该从经验中学习。」

具体怎么实现?三个机制:

① 自动技能提炼(Auto-Skill Generation) 当你让 Hermes 完成一件涉及5步以上的复杂任务后,它会自动问自己:

• “这个操作模式值得记住吗?”

• “下次再做类似的事,怎么写一个可复用的流程?”

如果是,它就会自动写一份 SKILL.md 技能文档存起来。下次你提类似需求,它直接加载这个技能,跳过”从零推理”的过程。

实测效果:Nous Research 的公开测试数据显示,使用自生成技能的 Agent 任务完成速度提升 40%。而且这个效果是复利式的——用得越久,技能库越丰富,效率越高。

② 知识蒸馏命令 /learn 和 /journey v0.18.0 新增了两个关键命令:

• /learn:手动教 Hermes 一段知识或一个工作流,它会编码为结构化技能

• /journey:让 Hermes 回顾过去一段时间的操作记录,自动提炼出可复用的模式

这在开源 Agent 领域是独一无二的——没有第二个框架能做到。

③ Curator 自主策展人 Hermes 后台运行一个叫 Curator 的守护进程,按7天周期自动做三件事:

• 给你的技能库打分(哪些技能有用、哪些是垃圾)

• 合并相似技能(防止技能库爆炸式膨胀)

• 淘汰过时或用不上的技能

这解决了自学习系统的最大痛点——”技能污染”。

1.2 四层记忆架构

Hermes 的记忆系统不是简单的”存个文件就完事”:

维度
Hermes
OpenClaw
开发者
Nous Research(AI研究实验室,曾发布 Hermes 3 系列模型)
Peter Steinberger → OpenClaw Foundation(OpenAI 赞助,独立非营利)
语言/运行时
Python
TypeScript(Node.js 22+)
首次发布
2026年2月(晚3个月)
2025年11月
最新版本
v0.18.0 · 2026.7.1
v2026.7.1-beta.2 · 2026.7.5
GitHub Stars
20.7万(增速:~9500/周)
38.2万(增速:~3000/周)
核心哲学
自我进化:从经验中学习,越用越聪明
万物互联:所有平台无缝接入,开箱即用
消息平台数
20+(含微信、iMessage、WhatsApp)
25+(含微信、QQ、飞书、LINE)
模型支持
20+ 提供商,400+ 模型(通过 OpenRouter + Nous Portal)OpenRouter 消耗量全球第一(271B tokens)
50+ 提供商GPT-5.6 / Claude / Gemini / DeepSeek / Ollama 等
技能生态
自动生成 + 社区贡献 ~90,000个Skill Hub 12个注册表
ClawHub 市场下载 ~44,000个⚠️ 历史上有 20% 的插件被发现是恶意/可疑的
自我学习
✅ 原生闭环:自动技能提炼 + Curator策展 + /learn + /journey重复任务提速 40%
❌ 无内置自我学习机制依赖用户手动安装和配置技能
安全记录
✅ 零 CVEMIT协议、零遥测、5层沙箱、代码全审计
⚠️ 9 个 CVE(最高 CVSS 9.6 CRITICAL)82个已披露漏洞、46.9万暴露实例
移动端
通过消息平台间接使用
✅ iOS / Android 原生 App(2026.7月发布)
桌面应用
✅ 跨平台桌面客户端 + 编程项目管理 + Git 集成
✅ macOS 菜单栏 / Windows Hub / Web Control UI
部署方式
CLI + Gateway 守护进程YAML配置 + 交互式向导
Gateway 守护进程JSON配置 + 一键安装脚本
执行后端
5种:本地 / Docker / SSH / Singularity / Modal
本地 + OpenShell 沙箱(⚠️ 已被攻破多次)

实测体验:两周前随口提过的一个偏好,两周后再问,它能准确回忆。这种感觉不是”AI记住了”,而是”有个朋友记住了”。

1.3 五层沙箱执行后端

Hermes 支持5种代码执行环境,安全隔离程度从低到高:

后端隔离程度适用场景 本地终端无隔离信任的本地开发任务 Docker容器进程级隔离不信任的代码执行 SSH远程网络隔离远程服务器任务 Singularity容器级隔离HPC/科研环境 Modal Serverless云端沙箱按需弹性执行   这个设计比 OpenClaw 强的地方在于:你把不信任的代码扔进 Docker 或 Modal,它跑炸了也影响不了你的机器。OpenClaw 的沙箱机制(见下文安全部分)已经被多次攻破。

