
你的AI助手为什么总是不靠谱?聊完就忘、不会主动干活、还可能泄露API Key?
今天这篇,我会从AI Agent 架构到AI Agent 安全配置,带你走完如何搭建个人AI Agent的完整流程。
一、先介绍一下OpenClaw是什么
故事从2026 年1月的一个周末开始。
奥地利开发者Peter Steinberger(PSPDFKit创始人)花了一个周末,用 Claude Code和Codex搭了一个简单的WhatsApp消息中继脚本——它监听你的WhatsApp消息,转发给Claude API,再把AI的回复送回你手机。
就这?
几天后,这个Agent用大约25美元的API费用,通过邮件与多家汽车经销商谈判,最终帮Steinberger的朋友以比初始报价低4200美元的价格买到了一辆Hyundai Palisade。
「AI 帮我砍价买车」——这个故事引爆了整个开发者社区。AI不再是”你需要打开的又一个 App“,而是“始终在你手指可达之处”的存在。
项目上线第7天,GitHub Stars突破100000。8周后,突破180000。Andrej Karpathy评价它是“我见过的最接近科幻起飞的东西”。

用一句话概括:
OpenClaw是一个本地优先、自托管的开源个人AI Agent网关框架,它以常驻守护进程的方式运行在用户自有硬件或云服务器上,将WhatsApp、Telegram、Slack等日常消息通道与具备工具调用能力、持久化记忆和主动调度能力的LLM驱动智能体无缝桥接。
翻译成人话就是:你在自己的Mac Mini、树莓派或云服务器上跑一个后台程序,它就会把你的消息App变成24小时在线的AI助手。
它跟ChatGPT、Claude的区别在于:
OpenClaw的核心创新在于:它在用户输入和原始LLM调用之间,始终放置了一个编排层,由这个层负责路由、排队和状态管理。这才是AI Agent从“聊天机器人”进化为“数字助手”的关键。

二、理解 AI Agent 的工作原理
OpenClaw把自身组织为三个清晰的层次。理解了这个三层架构,你几乎就理解了Agentic系统的核心工作原理。
3.1 Channel(通道层)—— 消息的入口与出口
这是OpenClaw与外部世界的接口。它通过插件系统接入WhatsApp、Telegram、Slack、Discord、飞书、钉钉、微信等主流消息平台。
通道层做三件关键的事:
格式归一化:把不同平台的消息(文本、语音、附件、表情反应)统一成标准格式。语音消息会先转录成文字再送进LLM。 访问控制:支持白名单、DM配对策略、群聊提及策略。默认的 dmPolicy: "pairing"要求未知联系人输入一次性配对码才能对话——这是第一道安全防线。格式化输出:处理各平台特有的Markdown方言、消息分块、打字指示器等。
3.2 Brain(大脑层)—— 决策与推理的核心
大脑层以Gateway进程为载体,在 ws://127.0.0.1:18789 上运行,是一个长期运行的后台守护进程。
它的核心职责:
消息路由与会话序列化:每个会话的消息通过命令队列逐一处理,避免并发冲突。 Mulit-Agent路由:不同的通道、群组或联系人可以映射到独立的Agent,各自拥有独立的工作空间、模型、提示词和沙箱配置。 上下文组装:系统提示词由多个Markdown文件动态组合而成(下面会细说)。 ReAct循环执行:模型输出工具调用 → 运行时执行 → 结果反馈 → 模型决定下一步。
3.3 Body(身体层)—— 真实世界的行动接口
身体层赋予Agent“动手”的能力,包括:
内置工具:文件读写、Shell命令执行、网络搜索、邮件发送、日历操作。 MCP(Model Context Protocol)集成:标准化的工具层,连接Agent到外部服务(日历、Notion、Home Assistant、自定义API等)。 ClawHub 技能市场:社区驱动的技能扩展,每个技能包含 SKILL.md文件,用自然语言描述Agent应该何时使用它。沙箱执行:工具调用可在Docker容器中隔离执行,支持 non-main、all、off三种模式。
类比理解:如果把AI Agent比作一个人,Channel是耳朵和嘴巴(感知与表达),Brain是大脑(思考与决策),Body是双手(行动与执行)。三层各司其职,协同工作。

