OpenClaw:一个让 AI 真正替你打工的 Agent 开发框架

当别人还在用 AI 写代码，你已经在用 AI 搭建完整的工作流引擎了。

先泼盆冷水：大多数人的 AI Coding 用错了

用 Claude Code 问几个问题，用 GitHub Copilot 补全几行代码——这不叫"用 AI 工作"，这叫"用 AI 打零工"。

真正有价值的用法是：让 AI 成为你的数字员工，能记忆、能操作文件、能按流程执行任务、能协同作战，还能严格管控它的操作权限。

OpenClaw，就是做这件事的框架。

OpenClaw 是什么？

一句话定义：OpenClaw 是一个开源的 AI Agent 编排与运行环境，支持多 Agent 协作、工具调用、记忆管理、技能扩展、精细权限控制和生产级安全沙箱。

它不是另一个"聊天界面"，而是一套可编程的 AI 工作流引擎——你可以定义 Agent、给它分配工具和权限、喂给它记忆、让它和别的 Agent 协作完成复杂任务，并在高风险操作上开启沙箱隔离。

核心架构一览

OpenClaw 的设计哲学是"Agent 即服务"，整套系统由以下模块组成：

┌─────────────────────────────────────────────────────┐
│                   Gateway（网关）                    │
│        统一入口，多平台消息路由（飞书/Telegram等）    │
├─────────────────────────────────────────────────────┤
│                   Agent Engine                      │
│   ┌────────┐  ┌────────┐  ┌────────┐               │
│   │ Writer │  │ Coder  │  │Reviewer│  ...          │
│   └────────┘  └────────┘  └────────┘               │
│     每个 Agent 有独立记忆、工具、权限和安全配置       │
├─────────────────────────────────────────────────────┤
│                 Security Layer                      │
│     工具权限控制 · 操作审计 · 沙箱隔离 · Token 管理  │
├─────────────────────────────────────────────────────┤
│                  Skill System                       │
│              可插拔技能，扩展 Agent 能力             │
├─────────────────────────────────────────────────────┤
│                   Tool Layer                        │
│      文件操作 / 搜索 / 浏览器 / 代码执行 / API 调用  │
└─────────────────────────────────────────────────────┘

消息是怎么流动的？

用户消息（飞书/Telegram/Discord/Signal）
    ↓
Gateway（路由层）
    ↓ 判断：哪个 Agent？哪个会话？
    ↓
Agent Engine（加载记忆、构建上下文）
    ↓
Skill System（匹配场景，执行对应 Skill 指令）
    ↓
Tool Layer（按权限执行文件/命令/API操作）
    ↓
结果回写 → 记忆更新 → 消息推送

每一步都有日志记录，随时可以回溯。

工具层：Agent 能干什么？

OpenClaw 内置了一套基础工具集，每个 Agent 可以按需开启：

高风险工具默认是关闭的，需要在配置文件里显式开启。

权限体系：怎么控制 Agent 能做什么？

这是 OpenClaw 安全性最核心的部分——每个 Agent 有独立的工具白名单和黑名单。

基础权限模型：allow / deny

agents:
writer:
model:minimax/MiniMax-M2.5
tools:
allow: [read, write, llm-task]
deny: [exec, browser, sessions_send, subagents_*]

coder:
model:anthropic/claude-sonnet-4
tools:
allow: [read, write, exec]
deny: [sessions_send]

reviewer:
model:minimax/MiniMax-M2.5
tools:
allow: [read, exec]
deny: [write, sessions_send, subagents_*]

• allow 列表：显式允许的工具，未列出的一律禁止
• deny 列表：在允许范围内进一步禁止的工具
• 两个列表可以同时用，deny 优先级更高

文件级别的权限控制

除了工具级别，还可以限制 Agent 能访问哪些文件路径：

agents:
coder:
file_access:
allowed_paths: ["/path/to/project/src", "/path/to/project/tests"]
denied_paths: ["/path/to/.env", "/path/to/.ssh", "/etc/passwd"]

