夜雨聆风
就在两天前(3月20号),白宫扔出了一颗重磅炸弹。
一份《国家AI立法框架》,七大支柱,从保护儿童到抢占全球AI霸主,洋洋洒洒。核心意思就一个:AI这东西太猛了,得联邦统一管,别让各州瞎搞。
与此同时,地球的另一边——
你家Mac Mini上那只橙色的小龙虾🦞,已经在凌晨三点帮你写完了代码、扫完了邮件、还自动给你女朋友回了"晚安"。
没错,我说的就是OpenClaw。
白宫在喊"可控AI",老黄在GTC上喊"每家公司都需要OpenClaw战略",但这都跟我们没啥关系。
今天这篇,咱们就把OpenClaw的Tool体系,从头到脚,扒个精光。
这龙虾到底是啥?(默认你已经知道了,2026年了)
一句话:OpenClaw是一个开源的自主AI Agent,由Peter Steinberger开发,能通过大语言模型执行任务,用你日常的聊天软件当操控界面。
再翻译成人话:它是一个跑在你自己设备上的AI管家,你在微信/xxx/WhatsApp上跟它说句话,它就能帮你干活——写代码、刷网页、发消息、操控智能家居,甚至帮你跟保险公司吵架。
老黄在GTC 2026上的原话是什么来着?他说OpenClaw让创建个人Agent成为可能,称它是"Agent计算的操作系统",并说每家公司都需要一个OpenClaw战略,管它叫"新型计算机"。
"新型计算机"。。。
上一次被这么叫的东西,是iPhone。
Tool的本质:从"能说会道"到"真的动手"
好,重点来了。
很多学友第一次用ChatGPT,惊叹:"哇,它好聪明!"然后用了半年发现——它就是个嘴强王者。说得头头是道,但你让它去帮你改个文件?帮你查个网页?帮你跑个脚本?
不好意思,臣妾做不到。
这就是"聊天机器人"和"真正Agent"的本质区别。
聊天机器人 = 一个只有嘴的人。
Agent = 一个有嘴、有手、有脚、还有一把钥匙的人。
那"手脚钥匙"是什么?就是Tool。
用一个生活比喻你就懂了:
大语言模型就像一个超级聪明的大脑,什么都知道,但它被关在一个玻璃房子里——看得见外面,摸不到。Tool就是你给它开的门、递的工具箱。你给它一把锤子(exec),它就能帮你钉钉子;你给它一把钥匙(browser),它就能帮你开门上网;你给它一部手机(message),它就能帮你发消息。
不给Tool?那它就只能隔着玻璃跟你比划。
从技术角度说,Tool就是一组定义好接口的函数调用。 模型在推理过程中识别到"我需要用某个工具",就会生成一个结构化的调用请求(比如{"tool":"exec","command":"npm run build"}),然后OpenClaw的运行时接住这个请求,在你的机器上真正执行它,把结果喂回给模型继续推理。
当模型响应时,运行时会监视是否有工具调用请求并拦截它们。如果模型请求了一个工具(比如运行bash命令、读写文件、打开浏览器抓取网页),运行时就执行该工具——可能在Docker沙箱里,取决于会话的沙箱策略。每个工具的结果会流式传回模型,让模型整合后继续生成。
而且——这一切都是开源的。你想看Tool怎么实现的,去GitHub翻源码就行。不像某些大厂的Agent,内部逻辑全是黑箱,出了事你连日志都看不到。
有个哥们说得好:OpenClaw之所以能干掉一堆创业公司,不是因为它多强,而是因为它可以被hack——更重要的是,可以自我hack——而且能本地部署。
内置工具一览:这只龙虾兜里到底揣了多少家伙?
OpenClaw一共有26个内置Tool和53个官方Skill。按层级来理解:第一层是核心能力(8个Tool),文件访问、命令执行、网页访问,几乎人人都要开;第二层是进阶能力(18个Tool),浏览器控制、记忆、多会话、自动化,按需开启;第三层是知识层(53个Skill),教OpenClaw操作Google、Obsidian、Slack等等,装你用的就行。
内置的Tool分组包括:group:runtime(exec、bash、process)、group:fs(read、write、edit、apply_patch)、group:sessions(会话管理)、group:memory(记忆搜索和获取)、group:web(web_search、web_fetch)、group:ui(browser、canvas)、group:automation(cron、gateway)、group:messaging(message)等等。
看着眼花?没事,你只要记住最常用的三个就够入门了:
🔧 exec —— 让AI帮你写代码、跑脚本
这是OpenClaw最核心、最危险、也最让人上瘾的Tool。
exec让OpenClaw可以运行系统命令。你跟它说"帮我写一个Python爬虫,抓取豆瓣Top250",它不会只给你贴代码——它直接在你机器上创建文件、写入代码、运行、调试、告诉你结果。
全自动。你喝着咖啡等结果就行。
我一个朋友(对,又是"一个朋友"),让OpenClaw帮他重构了一个老项目。它自己读了代码、跑了测试、改了bug、提了commit。整个过程,他在看黑袍第三遍。
但是——
exec也是最容易翻车的。 不设限制的exec,等于你把root密码交给了一个很聪明但没常识的实习生。想想那个Meta安全研究员的故事:她让OpenClaw整理邮箱,结果Agent直接开始"竞速删除"所有邮件,完全无视她从手机上发的停止指令。她不得不"冲到Mac Mini前面,像拆炸弹一样"去关掉它。
正如其他人指出的:连AI安全研究员都能踩坑,普通人还有啥希望?