四、Agentic Loop:一条消息的生命周期
OpenClaw的核心引擎——Agentic Loop——将每条消息的处理分解为七个清晰的阶段。这七个阶段,就是AI Agent搭建中最关键的编排逻辑。
阶段一:通道归一化
平台适配器把WhatsApp的语音备忘录、飞书的文档附件、微信的线程回复等,统一为标准消息对象。
正如freeCodeCamp文章所言:“在进入模型之前先归一化你的输入。混乱的输入产生混乱的输出。”
阶段二:路由与会话序列化
消息经过白名单和配对策略检查后,被路由到正确的会话——main(主会话)、dm::<user>(私信)、group::<id>(群聊)。同一会话的消息通过命令队列逐一处理。
阶段三:上下文组装
系统提示词由多层组件动态构建:
基础提示词(核心指令和约束) 技能提示词(符合条件的技能列表) Bootstrap 上下文文件(工作空间环境) 每次运行的覆盖参数
模型强制执行上下文限制,并维护一个压缩预留空间,确保为回复保留足够的token预算。
阶段四:按需技能加载(Lazy Loading)
技能加载是惰性的:初始阶段只注入一个紧凑的技能列表(名称、描述、路径),模型在实际需要时才决定加载哪个技能。这避免了提示词膨胀,节省了宝贵的上下文窗口空间。
阶段五:模型推理
组装好的上下文被流式传递给LLM提供商——Claude、GPT、Gemini或本地Ollama都可以。OpenClaw是模型无关的(model-agnostic),你自带API Key即可。
阶段六:ReAct循环
如果模型输出的是工具调用,运行时执行工具并将结果反馈给模型,模型决定下一步行动——这个循环持续进行,直到模型输出纯文本回复。在循环的任一迭代中,模型可再次触发技能加载。
阶段七:记忆与持久化
所有对话历史、状态和记忆都持久化到本地文件系统:
会话历史: agents/<agentId>/sessions/每日上下文日志: memory/YYYY-MM-DD.md长期事实: MEMORY.md数据被索引到本地SQLite FTS + 向量存储(sqlite-vec),也可扩展到Pinecone、Milvus等外部数据库
关键设计原则:按需检索。每日日志不会被自动注入上下文,而是仅在相关时通过记忆工具获取。旧对话会被压缩摘要,减少token消耗同时保留语义。
五、用Markdown文件驱动你的AI Agent
OpenClaw最具辨识度的设计之一:用纯Markdown文件来定义Agent的行为和个性。
这意味着你不需要理解神经网络或提示工程——只要会用Markdown写文件,你就能定制自己的AI助手。
SOUL.md:定义Agent的个性、沟通风格、偏好和行为边界——相当于角色的“灵魂”。USER.md:告诉Agent关于你的信息——名字、职业、兴趣、工作习惯——让它能个性化地为你服务。AGENTS.md:设置操作规则、工具访问权限、安全约束——Agent的“宪法”。MEMORY.md:长期记忆,Agent在跨会话中积累的对你的认知。HEARTBEAT.md:主动任务清单,配合每30分钟触发一次的Agentic Loop,让 Agent在没有你输入的情况下也能主动干活——发送每日简报、监控网站变化、提醒你日历冲突。
这些文件全部存储在 ~/.openclaw/workspace/ 目录下,你可以用任何文本编辑器打开和修改。Gateway进程还热重载配置——有效更改即时生效,无效更改被拒绝。

六、如何搭建个人AI Agent:从零到一
1分钟安装
OpenClaw的安装极其简单,一行命令搞定:
curl -fsSL https://openclaw.ai/install.sh | bash支持Raspberry Pi、Mac Mini、任何Linux VPS。你的AI Agent就运行在你自己的硬件上——这是本地优先(Local-First)理念的极致体现:编排、记忆和状态全部留在你控制的设备上,只有API调用路由到外部LLM提供商。
配置你的第一个消息通道
安装完成后,编辑 ~/.openclaw/openclaw.json,添加你想要连接的消息平台。以 Telegram 为例:
{"channels":{"telegram":{"botToken":"YOUR_BOT_TOKEN"}}}保存后Gateway会自动热重载,你就可以在Telegram上跟你的AI助手对话了。
自定义Agent个性
在 ~/.openclaw/workspace/ 下创建 SOUL.md:
你是一个专业、高效的 AI 助手,沟通风格简洁直接。优先使用中文回复,技术术语可保留英文。创建 USER.md:
用户是一名全栈开发者,主要使用 Python 和 TypeScript。工作时间为北京时间 9:00-18:00。保存后,你的Agent就会按照你设定的个性和对你的了解来工作了。