即使 write 工具是开启的，Agent 也无法写入黑名单路径下的文件。

实时权限变更

权限可以在运行时动态调整，不需要重启 Agent：

openclaw agent update coder --deny exec

适合临时收缩权限、或发现异常行为时立即熔断。

沙箱模式：什么时候需要开启？

为什么需要沙箱？

即使有权限控制，Agent 在执行 exec 时仍然可能：

• 执行恶意命令（如 rm -rf /）
• 下载并运行来历不明的脚本
• 扫描内网、发起横向攻击
• 消耗过多系统资源（挖矿、暴力破解）

沙箱模式（Sandbox）通过操作系统级隔离，把 Agent 的操作约束在一个封闭环境里——无论 Agent 想干什么，影响范围都被锁死在沙箱内。

什么时候开启沙箱？

OpenClaw 的沙箱方案

OpenClaw 支持两种沙箱级别：

① 进程级沙箱（默认）

agents:
coder:
sandbox:
enabled:true
type:ptrace
max_memory_mb:512
timeout_sec:30

② 容器级沙箱（生产环境推荐）

agents:
coder:
sandbox:
enabled:true
type:container
image:openclaw/sandbox:latest
network:none
disk_quota_gb:5

容器级沙箱的核心效果：

• Agent 的所有文件写入都在容器内，不影响宿主机
• 即使执行 rm -rf / 也只能删容器内的文件
• 网络完全隔离，无法扫描内网或外传数据
• 容器销毁后一切归零，无残留

沙箱内的命令白名单

可以更精细地控制沙箱内允许执行的命令：

agents:
coder:
sandbox:
allowed_commands: [git, npm, python3, make]
denied_commands: [curl, wget, nc, bash, sh]

即使 Agent 获取了 exec 权限，也只能执行白名单内的命令。

三层记忆系统：让 Agent 真正"记得住"

大多数 AI 工具是"无状态"的——每次对话都是独立的，AI 记不住上次你们聊了什么。OpenClaw 用三层记忆解决：

记忆是怎么流转的？

日常对话
    ↓ 写入当天 Daily
    ↓
Daily 归档（14天后移入 archive/）
    ↓ 同时提炼关键结论写入 HOT
    ↓
HOT 再归档到 WARM（项目结项或14天后）
    ↓
WARM 最终沉淀到 MEMORY.md（长期规则/背景）

记忆文件的实际内容长什么样？

HOT_MEMORY.md 示例：

# HOT_MEMORY.md

## 当前任务
- 正在完成 OpenClaw 系列文章第一篇
- 用户确认方向：补充安全机制和配置示例

## 异常记录
- 上次会话因网关重启中断，已恢复
- 搜索工具曾短暂不可用，改用备用方案

MEMORY.md 示例：

# MEMORY.md

## 用户信息
- 称呼：用户
- 主要需求：内容创作 + AI Coding 工作流

## 项目背景
- 公众号运营：每日热点简报 + 系列专题文章
- AI 工具链：自研 Agent 平台建设

## 规则
- 图片生成必须等用户确认内容后再进行
- 封面图尺寸：1792×592（3:1）
- 配置示例一律通用化，不暴露真实路径

这套体系的效果：Agent 知道你是谁、你的项目是什么、你现在在做什么、哪些坑踩过，不是每次都从零开始。

Skill 系统：让 Agent 掌握专业技能

什么是 Skill？

Skill 是 OpenClaw 的能力扩展机制，本质是一份指令文件（SKILL.md），告诉 Agent 在什么场景下用什么工具、怎么组织工作流程。

~/.openclaw/skills/
├── summarize/          # 总结/提取技能
│   └── SKILL.md
├── scrapling/          # 网页抓取技能
│   └── SKILL.md
└── my-custom-skill/   # 自定义技能
    └── SKILL.md