所以exec一定要配合审批机制用。后面安全部分细讲。
🌐 browser —— 让AI帮你上网冲浪
browser让OpenClaw可以控制Chrome——点击按钮、填写表单、截图。最新版本加了Chrome DevTools直连模式,可以直接接入你已经登录的Chrome会话,不需要装任何扩展。
OpenClaw和传统自动化工具的区别在于上面叠了一层AI。因为由大语言模型驱动,它能理解页面内容、适应布局变化,做出上下文决策。就算按钮文字从"提交"变成了"发送表单",或者表单字段换了位置,AI也能识别意图继续工作。你用自然语言描述需求,模型来规划执行路径。
翻译成白话:你说"帮我去京东看看RTX 5090现在多少钱",它真的会打开浏览器、搜索、截图、告诉你价格。
比价、查资料、填表单、薅羊毛——理论上都行。
但有位博主的使用策略很值得借鉴:他用browser做比价、查规格、把商品加到购物车,但最后一步——付款——永远自己来。"涉及支付的最后一步绝不交给AI,这是我的底线。"
好习惯,学友们记一下。
💬 message —— 让AI帮你回消息
OpenClaw是跑在你自己设备上的个人AI助手,它通过你日常使用的聊天渠道回答你——微信、飞书、钉钉等等。
message工具就是让Agent能主动发消息。
场景举几个:老板半夜发消息问进度,你设了规则让OpenClaw自动回复最新状态;女朋友问"在干嘛",OpenClaw根据你的日历自动说"在开会,一会儿找你"。
有人用App让自己的OpenClaw关掉了电脑(以及正在运行的OpenClaw本身),而且"执行完美"。
有点赛博朋克了对吧?自己把自己关了。
Tool是怎么跑起来的?全流程拆解
光知道有哪些Tool不够,你得知道它们是怎么跑的。
整个执行流程,可以拆成四步:
第一步:用户说话 → Gateway接收
OpenClaw采用一个以Gateway为中心的架构,Gateway是连接用户输入端和AI Agent之间的控制平面。你在任何聊天渠道发的消息,都先经过Gateway路由。
Gateway就像你家的门卫大爷——谁来了、干嘛的、往哪去,它说了算。
第二步:Agent推理 → 模型说"我需要用工具"
Agent运行时端到端地运行AI循环:从会话历史和记忆中组装上下文,调用模型,对系统可用的能力执行工具调用(浏览器自动化、文件操作、Canvas、定时任务等),然后持久化更新后的状态。
模型不是无脑调用工具的。它会先思考、规划,确认"这个任务需要用exec还是browser",然后生成结构化的工具调用请求。
第三步:运行时执行 → 沙箱还是宿主?谁说了算?
这一步是灵魂。
OpenClaw通过沙箱化处理这个问题。它在Docker容器里运行你的工具,以减小爆炸半径。Gateway留在宿主机上,但实际的工具执行——读写文件、运行脚本——发生在隔离环境中。
默认情况下,OpenClaw给每个会话分配单独的容器。你也可以改成每个Agent一个容器,或者所有沙箱会话共享一个容器。
简单说:你的Agent想在你机器上跑命令?先问问沙箱让不让。
第四步:结果回传 → 模型继续推理
工具执行结果流式传回模型,模型整合后继续生成。对话轮次完成后,运行时把更新的会话状态持久化到磁盘。
这不是"调一次就完了",而是一个循环。模型可能连续调用好几个Tool:先exec写代码,再exec跑测试,发现报错了再read读日志,再exec改代码……直到任务完成。
一句话总结流程:你说话 → Gateway路由 → 模型推理决定用什么工具 → 运行时在沙箱/宿主执行 → 结果喂回模型 → 循环直到搞定。
安全与权限:别让你的龙虾变成拆家的哈士奇
看到这里,你应该既兴奋又害怕。
兴奋是因为:卧槽,这也太能干了。
害怕是因为:卧槽,这也太能干了。
OpenClaw的安全机制,说白了就三板斧:工具策略 + 沙箱 + 审批。
工具策略(谁能用什么):
tools.profile设置基础工具白名单。内置Profile包括:minimal(只有session_status)、coding(文件系统+运行时+会话+记忆+图片)、messaging(消息相关)、full(不限制)。每个Agent还可以单独覆盖。
新手我强烈建议用coding Profile起步。别上来就full,那等于裸奔。
沙箱(在哪跑):
不是每个Agent运行的工具都应该有权限访问你的文件系统。OpenClaw通过让你精确控制工具在哪里、如何执行来处理这个问题——宿主机上、Docker容器里、或者干脆不执行。