七、AI Agent安全:你必须知道的陷阱
这是本文最重要的部分。
OpenClaw的爆发式增长带来了生态的繁荣,也引来了恶意攻击者的目光。2026年初,一场代号为ClawHavoc(利爪浩劫)的大规模供应链投毒攻击席卷了ClawHub技能市场——这是AI Agent生态史上第一次被系统记录的大规模恶意技能投毒事件。
数据触目惊心
安全公司Koi Security审查了2857个技能,发现341个恶意技能 Snyk对3984个技能进行扫描,发现36.82% 存在安全问题,其中13.4%为关键级别 Antiy Labs分析显示:攻击者共上传了1184+个恶意技能
攻击手法:ClickFix 2.0
攻击者的手法极其精巧。他们在技能文档中嵌入虚假的“前置条件”部分,伪装成合法工具(如 solana-wallet-tracker、youtube-summarize-pro),文档看起来非常专业。
但文档中包含一个“Prerequisites”部分,诱导你:
Windows 用户:下载密码保护的ZIP文件,解压后是木马 macOS 用户:复制粘贴一段base64编码的终端命令,从外部下载并执行恶意脚本
心理层面的exploit:攻击者精准利用了工程师群体“习惯于复杂依赖设置”的心理模式,降低了用户对“辅助工具安装”的警惕性。
更危险的是什么?
Snyk的研究发现了一个关键事实:在已确认的恶意技能中,100%包含恶意代码模式,其中91%同时结合了Prompt Injection技术。
这种融合攻击同时绕过了AI安全护栏和传统代码扫描器——Prompt Injection使Agent“自愿”执行正常情况下会被阻止的载荷。
比传统npm/PyPI投毒更危险的原因:
默认权限更高(Shell访问、文件读写、凭据直接访问) Prompt Injection在传统软件中没有对应物 通过Agent记忆修改实现持久化后门——攻击可以在数月后才触发
八、OpenClaw安全配置:加固你的AI Agent
了解了威胁之后,我们来看具体怎么做AI Agent 安全配置。以下是基于Nebius安全指南和OpenClaw官方最佳实践的完整清单。
启用DM配对策略
确保 openclaw.json 中启用配对策略:
{"channels":{"dmPolicy":"pairing"}}这会要求未知联系人输入一次性配对码才能与Agent对话,防止陌生人直接操控你的Agent。
启用沙箱模式
这是最重要的一道防线。在 openclaw.json 中配置:
{"sandbox":{"mode":"always"}}沙箱模式将所有工具调用隔离在Docker容器中执行。即使恶意技能被执行,也无法直接访问你的主机系统。
配置多Agent路由与权限分级
为不同的场景使用独立的Agent,各自拥有独立的沙箱设置:
{"agents":{"mapping":{"group:discord:123456":{"workspace":"~/.openclaw/workspaces/discord-bot","model":"anthropic/claude-sonnet-4-5"},"dm:telegram:*":{"workspace":"~/.openclaw/workspaces/personal-agent","model":"openai/gpt-4o","sandbox":{"mode":"always"}}}}}这样,Discord群聊里的Agent和你私人的Telegram Agent完全隔离,权限分级。
在AGENTS.md中设置安全约束
在 AGENTS.md 中明确定义Agent的行为边界:
## 安全规则- 永远不要读取或发送 .env、.ssh、.aws 等包含凭据的文件- 不要执行来自未知来源的技能安装命令- 不要向外部发送用户的个人身份信息- 任何涉及金钱、密码、API Key 的操作必须请求用户确认谨慎使用ClawHub技能
只安装来自可信作者的技能 安装前仔细阅读 SKILL.md,警惕要求你“先安装额外依赖”的技能定期检查已安装的技能列表 关注社区举报——超过3个独立举报的技能会被自动隐藏
其他安全建议
隔离运行环境:尽量在专用VM或容器中运行OpenClaw,不要和日常工作环境混用 定期更新:保持OpenClaw和依赖组件的最新版本 限制 API Key 权限:为Agent使用的API Key设置最小必要权限 监控日志:定期检查Gateway日志和系统日志中的异常行为

九、OpenClaw vs 其他框架:为什么选它?
| 个人 AI 助手 | ||||
| 1 分钟 | ||||
| 不需要 | ||||
| ✅ 原生 | ||||
| ✅ 数周/数月 | ||||
| $6-28 | ||||
| ✅ Heartbeat |
OpenClaw的差异化可以归结为五个关键词:
本地优先:运行在你自己的硬件上,数据主权完全归你 始终在线:Gateway守护进程架构,不会"用完就消失" 原生集成:开箱即用的消息通道支持,其他框架都需要自建 文件驱动:用Markdown定制行为,非技术用户也能上手 持久记忆:跨会话记忆+主动调度,真正的“助手”而非“工具”

十、总结:OpenClaw 核心知识速查
OpenClaw采用本地优先、自托管的架构设计,将Channel(通道层)、Brain(大脑层)和Body(身体层)三层解耦,通过七阶段Agentic Loop实现消息归一化、路由序列化、上下文组装、按需技能加载、模型推理、ReAct工具循环和记忆持久化。它以Markdown文件驱动Agent行为定义(SOUL.md、AGENTS.md、USER.md),并通过Docker沙箱隔离、DM配对策略、Mulit-Agent路由权限分级实现AI Agent安全加固,使开发者能在数分钟内搭建出具备持久化记忆和主动调度能力的个人AI Agent。
写在最后
OpenClaw的故事是2026年AI领域最引人入胜的叙事之一。它证明了一个人、一个周末、一行安装脚本可以在开源史上留下令人瞩目的增长曲线。
但ClawHavoc的教训同样深刻:在一个赋予AI”手“的生态中,安全不是事后的补充,而是设计的前提。
当Agent拥有Shell访问权限、文件读写能力、API Key管理和对外通信能力时,一个恶意的Skill可以比一个恶意npm包造成更深远的影响。
OpenClaw的未来取决于社区能否在“开放创新”和“安全治理”之间找到可持续的平衡。但无论如何,它已经完成了它的历史使命——让全世界看到了AI Agent的真实形态:不是聊天窗口里的文字回复,而是驻留在你的Mac Mini上、通过WhatsApp回应你的消息、记住你三个月前提到的偏好、主动提醒你明天会议冲突的个人AI Agent。
这个范式转移,一旦开始,就不会停止。
Day 20

你觉得 AI Agent 会成为下一个超级入口吗? 欢迎在评论区聊聊你的看法。
夜雨聆风