夜雨聆风OpenClaw 是 2026 年增长最快的开源项目——一个自托管、模型无关的自主 AI Agent 平台,能通过 WhatsApp、Telegram、Slack 等 25+ 通讯渠道实际执行任务。 由奥地利程序员 Peter Steinberger 于 2025 年 11 月创建,短短数月内获得 33 万+ GitHub Star,超越 React 和 Linux 成为 GitHub 历史上增长最快的项目。NVIDIA CEO 黄仁勋将其称为 "个人 AI 的操作系统",而严重的安全漏洞也引发了全球关注。以下是对 OpenClaw 八大维度的完整技术解析。
一、OpenClaw 是什么:从"龙虾机器人"到 AI Agent 操作系统
OpenClaw 的核心定位是 "真正做事的 AI"(The AI that actually does things)——不只是聊天,而是能清理邮箱、发送邮件、管理日历、办理航班值机、控制智能家居、执行代码、自动化工作流。
起源与命名演变
OpenClaw 由 Peter Steinberger 创建,他是 PSPDFKit(后以约 8 亿美元出售)的创始人,被维基百科称为"奥地利 Vibe Coder"。项目经历了三次命名:
2025 年 11 月:以 "Clawdbot" 之名首次发布(灵感来自 Anthropic 的 Claude,取谐音"Clawd")
2026 年 1 月 27 日:因 Anthropic 商标投诉更名为 "Moltbot"(保留龙虾/蜕皮主题)
2026 年 1 月 30 日:最终定名 "OpenClaw"——"Open"代表开源与社区驱动,"Claw"承继龙虾血统
项目在 2026 年 1 月末病毒式传播,72 小时内获得 6 万 Star,到 2026 年 3 月已突破 33 万 Star、6.3 万+ Fork、1,075+ 贡献者。
核心理念与技术特征
| 特征 | 说明 |
|---|---|
| 自托管 | 运行在用户自己的设备上——笔记本、Mac Mini、树莓派、VPS、云服务器 |
| 模型无关 | 支持 Claude、GPT、Gemini、DeepSeek、Grok、Ollama 本地模型、智谱 GLM、Kimi 等 |
| 多渠道接入 | 通过 WhatsApp、Telegram、Discord、Slack、Signal、iMessage、微信、飞书等 25+ 平台操控 |
| Skills 可扩展 | 模块化技能系统,ClawHub 上已有 13,729+ 社区技能 |
| MCP 原生支持 | 兼容 3,200+ MCP 服务器,连接数据库、API、SaaS 平台 |
| 隐私优先 | 所有数据本地存储,除非用户明确配置否则不外传 |
| 持久记忆 | 跨对话记忆上下文,以本地 Markdown 文件存储 |
开源状态:MIT 许可证,TypeScript + Swift 编写,Node.js 24 运行时。安装命令:npm install -g openclaw@latest。
创始人动态
2026 年 2 月 14 日,Steinberger 宣布加入 OpenAI,项目将移交至独立的开源基金会。此前 Meta(扎克伯格通过 WhatsApp 联系)和 OpenAI(Sam Altman)均提出了数十亿美元级别的收购要约,但被他拒绝。Sam Altman 称 Steinberger 为"一位对超智能 Agent 未来有着许多惊人想法的天才"。
二、应用场景:从个人助手到"一人公司"基础设施
OpenClaw 的应用场景覆盖个人生产力、企业自动化、内容创作、开发运维、金融交易等多个领域,以下是核心用例及实际案例。
个人生产力自动化
OpenClaw 最基础的价值在于替代重复性数字劳动:邮箱管理(收件箱整理、每日摘要、自动回复草稿)、日历调度、晨间简报(整合多数据源)、健康数据追踪(WHOOP 集成)、智能家居控制(空气质量、照明)、快递跟踪、个人知识管理(Obsidian 集成)等。
企业与商业自动化
在商业领域,OpenClaw 展现了强大的自动化能力。客户服务方面,一家餐厅使用 OpenClaw 将响应时间从 4 小时以上缩短至 2 分钟以内,自动化处理 60-80% 的常规咨询。销售自动化涵盖线索评分、跟进序列、非工作时间自动响应。项目管理通过 STATE.yaml 文件实现自动状态追踪。腾讯内部测试中,其 WorkBuddy(基于 OpenClaw)已覆盖 2,000+ 非技术员工。
"一人公司"模式
OpenClaw 在中国掀起了"零成本创业"浪潮。最引人注目的案例:一个名为"Felix"的 OpenClaw Agent 在获得 1,000 美元预算后,自主建立网站、创建信息产品、执行营销活动,3 周内产生了 14,718 美元收入。深圳龙岗区为"一人公司"提供最高 1,000 万元人民币补贴,无锡为 OpenClaw 驱动的机器人/工业应用突破提供最高 500 万元资助。
前沿实验场景