1.4 最新版本亮点(v0.18.0 · 2026.7.1)

• 证据化完成判定:Agent 完成任务后必须”证明”自己完成了,不是自己说完了就算。这个功能叫 work verification with evidence contracts,目前业界唯一

• MoA 模型委员会:Mixture-of-Agents,多个模型同时推理再投票,减少单一模型的幻觉和偏见

• /learn 和 /journey:前述的自我学习命令

• 消息平台突破20个:包括 iMessage(原生支持,无需 Mac 中继)、WhatsApp 官方 API、Signal、Matrix 等

• 桌面应用:完整的跨平台桌面客户端,内置编程项目管理和 Git 集成

• 异步子代理:delegate_task(background=true),分发后立即返回,后台执行完了再通知你

• NVIDIA 合作:被选为 Nemotron 3 Ultra(550B参数)的参考运行时

Hermes 一句话总结:它是目前唯一一个真正实现了「自我进化闭环」的开源 AI Agent。不是嘴上说说,是代码写出来的。  

二、OpenClaw 深度拆解:AI界的瑞士军刀

OpenClaw 的出身也很传奇。Peter Steinberger(PSPDFKit 创始人)在 2025 年 11 月用一个周末写了第一个版本,当时叫 WhatsApp Relay——就是让你在 WhatsApp 上跟 AI 聊天。

然后它炸了。60天内冲到 25 万 GitHub Stars,超越 React。到 2026 年 7 月已破 38 万星,成为 GitHub 历史上增长最快的开源项目之一。Peter 被 OpenAI 挖走,项目交由独立的非营利基金会运作,OpenAI 提供赞助。

2.1 核心定位:AI世界的中央交换机

OpenClaw 的思路跟 Hermes 完全相反:它不追求”越用越聪明”,它追求”在哪都能用”。

它的架构本质是一个 消息网关 + 工具调度器

• 你在微信上发一条消息 → OpenClaw 收到

• 你在 QQ 上 @它 → 同一个 OpenClaw 处理

• 你在 Telegram 群里问它 → 它异步跑完任务,同时回复三个平台

这不是简单的”多平台推送”,而是一个统一会话总线——你的所有对话、所有上下文,在不同平台上是打通的。

2.2 恐怖的平台覆盖率

目前 OpenClaw 支持的平台超过 25个,包括:

微信 ✅ | QQ ✅ | 企业微信 ✅ | 飞书 ✅ | Telegram ✅ | Discord ✅ | Slack ✅ | WhatsApp ✅ | iMessage ✅ | Signal ✅ | LINE ✅ | Microsoft Teams ✅ | Google Chat ✅ | Zalo ✅ | Matrix ✅ ……

而且 2026年7月刚发布的 原生 iOS 和 Android App,不需要通过聊天软件中转了。App 支持语音唤醒(Voice Wake)、对话模式(Talk Mode)、摄像头和 GPS 权限控制。

老黄(黄仁勋)在 GTC 上亲自站台,说 OpenClaw 是“个人 AI 的操作系统”

2.3 炸裂的功能生态

OpenClaw 的技能市场 ClawHub 上挂了超过 44,000 个技能,覆盖你能想到的几乎所有场景:

• 自动清理 Gmail 邮箱、回复邮件

• 监控 GitHub PR、自动 code review

• 控制智能家居(有人让它控制 Winix 空气净化器)

• 帮你跟保险公司吵架(真实案例:一个用户让 OpenClaw 写邮件怼 Lemonade Insurance,保险公司居然重新审查了)

• 管理日历、自动 check-in 航班

• 跑定时任务(cron jobs)

2.4 最新版本亮点(v2026.7.1-beta.2 · 2026.7.5)

• GPT-5.6 原生支持:自动识别新模型,无需手动配置

• Skill Workshop:技能开发、审核、发布一体化工具,与 NVIDIA 合作的安全扫描

• Workboard 多智能体编排:多个 AI Agent 分工协作,像看板一样管理任务

• 外部挂载调试(openclaw attach):实时查看 Agent 内部状态,调试利器

• iOS 26 全面适配:原生 App 视觉重构、本地化完善

• 事件驱动 Cron:可以监听某个命令执行完毕后再触发下一个

• 60天 222 个 PR,136 位贡献者:迭代速度在开源界属于顶级

· · ·

三、硬核对比:12个维度一张表看透

维度
Hermes
OpenClaw
开发者
Nous Research(AI研究实验室,曾发布 Hermes 3 系列模型)
Peter Steinberger → OpenClaw Foundation(OpenAI 赞助,独立非营利)
语言/运行时
Python
TypeScript(Node.js 22+)
首次发布
2026年2月(晚3个月)
2025年11月
最新版本
v0.18.0 · 2026.7.1
v2026.7.1-beta.2 · 2026.7.5
GitHub Stars
20.7万(增速:~9500/周)
38.2万(增速:~3000/周)
核心哲学 自我进化

