夜雨聆风
SAST Weekly 是由电子工程系学生科协推出的科技系列推送,内容涵盖信息领域技术科普、研究前沿热点介绍、科技新闻跟进探索等多个方面,帮助同学们增长姿势,开拓眼界,每周更新,欢迎关注!欢迎愿意分享知识的同学投稿至 eesast@mail.tsinghua.edu.cn , 期待你的作品!
最近OpenClaw这个名字大家应该都不陌生吧。
虽然你大概率已经听说过它了——但是可能还只是"听说过"而已。
根据笔者对室友等开源研究对象的抽样调查统计,大家没上手的原因五花八门:有的认为它和聊天机器人没什么不同;有的不知道装了它能干啥;有的担心部署麻烦;也有人看过关于OpenClaw的负面报导后望之却步。
如果你也有过这些疑问,那希望这篇文章能够帮你更了解这只最近爆火的小龙虾。
一、OpenClaw vs Chatbots
1. Chatbot:住在对话框里的顾问
ChatGPT、Claude 这类聊天机器人你肯定用过,它们的工作模式其实很统一:你输入,它输出。写代码、改文案、解释概念、总结论文——非常强,强到大多数时候已经够用了。但是它的能力边界基本上止步于"生成一个高质量的回答"。
你让它帮你规划实验流程,它会给你一个详细的方案;方案写完,接下来真正去执行的,还是你自己。它给建议,你来干活。这不是缺点,只是它本来的定位——一个很聪明的对话系统,住在对话框里。
2. OpenClaw:被接进环境的助理
OpenClaw 的架构思路从根上就不一样。它有一个持续运行的 Gateway,作为中央控制平面,通过 WebSocket 同时连接两侧:一侧是各种Channel(飞书、微信、QQ、Telegram……) ,另一侧是本地的执行节点(Node),负责真正在你的机器上干活。
这个结构其实挺好理解的——Gateway 像一个 24/7 在线的调度核心,不是会话结束就关掉的那种;Channel是对话输入接口,你在飞书发一句话它收到了;本地 Node 是执行单元,读文件、跑脚本、调 API,真的去做。
OpenClaw在Node节点执行具体任务的能力来源于 Skills 系统,它是按需挂载的外设,这台机器需要什么能力,就挂载对应的Skill。每个 Skill 是一个独立的文件夹,核心是一个 SKILL.md,里面写清楚这个 Skill 叫什么、触发什么条件、需要哪些权限。
在这一系统架构的加成下,OpenClaw能参与的就不只是"对话",而是一个完整的执行链路:收到任务 → 拆解步骤 → 调用工具 → 执行操作 → 把结果推送给你。**从"回答问题"走向"执行任务"**,这是OpenClaw与Chatbots之间本质上的不同。
3. OpenClaw的关键特性:记忆
普通 chatbot 的记忆具有很大局限性——上下文长度有限并且难以跨对话继承,每次对话都是全新开始,上次聊了什么它不知道,你的习惯偏好它也不记得。
OpenClaw 则把记忆写进文件系统,持久化存下来。 它有四层记忆结构,从定义 Agent 人格的核心文件(SOUL.md),到关于你这个用户的长期偏好记录(MEMORY.md),再到每天自动追加的交互日志,最后是当前会话的实时上下文。其中前三层记忆都是可以按需在全局进行调用的,这就实现了记忆的跨回话迁移性。
你今天告诉它你喜欢用某种格式整理笔记,明天它还记得。这一系统内置于OpenClaw的架构中,你不需要特意编辑记忆文件(尽管你完全可以这样做),在日常的对话及执行中记忆会自动积累。
维度 | Chatbot | OpenClaw / Agent |
核心形态 | 对话系统 | 接入环境的持续运行系统 |
工作方式 | 你问它答,单次响应 | 接收任务,调用工具执行 |
和外部世界的关系 | 活在对话框里 | 连接消息平台、文件、API、脚本 |