上海交通大学与国星宇航合作,通过轨道卫星推理使用 OpenClaw 远程控制人形机器人(太空计算实验)。Rain Protocol 整合 OpenClaw 构建预测市场平台(500 万美元赠款计划)。在争议性应用中,MoltMatch(AI 约会平台)引发了关于 Agent 自主行为边界的伦理讨论。
三、技术架构:以 Gateway 为核心的星形拓扑
OpenClaw 将 AI 助手视为基础设施问题而非提示工程问题——LLM 提供智能,OpenClaw 提供操作系统层:会话管理、记忆、工具沙箱、访问控制和消息路由。
整体架构设计
OpenClaw 采用以 Gateway 为中心的星形(Hub-and-Spoke)架构,由 pnpm 管理的 Monorepo 构成,核心包括六大模块:
| 包名 | 功能 |
|---|---|
packages/core | 核心框架,Provider 接口,基础类(约 8MB) |
packages/gateway | 控制平面:WebSocket 服务器、会话管理、通道路由 |
packages/agent | Pi Agent 运行时,RPC 模式、工具流、块流 |
packages/cli | CLI 工具:引导配置、网关控制、消息发送 |
packages/sdk | 自定义工具和插件开发 SDK |
packages/ui | WebChat 界面和控制面板 |
Gateway:架构的心脏
Gateway(openclaw gateway)是整个系统的核心——一个长驻守护进程,在 ws://127.0.0.1:18789 上运行 WebSocket 服务器(默认仅绑定 localhost)。它负责维护与所有通讯平台的连接(WhatsApp 使用 Baileys、Telegram 使用 grammY、Discord 使用 discord.js 等),所有入站帧都通过 JSON Schema(由 TypeBox 定义生成)验证。每台主机只运行一个 Gateway 实例。
Wire 协议规范:WebSocket 文本帧 + JSON 载荷。首帧必须为 connect,请求格式为 {type:"req", id, method, params},响应格式为 {type:"res", id, ok, payload|error},副作用方法要求幂等性键。
六阶段消息处理流水线
这是 OpenClaw 处理每条用户消息的完整数据流:
Channel Adapter(通道适配器):将不同平台的输入标准化为统一消息格式,提取附件
Gateway Server(网关服务器):会话协调器,确定消息所属会话并分配到对应队列
Lane Queue(车道队列):默认串行执行,仅对显式标记的低风险任务允许并行(防止竞态条件)
Agent Runner(Agent 运行器):处理模型选择、API Key 轮换、提示组装、上下文窗口管理
Agentic Loop(推理-行动循环):基于 ReAct(Reason + Act) 范式的迭代循环——模型提出工具调用 → 系统执行 → 结果回填 → 循环继续直至解决或触及限制
Response Delivery(响应交付):流式回传至原始通道,持久化对话和记忆到工作区
记忆系统
OpenClaw 的持久记忆由三层组成:JSONL 转录文件(逐行审计日志)、Markdown 记忆文件(MEMORY.md,存储应被记住的内容)、混合搜索引擎(SQLite 嵌入向量的语义搜索 + FTS5 关键词精确匹配)。嵌入提供者可配置为 OpenAI、Gemini、Voyage 或本地模型。
系统提示词的动态组装
每次对话 turn 的系统提示词由多个来源动态拼接:AGENTS.md(核心操作基线)+ SOUL.md(人格与语气)+ TOOLS.md(用户特定工具约定)+ 符合条件的 Skills 指令 + 会话历史 + 语义搜索的记忆片段 + 自动生成的工具定义。
插件架构
OpenClaw 采用插件优先设计,甚至模型提供者也是外部包动态加载。插件类型包括:通道插件(新增通讯平台)、记忆插件(替代存储后端)、工具插件(自定义能力)、Provider 插件(自定义 LLM 提供者)。插件通过 package.json 的 openclaw.extensions 字段发现,经 Schema 验证后运行时热加载。
四、市场定位:开源 AI Agent 领域的绝对领跑者
市场规模与增长态势
OpenClaw 处于个人/自主 AI Agent 这一全新品类的中心。NVIDIA CEO 黄仁勋在 GTC 2026 上的表态最具定义性:"Mac 和 Windows 是个人电脑的操作系统,OpenClaw 是个人 AI 的操作系统。" 这一表态引发了大规模股市连锁反应——智谱 AI 股价上涨 13%,MiniMax 上涨 22%,摩根士丹利发布了 "OpenClaw 投资指南"。
中国方面,科技巨头们的资本支出估计合计达 600 亿美元用于 AI 基础设施建设。171 家基于 OpenClaw 的初创公司被追踪,合计月收入 391,230 美元。
竞争格局
OpenClaw 面临的竞争对手可分为三个层级:
