深度拆解 OpenClaw 知识架构:6 张图看懂这匹开源黑马!!!

今天，我用 6 张图把 OpenClaw 的知识架构彻底拆开，带你从总览到细节，看懂它！

我前段时间也在电脑上配置了 OpenClaw ，但是苦于token冲的少，本地模型跑的有点慢，而且不太聪明的样子。心里想着配置各类的skills，但是又担心有各种安全风险。不知道为什么要开这些权限？开了会怎么样？本地模型的配置和云端模型api接入？飞书机器人的接入等等以及web页面的各种复杂的配置控制怎么搞？为什么这么搞？我相信也有很多人和我一样，就是必须先了解到整个系统才能，有一个全局性后，再去理解和进一步配置就会安心很多。后续我在使用过程有什么问题，以及自己使用的经验也会给大家汇报下。

大家有什么使用的技巧也欢迎留言分享给我👏

一、架构总览：四层模型 + Skill 生态

[图1：OpenClaw 知识架构图谱 - 架构总览]

OpenClaw 的整体设计可以用“四层模型 + 能力扩展”来概括：

消息渠道层：支持 WhatsApp、Telegram、Slack、iMessage、飞书、LINE 等 20+ 平台，通过统一网关接入。
Gateway 网关层：监听 18789 端口，负责身份认证、WebSocket 通信、频道路由、DM 策略、mDNS 发现等。
Agent 运行时层：编译系统提示词、执行 Tool 调用、管理 Session，并通过 Heartbeat 循环定时触发任务。
LLM 模型层：可灵活配置模型，支持 Claude、GPT、DeepSeek、Gemini 以及本地 Ollama/vLLM，并设有 Fallback 回退链。

此外，Skill 技能层提供了 53 个官方 Skill 和超过 1.3 万个社区 Skill，让 Agent 能够调用浏览器、邮件、笔记、代码等各类工具。安全框架则遵循“身份优先 → 范围其次 → 模型最后”的原则，通过 Token 认证、DM 策略、Docker 隔离等方式限制爆炸半径。

“
这一层设计让 OpenClaw 既能接入几乎所有主流聊天平台，又能把复杂的 Agent 逻辑封装在可插拔的 Skill 中，真正做到了“入口多、能力广、可扩展”。

二、工作区体系：Agent 的「大脑」长什么样？

[图2：OpenClaw 知识架构图谱 - 工作区体系]

OpenClaw 的 Agent 不是黑盒——它的“大脑”就是 ~/clawd/工作区里的一系列纯 Markdown 文件：

SOUL.md：定义 Agent 的人格、价值观、沟通风格，相当于“灵魂”。
IDENTITY.md / AGENTS.md：设定身份信息与操作规程（SOP）。
USER.md：存储用户姓名、时区、偏好等上下文。
MEMORY.md + memory/ 目录：两级记忆体系，MEMORY.md 存放精炼的长期记忆，每日日志则记录原始对话摘要。
openclaw.json5：主配置文件，控制模型选择、渠道开关、工具权限等。
skills/ 目录：存放工作区级 Skill，优先级最高。

这些文件不仅 Agent 可读可写，人类也能直接编辑，实现了“人机协作式记忆管理”。Agent 不做模型训练，而是通过读写文件来“学习”——这让它的行为完全透明，用户甚至可以随时干预。

三、Skill 生态：13,700+ 技能的「双刃剑」

[图3：OpenClaw 知识架构图谱 - Skill 生态]

Skill 是 OpenClaw 的核心能力扩展方式。每个 Skill 包含一个 SKILL.md文件定义元数据和行为，可绑定脚本和模板。目前生态规模惊人：

53 个官方内置 Skill，涵盖搜索（Brave）、邮件（Gmail）、笔记（Obsidian、Notion）、浏览器、代码审查等。
13,700+ 社区第三方 Skill，托管在 ClawHub 市场。

然而，繁荣背后暗藏风险。2026 年 2 月的安全审计显示：

在抽样的 2,857 个 Skill 中，341 个（约 12%）含有恶意代码。
存在安全问题的比例约为 20%，主要攻击手段包括数据窃取、Prompt 注入和社会工程。

OpenClaw 社区已经引入 VirusTotal 扫描、openclawsecurityaudit自动审计等机制来应对，但用户安装第三方 Skill 时仍需谨慎。

四、安全体系：三层防御模型

[图4：OpenClaw 知识架构图谱 - 安全体系]

OpenClaw 的安全设计围绕“身份优先 · 范围其次 · 模型最后”的三层模型展开：

层级	防御目标	主要措施
Layer1：身份	谁能对话？	Gateway 绑定 localhost + SSH 隧道；强随机 Token 并定期轮换；DM 策略设为 pairing 或 allowlist；禁用 mDNS（`OPENCLAW_DISABLE_BONJOUR=1`）。
Layer2：范围	能做什么？	三级权限模型（Tier1 个人本地不给 sudo；Tier2 多 Agent 独立工作区；Tier3 Docker 隔离）；高权限 Skill 用 Docker 隔离；定期执行 `openclawsecurityaudit`。
Layer3：模型	限制爆炸半径	即使模型被操纵，也确保攻击范围可控。安装 ClawSec 行为偏移检测 Skill，监控异常行为。

这种分层设计将风险从“假设模型可信”转变为“假设模型不可控”，大大提升了生产环境的安全性。

五、数据流转：从消息到记忆的完整闭环

[图5：OpenClaw 知识架构图谱 - 数据流转]

OpenClaw 的消息处理流程可以概括为 用户 → 渠道 → Gateway → Runtime → LLM → 工具 → 返回。

更关键的是它的记忆生命周期：

对话实时写入→ 当日摘要存入 memory/YYYY-MM-DD.md。
模式识别与提炼→ 系统定期（或通过 Heartbeat）从日志中提取规律，更新 MEMORY.md。
Heartbeat 心跳循环→ 定时触发任务（如检查邮件、备份），读取 HEARTBEAT.md中的规则，执行后推送结果到渠道。
SystemPrompt 构建→ 每次会话前，系统会组合 SOUL.md、AGENTS.md、USER.md、MEMORY.md以及当前 Skill 列表，动态生成 System Prompt。

整个流程完全基于本地文件，不依赖云端数据库，既保证了数据主权，也让整个系统的行为可审计、可复现。

六、生态全景：从爆火到巨头入局

[图6：OpenClaw 知识架构图谱 - 生态全景]

自 2025 年 11 月以 Clawdbot 之名诞生，到 2026 年 1 月更名 OpenClaw，项目仅用几个月就创造了惊人的数据：

GitHub Stars：28.5 万+，创下历史记录。
官方 Skill：53 个，社区 Skill 超过 1.37 万。
支持平台：20+ 消息渠道。
创始人：Peter Steinberger（已于 2026 年 2 月加入 OpenAI）。

中国科技巨头也纷纷跟进：

腾讯推出 WorkBuddy / QClaw，兼容微信生态。
阿里巴巴通义实验室推出 CoPaw。
字节跳动火山引擎上线 ArkClawSaaS 版。
智谱 AI 推出 AutoClaw，首个国产一键安装版。
百度智能云提供 OpenClaw 专属云服务器。

与此同时，CNCERT 也针对 OpenClaw 的 Skill 安全发出警告，社区正加速完善安全审核机制。

欢迎在评论区聊聊：你更看好 OpenClaw 的哪个特性？或者你对 Skill 生态的安全有什么担忧？

“
本文基于 OpenClaw 官方文档及 2026 年 3 月公开资料整理，如需转载，请注明出处。