有没有记忆 | 单个对话中的短期记忆 | 持久化记忆,跨会话积累 |
时间属性 | 一次一答 | 24/7 在线,可定时触发 |
二、OpenClaw适合干什么
说实话,如果你现在用 AI 主要就是问概念、改代码、总结论文,Chatbot + coding agent 的组合大概率已经够用了。
但是有一些场景是只有OpenClaw才能帮上忙的。做科研或者打比赛的时候,大家或许进入过这种状态:今天刷了几篇 arXiv,明天翻了翻 GitHub,然后就断了——真到要用的时候,开始满世界找自己曾经看到过的东西。痛点不是不会搜,而是没人帮你持续盯着。OpenClaw 可以配成定期监控某个关键词或仓库的更新,抓下来整理好,推到你的飞书或 Telegram。
还有另一类容易让人破防的工作:比如批量重命名实验文件、按固定格式处理数据、把几个来源的信息拼成一份清单……步骤固定、反复出现、还得跨好几个工具,工作量大且工作内容本身重复无脑。chatbot 能帮你写脚本,但没法替你跑流程、盯执行,这时就是OpenClaw的优势地带了。
归纳一下,OpenClaw 真正发挥其独特作用的场景,通常同时满足这几个条件:
事情会重复发生;
步骤比较固定;
要跨多个工具或平台;
你希望它能主动执行,而不是每次都等你手动触发。
当你感觉缺一个不嫌麻烦的数字苦力时,OpenClaw便是值得考虑的一个选项。
三、领一只虾有多省事
三小时起步,报错不停,最后在第 17 个 issue 下面和陌生人抱团取暖。
ps. 以上场景在部署openclaw时大概率不会发生
我自己在 Linux 系统上装过一遍,从打开终端到开始第一轮对话,总共不到一个小时。说实话里面有大概一半时间花在了一个外部问题上——系统上装的 Node 版本太老,和 OpenClaw 要求版本冲突,实际的安装配置流程本身其实很短。
官方文档给出的路径已经足够清晰:支持 macOS / Linux / Windows(建议 WSL2),需要 Node 22 以上,有一个可用的 LLM API key(Claude、OpenAI、DeepSeek 等均可)以及良好的网络环境,剩下就是跑安装脚本、配置模型和消息渠道,然后就能开始用了。
也就是说部署门槛基本上是:一个可用的 API key、一点命令行常识和些许耐心。
也许还需要一个不会因为你转投openclaw吃醋罢工的chatbot
如果你认为上述流程还是有些麻烦,现在国内的各大厂商已经推出“一键部署”的方案。例如字节的 ArkClaw 是云端直接开实例、内置模型、不需要自己配 key,智谱的 AutoClaw 是本地双击安装、内置 GLM、新用户有免费额度。这些方案都基本做到了零门槛,代价是定制自由度低一些——但如果只是想先感受一下 agent 是什么感觉,这是很值得考虑的第一步。
当然,尽管部署过程相对简单,但是科学养虾就是一门需要我们持续学习探索的学问了,鉴于篇幅和笔者本人水平所限,这篇科普不包含养虾的方法论(网络上有大量高质量资源)。不过,既然领一只虾这么简单,不妨先上手试试。
四、养虾有风险,上手需谨慎
当然,养虾这件事也不是没有坑。和普通Chatbot相比,使用OpenClaw这一类agent时,有两个必须认真对待的问题:成本控制和安全管理。
1. Token 烧起来不是开玩笑的
很多人第一次接触 agent 时,容易沿用聊天机器人的成本直觉——"我平时问几句也没花多少,应该还好。"
但 agent 的消耗方式根本不一样。一个简单任务可能触发 5-10 次 API 调用;Skills 的描述会注入 system prompt;记忆系统每次请求都带着上下文;再加上 24/7 在线、定时任务持续触发——多轮推理加多工具调用,token 消耗可能是普通聊天的几十甚至上百倍。