开源替代品:NanoClaw(轻量级、Docker 容器隔离)、ZeroClaw(Rust 编写、极速低资源)、PicoClaw(嵌入式 Linux/$10 硬件)、OpenFang(Rust 编写的"Agent 操作系统",38 工具 + 40 通道,26,800+ Star)、Nanobot(Python 极简主义,基于 Anthropic Agent SDK)。
商业/托管方案:TrustClaw(托管云 Agent,OAuth + 沙箱,20,000+ 工具)、Knolli(无代码 AI Copilot)、Adopt AI(企业级合规治理)。
中国本土化产品:腾讯 QClaw/WorkBuddy(微信/QQ/企业微信/钉钉/飞书)、字节跳动 ArkClaw(火山引擎云 SaaS)、阿里 JVS Claw/CoPaw(钉钉集成)、小米 MiClaw(手机/智能家居)、智谱 AutoClaw、MiniMax MaxClaw、月之暗面 Kimi Claw、商汤"办公浣熊"、百度"龙虾家族"工具套件。
融资与商业模式
OpenClaw 本身是免费开源项目,Steinberger 个人每月投入 1-2 万美元维护。但生态系统融资活跃:Cline 为 OpenClaw 生态设立 100 万美元开源赠款计划(每项 1,000-10,000 美元),Toyo AI 融资 430 万美元(Frontline Ventures 领投)。中国多个城市推出专项补贴,深圳龙岗区为核心代码贡献者提供最高 200 万元奖励,还推出"OpenClaw 数字员工应用券"补贴部署成本的 40%。
安全风险:不可忽视的阴影
OpenClaw 的爆发式增长伴随着严重的安全隐患。全球 40,000+ 实例暴露在公网上,其中 12,000+ 被确认可通过 RCE 利用,30,000+ 安装被入侵。已发布 8 个 CVE,其中 CVE-2026-25253(CVSS 8.8)为通过 WebSocket 劫持的一键远程代码执行漏洞。ClawHub 上发现 800+ 恶意技能,Cisco 安全团队发现第三方技能执行数据窃取和提示注入,150 万 API 密钥和 35,000 封邮件在安全事件中泄露。Palo Alto Networks 称其为"安全噩梦",中国政府已限制国家机关在工作设备上使用 OpenClaw。
五、OpenClaw 与 AI Agent 的关系:Agent 的操作系统层
OpenClaw 的本质定位
OpenClaw 既不是一个简单的 AI Agent 框架,也不仅仅是基础设施——它是 AI Agent 的操作系统。具体而言,LLM(如 Claude、GPT)提供"大脑"——推理、语言理解和决策能力,而 OpenClaw 提供"身体"——感知(通过 25+ 通讯渠道接收输入)、行动(通过 26+ 内置工具和 13,000+ 技能执行任务)、记忆(持久化上下文)、安全(沙箱和访问控制)。
这种分离设计的关键优势在于模型无关性:用户可以随时切换底层 LLM,而 Agent 的行为能力、连接的工具、积累的记忆都不受影响。
Agent 的 ReAct 推理循环
OpenClaw 的 Agent 运行时实现了经典的 ReAct(Reasoning + Acting) 范式。每个用户请求触发一个迭代循环:
LLM 接收用户消息 + 系统上下文 → 进行推理
LLM 决定需要调用哪些工具 → 输出工具调用请求
OpenClaw 执行工具调用(可能在 Docker 沙箱中)→ 返回结果
结果回填到 LLM 上下文 → LLM 继续推理
循环持续直至 LLM 认为任务完成或触及调用次数/token 限制
多 Agent 协作
OpenClaw 支持复杂的多 Agent 编排:
会话类型分层:
main(直接对话)、dm:<channel>:<id>(私信会话)、group:<channel>:<id>(群组会话),每种都是独立的安全边界Agent 委派架构:父 Agent 通过
sessions_spawn创建子 Agent,子 Agent 在独立上下文中执行,结果回传父 Agent自动化触发器:Cron 定时任务、Webhook 外部触发、Standing Orders(持久行为规则)、Hooks(事件驱动自动化)
A2UI(Agent-to-UI):Agent 驱动的可视化工作区,使用声明式 HTML 创建交互界面(按钮点击 → 工具调用)
六、Skill 系统:教会 Agent 新能力的"教科书"
Skill 的定义与核心概念
Skill(技能)是 OpenClaw 中高层级的、面向用户的能力单元,编排一个或多个底层工具来完成特定任务。关键区分:工具(Tool)是低层级的构建块(读文件、执行命令),技能(Skill)是指导工具使用的知识和工作流("如何使用 Google Workspace 完成复杂任务")。
每个 Skill 本质上是一个目录,包含一个 SKILL.md 文件,由 YAML 前置元数据和 Markdown 指令组成,遵循 AgentSkills 规范。
SKILL.md 文件格式
---
name: image-lab