SKILL.md 怎么写？

# SKILL.md - 内容创作技能

## 触发条件
当用户要求"写文章"、"写公众号"、"写文案"时激活

## 执行步骤
1. 读取当前项目背景（SOUL.md / MEMORY.md）
2. 分析需求：主题、风格、字数、目标读者
3. 搜索相关参考资料（browser tool）
4. 撰写初稿
5. 检查事实准确性
6. 优化标题和开头

## 工具权限
- allow: [read, write, llm-task, browser]
- deny: [exec, sessions_send]

## 注意事项
- 标题要有冲击力，不平铺直叙
- 开头100字内抓住读者注意力
- 技术文章要配案例，不只讲概念
- 结尾加 CTA

从 ClawhHub 安装 Skill

openclaw skills search "关键词"
openclaw skills install summarize

目前 ClawhHub（https://clawhub.com）已有社区贡献的^[1] Skills，涵盖搜索、内容创作、数据处理等多个场景。

多 Agent 协作：真实工作流长什么样？

场景一：内容生产流水线

Writer Agent
├── 读取选题清单和背景资料
├── 搜索相关参考资料
├── 撰写文章初稿
├── 推送审核消息
└── 根据反馈修订内容

整个流程不需要你盯着，Agent 自动推进，你只做最终审核。

场景二：代码审查工作流

收到 Pull Request 事件
    ↓
Reviewer Agent
├── 拉取代码变更
├── 运行 linter / 静态分析
├── 检查安全风险
├── 生成审查报告
└── 通知负责人

场景三：完整开发迭代流程

Architect Agent     → 需求分析、技术方案设计
    ↓
Programmer Agent   → 按方案写代码
    ↓
Tester Agent       → 跑测试、报 bug
    ↓
Reviewer Agent     → 代码审查
    ↓
通过？→ 合并上线 | 否 → 打回修改
    ↓
结果汇报给用户

每个 Agent 独立运行，通过共享的记忆文件传递上下文，不需要你全程介入。

完整配置文件示例

# config.yaml（通用示例，非真实路径）

gateway:
port:3000
channels:
-feishu
-telegram

agents:
writer:
model:minimax/MiniMax-M2.5
memory:
hot:memory/hot/HOT_MEMORY.md
warm:memory/warm/WARM_MEMORY.md
cold:MEMORY.md
tools:
allow: [read, write, exec, browser, llm-task]
deny: [sessions_send, subagents_*]
file_access:
allowed_paths: ["/workspace/content"]
denied_paths: ["/.ssh", "/.env"]
skills: [summarize, scrapling]

coder:
model:anthropic/claude-sonnet-4
tools:
allow: [read, write, exec, llm-task]
deny: [sessions_send]
sandbox:
enabled:true
type:container
network:none
allowed_commands: [git, npm, python3, make]
file_access:
allowed_paths: ["/workspace/project"]
denied_paths: ["/workspace/secrets"]

reviewer:
model:minimax/MiniMax-M2.5
tools:
allow: [read, exec, llm-task]
deny: [write, sessions_send, subagents_*]

skills:
search_path:~/.openclaw/skills
auto_load: [summarize, scrapling]

安全机制总结

局限也要说

• 学习曲线：比单纯用 Claude Code 复杂，需要理解 Agent、Skill、Memory、Security 的概念
• 中文社区还在建设中：文档和社区以英文为主
• 不是银弹：它是个框架，能不能发挥作用看你怎么用它
• 沙箱有性能损耗：容器级沙箱比原生执行慢 10-30%，适合离线任务

怎么上手？

安装（macOS/Linux）：

npm install -g openclaw
openclaw gateway start

查看帮助：

openclaw help
openclaw agent --help

查找更多 Skills：

openclaw skills search "关键词"
openclaw skills install summarize

官方文档：

• 文档地址：https://docs.openclaw.ai^[2]
• 源码：https://github.com/openclaw/openclaw^[3]
• Skill 市场：https://clawhub.com^[4]

写在最后

OpenClaw 的本质，是把 AI 从"工具"升级成"员工"——有记忆、有技能、有权限边界、有协作网络，还有沙箱护体。

它不一定适合每个人，但如果你的工作需要重复的、信息整合的、多步骤执行的任务流，尤其是需要精细管控 AI 操作权限的场景，OpenClaw 是目前性价比最高的开源方案。

不追热点，只写值得记住的内容。

本文参考了 OpenClaw 官方文档^[5]，原文链接：https://docs.openclaw.ai^[6]

引用链接