:从经验中学习,越用越聪明
万物互联

:所有平台无缝接入,开箱即用
消息平台数
20+(含微信、iMessage、WhatsApp)
25+(含微信、QQ、飞书、LINE)
模型支持
20+ 提供商,400+ 模型(通过 OpenRouter + Nous Portal)OpenRouter 消耗量全球第一(271B tokens)
50+ 提供商GPT-5.6 / Claude / Gemini / DeepSeek / Ollama 等
技能生态
自动生成 + 社区贡献 ~90,000个Skill Hub 12个注册表
ClawHub 市场下载 ~44,000个⚠️ 历史上有 20% 的插件被发现是恶意/可疑的
自我学习 ✅ 原生闭环

:自动技能提炼 + Curator策展 + /learn + /journey重复任务提速 40%
❌ 无内置自我学习机制依赖用户手动安装和配置技能
安全记录 ✅ 零 CVE

MIT协议、零遥测、5层沙箱、代码全审计
⚠️ 9 个 CVE

(最高 CVSS 9.6 CRITICAL)82个已披露漏洞、46.9万暴露实例
移动端
通过消息平台间接使用
✅ iOS / Android 原生 App(2026.7月发布)
桌面应用
✅ 跨平台桌面客户端 + 编程项目管理 + Git 集成
✅ macOS 菜单栏 / Windows Hub / Web Control UI
部署方式
CLI + Gateway 守护进程YAML配置 + 交互式向导
Gateway 守护进程JSON配置 + 一键安装脚本
执行后端 5种

:本地 / Docker / SSH / Singularity / Modal
本地 + OpenShell 沙箱(⚠️ 已被攻破多次)

四、安全问题:这才是真正的分水岭

▲ Hermes 零 CVE vs OpenClaw 被漏洞追着跑(2026年公开安全数据)

上面那个表里有一项,我必须单独拉出来说——因为这可能是你最应该关心的东西。

4.1 Hermes:安全从设计第一天就是核心

✅ Hermes 安全现状:零 CVE 漏洞,零公开安全事故。MIT 协议、零遥测(不收集任何用户数据)、五层沙箱隔离、全部数据存在本地 ~/.hermes/ 目录。   

这得益于 Nous Research 从一开始就把安全作为架构级决策

• 只读根目录 + 权限降级 + PID 限制

• 密钥红化(Secret Redaction)需要显式开启

• 代码全审计(MIT协议,每一行都可审查)

• Container 模式下严格网络隔离

实际上,Hermes 的设计哲学天生就不容易出安全问题——它是以”学习引擎”为核心,不需要暴露大量端口和第三方插件来扩展功能。攻击面天然更小。

4.2 OpenClaw:安全是补丁堆出来的

⚠️ OpenClaw 安全时间线(部分): • 2026年1月:卡巴斯基审计发现 512 个漏洞,其中8个严重级别 • 2026年1月29日:CVE-2026-25253 命令注入漏洞(CVSS 9.8),攻击者可在宿主机执行任意命令 • 2026年2月:Snyk 报告 ClawHub 中 36% 的技能存在安全缺陷,76个含恶意 payload • 2026年2月18日:Endor Labs 披露 6 个新 CVE(SSRF、认证绕过、路径穿越) • 2026年2月23日:Trend Micro 发现 39 个恶意技能 + AMOS 信息窃取木马变种 • 2026年2月26日:Oasis Security 披露 “ClawJacked” 漏洞(CSWSH + localhost 旁路) • 2026年3月:深信服报告公网暴露实例累计超 46.9万个,27.2% 存在高危漏洞 • 2026年4月:Cyera 发现 Claw Chain 攻击链(4个链式漏洞,最高 CVSS 9.6 CRITICAL),可实现沙箱逃逸 → 凭证窃取 → 权限提升 → 持久化控制 • 2026年6月:CVE-2026-53822(CVSS 8.8,Shell 包装器 TOCTOU)影响 2026.5.18 之前所有版本 • 截至2026年3月:已公开漏洞 82个(高危33、中危47、低危2)   