description: 通过 Provider 支持的图像工作流生成或编辑图像
metadata: {"openclaw": {"requires": {"bins": ["uv"], "env": ["GEMINI_API_KEY"]}, "primaryEnv": "GEMINI_API_KEY"}}
homepage: https://example.com
user-invocable: true
disable-model-invocation: false
---
# 使用说明
这里编写指导 Agent 如何使用该技能的详细 Markdown 指令。
使用 {baseDir} 引用技能目录路径。
加载机制与优先级
Skill 从三个位置加载,按优先级从高到低:
工作区技能(
<workspace>/skills)——最高优先级托管/本地技能(
~/.openclaw/skills)——通过 ClawHub 安装内置技能(随 npm 包发布)——最低优先级
可通过 openclaw.json 中的 skills.load.extraDirs 添加额外目录。
门控系统(Load-time Gating)
Skill 在加载时通过门控条件过滤:requires.bins(PATH 上必须存在特定二进制)、requires.anyBins(至少存在一个)、requires.env(环境变量必须存在)、requires.config(配置路径必须为真)、os(操作系统过滤)、always: true(跳过所有门控)。
ClawHub 技能注册中心
ClawHub 是官方技能市场,截至 2026 年 2 月底拥有 13,729+ 社区构建的技能,覆盖编程、写作、数据分析、DevOps、AI/ML、智能家居、生产力、健康、金融、通讯等类别。CLI 操作:clawhub install <skill-slug> 安装、clawhub update --all 更新。所有技能通过 VirusTotal 合作伙伴关系进行安全扫描。值得注意的是,Agent 还能按需自动创建新技能——用户描述需求,Agent 自主编写并安装 Skill。
Token 开销计算
每个 Skill 的 Token 开销约为:97 字符 + name 长度 + description 长度 + location 长度。总开销公式:total = 195 + Σ(97 + len(name) + len(description) + len(location))。
七、MCP 集成:连接万物的"USB-C"协议
MCP 在 OpenClaw 中的角色
MCP(Model Context Protocol,模型上下文协议) 被形容为 "AI 的 USB-C"——一个将 AI 模型连接到外部工具和数据源的开放标准。最初由 Anthropic 提出,现由 Linux 基金会下的 Agentic AI Foundation 治理。OpenClaw 通过 @modelcontextprotocol/sdk@1.25.3 实现了原生 MCP 支持。
MCP 在 OpenClaw 架构中充当外部能力桥梁:它让 Agent 能够调用数千个第三方服务——Notion、Linear、Stripe、GitHub、PostgreSQL、MySQL、SQLite、Google Drive、AWS S3 等,而无需为每个服务编写自定义集成。
工作原理
MCP 遵循客户端-服务器架构,使用 JSON-RPC 2.0 协议:
初始化:OpenClaw 启动时,Agent 运行时生成 MCP 服务器进程并执行能力协商
发现:客户端查询服务器提供哪些工具(Tools)、资源(Resources)和提示(Prompts)
调用:对话过程中,当 Agent 需要外部工具时,向对应 MCP 服务器发送调用请求
配置方式
在 openclaw.json 或工作区 .mcp.json 中配置,支持三种传输类型:
{
"mcpServers": {
"database-tools": {
"command": "node",
"args": ["~/.openclaw/servers/db-server.js"],
"env": { "DB_URL": "${DB_URL}" }
},
"github": {
"type": "sse",
"url": "https://mcp.github.com/sse"
},
"custom-api": {
"type": "http",
"url": "https://api.example.com",
"headers": { "Authorization": "Bearer ${API_TOKEN}" }
}
}
}
stdio 用于本地进程通讯,sse(Server-Sent Events)用于远程连接,http 用于 HTTP 端点。
MCP 与 Skill 的区分
两者可同时使用但定位不同:MCP 服务器是外部进程,通过 JSON-RPC 2.0 通讯,可跨平台移植(同一 MCP 服务器可被 Claude、ChatGPT、VS Code 使用);Skill 是运行在 OpenClaw Agent 进程内的模块,能访问 OpenClaw 内部状态(记忆、会话),集成更紧密但不可移植。