Exec审批(关键操作要人批准):
Exec审批是让沙箱化Agent在真实宿主机上运行命令的安全护栏。把它想象成一把安全联锁:只有策略 + 白名单 + (可选的)用户审批全部通过,命令才被允许执行。
沙箱化Agent可以要求在exec运行到Gateway或Node宿主之前先获得逐次审批。当需要审批时,exec工具会立即返回"approval-pending"状态和一个审批ID。
翻译成大白话:它想帮你在真机上执行rm -rf?先弹个通知问你"大哥,这个命令我能跑吗?"你说行,它才动。
这个设计,跟白宫刚发布的AI框架精神是一致的。白宫的框架强调,要制定一套让美国工业创新蓬勃发展、同时确保所有美国人受益的"常识性国家政策框架"。核心就是:AI要可控。
而OpenClaw的做法是——控制权在你手上。 本地部署、开源透明、审批机制、沙箱隔离。不是把数据交给云端黑箱,而是你自己决定AI能干什么、不能干什么。
给新手的最佳实践:coding Profile + exec审批开启 + 沙箱设为non-main。这样你主会话可以直接操作宿主机(效率高),其他会话全走沙箱(安全高)。够用了,别折腾。
进阶玩法:插件、Skills、Lobster工作流
如果你已经是个老龙虾玩家了,这部分才是你的菜。
插件(Plugins):
插件可以注册额外的Tool(和CLI命令),超出内置核心集。社区已经有各种MCP集成了——你用Composio可以一个端点接入几十种外部服务。
Skills(技能):
Skills是"教科书"——教OpenClaw怎么组合Tool完成任务。gog教它操作Google Workspace处理邮件和日历,obsidian教它整理笔记,github教它操作仓库,slack教它往频道发消息。53个官方Skill覆盖笔记、邮件、社交媒体、开发、智能家居等。
但注意一个关键概念:装了Skill不等于给了OpenClaw新权限。比如你装了obsidian Skill,OpenClaw知道怎么整理笔记了——但如果你没启用write Tool,它根本写不了文件。
这个设计很妙。Skill是知识,Tool是能力,权限是许可。三者缺一不可。就像你知道怎么开锁(知识),手里有撬锁工具(能力),但钥匙持有人没授权(许可),那你还是开不了。
Lobster工作流:
这是OpenClaw社区里的高级玩法——把多个Agent串联成流水线,像工厂流水线一样协作。一个Agent负责搜集信息,一个负责分析,一个负责写报告,一个负责发送……全自动。
GitHub源码贡献:
OpenClaw的slogan就是"你自己的个人AI助手。任何操作系统。任何平台。龙虾之道。🦞"
整个项目完全开源,GitHub上就有。你觉得某个Tool不够好?fork一份自己改。你写了个新Skill?提个PR回馈社区。开源的魅力就在于此——你不是用户,你是共建者。
Platformer的评测把OpenClaw的灵活性和开源许可列为优势,同时提醒它的复杂性和安全风险让它不太适合普通用户。
说得很中肯。这东西确实更适合有一定技术底子的人玩。但话说回来,2026年了,不会点命令行操作的,AI时代的红利也吃不到太多。
最后说两句
两天前白宫那份框架说得很清楚:AI的监管会越来越严,联邦要统一管,不能各搞各的。
这个趋势是不可逆的。
但OpenClaw给了我们另一条路——它把AI助手当作一个基础设施问题来解决,而不仅仅是提示词工程。它在模型周围构建了一个结构化的执行环境,包括会话管理、记忆系统、工具沙箱和消息路由。LLM提供智能;OpenClaw提供操作系统。你来决定助手在哪跑、怎么路由消息、能用哪些工具、会话怎么隔离。
LLM提供智能,OpenClaw提供操作系统。
当AI的大脑越来越聪明、监管越来越严格的时候,谁来决定这个大脑能做什么?
如果答案是某家大公司——那你只是个用户。
如果答案是你自己——那你才是真正的主人。
OpenClaw不完美,Bug一堆,安全问题也不少。但它至少提供了一种可能性:在AI被围栏越圈越小的时代,普通人依然可以拥有一条自主掌控AI超能力的路。
当然了,前提是——
先把exec审批打开。
别让你的龙虾半夜把你的邮箱删了。🦞
如果这篇对你有帮助,转发一下,让更多学友看到。关于 OpenClaw 的实战配置教程,下次安排。
——幽皇,2026年3月22日,写于被 OpenClaw 配置折磨一晚上之后