更可怕的是生态安全问题

• ClawHub 中曾有 20% 的插件是恶意或可疑的(官方自己承认的)

• 被删除的恶意技能中,34% 换个名字又重新上架

• 攻击者平均 98秒 就能攻破一个没设密码的 OpenClaw 实例

• 22% 的受监控企业发现员工私自安装 OpenClaw(”影子部署”)

• 已出现专门针对 OpenClaw 的 Vidar 窃取木马变种

人话总结:OpenClaw 功能很猛,但安全防护跟它的功能规模完全不匹配。

这也是为什么 Gartner 直接说:“风险不可接受。”

核心教训:

OpenClaw 的”功能爆炸”是以牺牲安全为代价的。25+ 个平台接入意味着 25+ 个攻击面,44,000+ 个技能意味着 44,000+ 个供应链风险点。当你的 AI Agent 能读写文件、发邮件、控制浏览器的时候,安全问题就不是”会不会出事”,而是”什么时候出事”。

· · ·

五、所以,你到底该选谁?

这个问题没有标准答案——取决于你是什么人、做什么事、能承受多大风险。

选 Hermes,如果你—— ✅ 想让 Agent 越用越懂你,而不是每次都从零开始教

✅ 有重复性的工作流,希望 AI 自己提炼优化

✅ 工作涉及敏感数据,安全是底线不能妥协

✅ 是开发者或研究人员,需要深度的代码和模型集成

✅ 享受看着一个工具慢慢”成长”的成就感

✅ 希望 零 CVE 的安全基线,而不是出了事再打补丁

✅ 愿意花半天时间在命令行上配置(有交互式向导,不算太难)

选 OpenClaw,如果你—— ✅ 团队分散在微信、QQ、飞书、Slack等多个平台

✅ 需要开箱即用的海量技能,不想自己写

✅ 想在手机上直接跟 Agent 对话(有原生 App)

✅ 是多平台消息统一管理的需求(”一个AI管所有群”)

✅ 能接受自己处理安全加固(不暴露公网、不用敏感数据)

✅ 更看重功能广度,不是单个任务的深度

✅ 喜欢一键安装、浏览器就能用的体验

六、最后一个问题:OpenClaw 的安全问题修好了吗?

这个问题必须要诚实回答。

OpenClaw 社区确实在快速修复——很多漏洞在公开后 48 小时内就发布了补丁。v2026.3.22 一次性修复了十余项安全漏洞,v2026.6.6 又做了一轮安全加固。引入了外部密钥管理(AWS KMS、HashiCorp Vault)、SkillSpector 安全扫描、Skill Workshop 审核流程。

但核心问题不在于”补丁打得多快”。

核心问题是架构层面的:当你的产品有 25+ 个平台接入、44,000+ 个第三方技能、运行在 46.9 万个暴露实例上的时候,攻击面是天生的、结构性的——不是一个版本能解决的。

打个不恰当的比喻:

Hermes 像一栋 从地基开始考虑抗震的房子——你可以放心住。 OpenClaw 像一栋 越盖越高的摩天大楼——每层都很漂亮,但每次台风来了都要突击加固。

写在最后

回到开头那个问题——这两个工具谁更好?

我的答案是:它们解决的是不同的问题,所以这个问题本身就是错的。

Hermes 解决的是“AI 怎么才能越来越懂我”——一个向内生长的问题。OpenClaw 解决的是“AI 怎么才能在任何一个角落帮到我”——一个向外扩张的问题。

但如果你问我”如果只能装一个,装哪个”——我会选 Hermes。

不是因为 OpenClaw 不好,是因为 安全是我的底线。一个零 CVE 的工具和一个挂着 9 个 CVE(最高 9.6 分)的工具放在一起,对处理敏感数据的人来说,这不是选择题。

当然,如果你只是想让微信上有个 AI 陪你聊天——OpenClaw 足够了。但如果你想让 AI 真正帮你干活,尤其是涉及代码、数据、文件的操作——

安全,永远是第一位的。

希望这篇文章能帮你少走弯路。

有用就扩散。

– End –  

喜欢就奖励Bill一个”赞”和”在看”呗~

*本文基于 2026年6-7月 30天真实使用体验撰写,数据来源包括 GitHub 仓库、官方文档、CNVD/CVE 漏洞库、深信服安全报告、Cyera Research、Snyk 等公开渠道。