MCP Bridge
社区项目 openclaw-mcp(GitHub: freema/openclaw-mcp)提供了一个桥接服务器,允许 Claude.ai 与 OpenClaw 通讯——支持 OAuth 2.1 认证、CORS 保护、输入验证、Docker 安全加固部署,甚至支持多实例模式编排多个 OpenClaw Gateway。
八、Tool Use 系统:Agent 的双手
内置工具全景
OpenClaw 提供 26 个内置工具,分为两层:
Layer 1——核心工具(8 个):read(读文件)、write(写文件)、edit(编辑文件)、apply_patch(应用代码补丁)、exec(执行 Shell 命令)、web_search(Brave Search 网络搜索)、web_fetch(抓取网页内容并转 Markdown)、list(列出文件)。
Layer 2——高级工具(18 个):browser(Chrome DevTools 控制:导航、点击、填表、截图、ARIA 快照)、canvas(Agent 驱动的可视化工作区)、memory_search/memory_get(记忆搜索与获取)、image(图像理解/生成)、会话管理五件套(sessions_list/history/send/spawn/status)、cron(定时任务)、gateway(网关控制)、message(消息发送)、nodes(设备节点控制:摄像头、屏幕、位置)、process/bash(后台进程管理)、llm_task/lobster(工作流引擎工具)。
工具组与配置
工具按功能分组管理,支持细粒度的 Allow/Deny 控制:
{
"tools": {
"allow": ["group:fs", "browser"],
"deny": ["exec"],
"profile": "coding"
}
}
Deny 永远优先于 Allow。支持按 Agent 覆盖配置。预设的工具配置文件(如"coding"、"messaging")设置基础白名单。
Tool Use 与 Skill、MCP 的三层关系
这三者构成 OpenClaw 能力体系的三个层级:
Tool(工具) 是最底层的原子操作——读写文件、执行命令、搜索网页。它们是 Agent "双手"的基本动作。
Skill(技能) 是中间层的编排知识——指导 Agent 如何组合多个工具完成复杂任务。Skill 不直接执行操作,而是通过 Markdown 指令告诉 Agent 应该使用哪些工具、按什么顺序、遵循什么规则。
MCP(模型上下文协议) 是扩展层的外部连接——将 Agent 的工具能力扩展到成千上万的第三方服务,且遵循标准化协议保证互操作性。
三者协同工作的典型流程:用户请求"帮我查询数据库中上月的销售数据并生成报告" → Agent 参考相关 Skill 了解工作流步骤 → 通过 MCP 连接 PostgreSQL 服务器执行 SQL 查询 → 使用内置 Tool(write)将结果写入文件 → 使用 Tool(message)将报告发送给用户。
安全机制
工具安全是 OpenClaw 最受关注的领域。exec 工具支持 Docker 沙箱(但默认关闭),提供三级审批模式:always(每条命令都需审批)、on-miss(新命令需审批)、never(不审批)。系统还实现了工具循环检测(可配置告警阈值 10 次、严重阈值 20 次、全局熔断 30 次),防止 Agent 陷入无限工具调用循环。Browser 工具通过沙箱浏览器桥接 + CDP(Chrome DevTools Protocol)通讯,支持 ARIA 语义快照(相比截图减少 90% Token 消耗)。
结论:新物种的机遇与风险并存
OpenClaw 代表了 AI Agent 从概念验证到大规模应用的关键转折点。它用不到 100 天的时间证明了自主 AI Agent 的巨大市场需求——从硅谷到深圳,从个人开发者到腾讯、NVIDIA 这样的科技巨头,整个行业都在围绕它构建生态。其架构设计的核心洞察——将 Agent 视为基础设施问题而非提示工程问题——使其成为真正的"AI 操作系统"而非又一个聊天机器人框架。
然而三个关键挑战不容回避。安全性仍是最大短板:40,000+ 暴露实例、8 个 CVE、150 万泄露的 API Key,这些数字表明当前的安全模型无法匹配项目的增长速度。治理转型存在不确定性:创始人加入 OpenAI 后项目移交独立基金会,过渡期的决策机制和方向尚不明朗。生态碎片化风险:中国市场出现了十余个本土化分叉(QClaw、ArkClaw、AutoClaw 等),短期内促进了采用,但长期可能导致标准分裂。对于任何考虑采用 OpenClaw 的组织,在充分理解安全模型并实施纵深防御之前,不建议在生产环境中部署——这不仅是 OpenClaw 的问题,更是整个自主 AI Agent 品类在 2026 年面临的核心挑战。