token成本计算等式,与常规chatbot相比,agent调用的context长度更长,调用轮数(n)更多
社区里有个流传很广的故事:用户设了一个处理邮件的定时任务,睡前一切正常,早上醒来账单涨到了 $1,100。原因是 agent 在处理邮件的过程中进入了循环推理,整晚不停调用 API。
好消息是 OpenClaw 本身提供了预算限制的配置项,可以直接在配置文件里设 maxCostPerDay,触顶就停。并且你可以根据自身的预算情况自由选取调用的模型,大量重复简单任务使用低价模型,少数复杂任务使用高端模型,从而平衡好效率和成本。
2. 安全风险是真实存在的
运行在本地 = 更安全,这句话只说了一半。
① 它拿着你给的钥匙在跑
OpenClaw 以 daemon 进程的形式持续运行在后台,可以读写本地文件、调用系统 API、通过连接的消息渠道对外发送内容。这不是缺陷,是它能"执行任务"的前提——但也意味着你给它开了多大的口子,它就能做多大的事,一旦判断失误或者被人做了手脚,后果会直接落在你的真实环境里。
所以权限控制是第一件要认真对待的事。OpenClaw 提供了工具访问白名单/黑名单配置,可以明确限定哪些工具能被调用;用不到浏览器自动化就把它关掉,用不到本地设备控制(摄像头、录屏)同理。更彻底的做法是用 Docker镜像部署,避免OpenClaw直接操作你的文件系统。
② Skill 把这把钥匙复制了一份给第三方
很多人装 Skill 的心态和装 VSCode 插件差不多,装完就忘了。但风险级别不在一个量级:OpenClaw 的 Skill 本质上是受信任代码,一旦安装,它拥有的权限和你的 OpenClaw 实例完全相同——没有沙箱隔离,没有权限分级。2026 年 1 月底的ClawHavoc 供应链攻击就是这一风险的典型案例:攻击者批量上传伪装成正常工具的恶意 Skill,高峰期 ClawHub 上约 20% 的 Skills 被确认为恶意,最终影响了 135,000+ 台设备。
因此,在安装Skill前需要审核来源是否可信,拒绝任何包含可疑操作的 Skill,社区广泛认可并使用的Skill一般是安全的。
③ 这把钥匙还可能被远程劫持
OpenClaw 作为 agent,会主动从外部环境抓取内容——网页、邮件、文件——然后把这些内容喂给模型处理。攻击者可以在这些外部内容里藏进恶意指令,让模型误以为这是你或系统发出的合法命令,从而绕过原本的 system prompt 限制,执行你根本没有授权的操作。这就是第三重风险:提示词注入(prompt injection)。
笔者群友(装作)被提示词注入骗钱实录
这个问题目前还没有根本性的技术解法,OpenClaw 创始人 Peter 也公开承认:"This is all vibe code. Prompt injection hasn't been solved. There are absolute risks."为了防范这一风险,敏感操作需要配置二次确认,尽量不让 agent 自主处理不信任外部来源的内容。
五、结语
它能干什么、用得上吗、好不好装、有什么坑——绕了一圈,相信大家对要不要装这个问题都有了一个初步的答案。
以OpenClaw为代表的Agent风潮还处于技术上的青春期:没有成熟的方法论,没有完整稳定的生态,其实际的应用效果也或许没有众多媒体鼓吹的那样震撼。每个养虾的人,某种程度上都是在自己摸索。
正因为这样,现在进去养虾的人某种程度上都是先行者——不是在消费一个打磨好的产品,而是在参与一件还没定型的事。如果你恰好有个反复出现的破事想甩掉,又恰好愿意折腾折腾,不妨领一只虾玩玩咯。
END
制作 | 李至昊 秦琢言
审核 | 王冠仁 张宸瑞
