OpenClaw 深度解析：把 AI Agent 從"顧問(wèn)"變成"員工"

基于《OpenClaw 橙皮書：從入門到精通》整理，結(jié)合生產(chǎn)落地實(shí)踐

一、OpenClaw 是什么

如果你用過(guò) ChatGPT，你大概有這種體驗(yàn)——它像一個(gè)學(xué)識(shí)淵博的顧問(wèn)：你問(wèn)，它答，結(jié)束。

OpenClaw 不一樣。它是一個(gè) AI Agent 平臺(tái)，能連接 20+ 消息渠道（WhatsApp、Telegram、飛書、釘釘、Discord、微信等），主動(dòng)執(zhí)行任務(wù)、管理你的日程、處理郵件、操作瀏覽器、調(diào)用各種工具。

《橙皮書》里有一句話把這個(gè)差異說(shuō)得很清楚：

ChatGPT 是「顧問(wèn)」，OpenClaw 是「員工」。

顧問(wèn)給建議，員工干活。顧問(wèn)離開會(huì)議室就沒(méi)了，員工 24/7 在線。

二、從周末項(xiàng)目到 GitHub 全球第一

OpenClaw 的誕生故事值得一提。

2025 年 11 月，奧地利開發(fā)者 Peter Steinberger（iOS/macOS 圈知名開發(fā)者）在一個(gè)周末寫了一個(gè)能連接即時(shí)通訊平臺(tái)的 AI 助手小工具，起名 ClawdBot。這個(gè)項(xiàng)目?jī)蓚€(gè)月后成為 GitHub 增長(zhǎng)最快的開源項(xiàng)目。

到 2026 年 3 月，這個(gè)數(shù)字令人震驚：

• Peter 個(gè)人提交 11,684 次 commit
• 貢獻(xiàn)者超過(guò) 1,075 人
• Stars 數(shù)量超過(guò) React 用了 10 年才積累的 23 萬(wàn)

名字經(jīng)歷了兩次變更：

• ClawdBot（向 Anthropic Claude 致敬，Claw = 爪子）
• → Moltbot（因 Anthropic 商標(biāo)警告，Molt = 龍蝦蛻殼）
• → OpenClaw（強(qiáng)調(diào)開源屬性）

龍蝦的吉祥物形象始終保留，也成了整個(gè)社區(qū)的文化符號(hào)。"養(yǎng)蝦"這個(gè)詞，在 OpenClaw 社區(qū)里指的就是"運(yùn)行和培養(yǎng)你的 AI Agent"。

目前 OpenClaw 已轉(zhuǎn)為開源基金會(huì)運(yùn)營(yíng)，OpenAI 是贊助商之一（與 Vercel、Blacksmith、Convex 并列），但不控制項(xiàng)目方向。Peter 加入了 OpenAI，但承諾繼續(xù)投入 OpenClaw 的開發(fā)。

三、系統(tǒng)架構(gòu)：Gateway-Node-Channel 三層模型

OpenClaw 采用 Gateway-Node-Channel 三層架構(gòu)，以 WebSocket 為通信總線，將控制平面、設(shè)備執(zhí)行與消息渠道解耦。

                ┌─────────────────────────────────────┐
消息渠道層        │  Telegram / 飛書 / 微信 / Discord ...│
(Channel)       └──────────────┬──────────────────────┘
                               │
                ┌──────────────▼──────────────────────┐
控制層           │         OpenClaw Gateway             │
(Gateway)       │     ws://127.0.0.1:18789             │
                └──────────────┬──────────────────────┘
                               │
                ┌──────────────▼──────────────────────┐
執(zhí)行層           │      Node / Agent / Skills           │
(Node)          │   記憶系統(tǒng) / 工具調(diào)用 / 模型接入        │
                └─────────────────────────────────────┘

三個(gè)層級(jí)各司其職：

• Channel（渠道層）：負(fù)責(zé)消息的收發(fā)，支持 20+ IM 平臺(tái)
• Gateway（控制層）：統(tǒng)一入口，WebSocket 協(xié)議，認(rèn)證與路由
• Node（執(zhí)行層）：Skills 執(zhí)行、記憶管理、模型調(diào)用

這種解耦設(shè)計(jì)的好處是：換渠道不影響 Agent 邏輯，換模型不影響渠道配置，各層可以獨(dú)立演進(jìn)。

四、記憶系統(tǒng)：讓 Agent 有"人格"

OpenClaw 的記憶系統(tǒng)是它區(qū)別于普通聊天機(jī)器人的核心能力之一。

書中提到了一個(gè)設(shè)計(jì)意圖，描述私聊與群組的行為差異：

私聊是「你和 Agent 的私密空間」，所有記憶和偏好都在這里積累。群組是公共場(chǎng)合，Agent 不會(huì)泄露你在私聊中說(shuō)過(guò)的內(nèi)容。

記憶存儲(chǔ)在兩個(gè)關(guān)鍵文件中：

• SOUL.md：Agent 的核心行為準(zhǔn)則，定義人格
• MEMORY.md：長(zhǎng)期記憶，積累偏好和歷史

這種設(shè)計(jì)讓 Agent 真正能"了解"你這個(gè)用戶，但也帶來(lái)了安全隱患——這兩個(gè)文件是攻擊者的高價(jià)值目標(biāo)（詳見第六章）。

五、渠道接入：統(tǒng)一三步流程

OpenClaw 通過(guò) Gateway 架構(gòu)統(tǒng)一連接各平臺(tái)，所有渠道共享同一套接入模式：

創(chuàng)建憑證 → 寫入配置 → 啟動(dòng) Gateway

5.1 Telegram（最推薦的入門渠道）

Telegram 是官方推薦的入門渠道。Long-polling 模式的最大優(yōu)點(diǎn)是不需要公網(wǎng) IP 和端口轉(zhuǎn)發(fā)，本地、NAT 后面、防火墻內(nèi)都能正常工作。

# ~/.openclaw/openclaw.yaml
channels:
  telegram:
    enabled: true
    botToken: "${TELEGRAM_BOT_TOKEN}"
    dmPolicy: pairing  # 需配對(duì)碼才能使用

接入步驟：

1. 找 @BotFather，發(fā)送 /newbot 命令創(chuàng)建 bot，獲取 Token
2. 將 Token 寫入配置文件
3. 重啟 Gateway，發(fā)消息觸發(fā)配對(duì)流程

5.2 國(guó)內(nèi)平臺(tái)現(xiàn)狀

微信個(gè)人號(hào)的接入歷來(lái)是最大痛點(diǎn)——沒(méi)有官方 API，只能走企微中轉(zhuǎn)或 iPad 協(xié)議，封號(hào)風(fēng)險(xiǎn)高。2026 年 3 月 22 日，微信團(tuán)隊(duì)推出了 ClawBot 官方插件，這個(gè)問(wèn)題終于有了正道解法。ClawBot 的本質(zhì)是一條消息通道：你的微信通訊錄里會(huì)多一個(gè)叫「微信 ClawBot」的好友，已有的任何 OpenClaw 實(shí)例都可以通過(guò)它與你的微信對(duì)話。

六、Skills 生態(tài)：能力擴(kuò)展與安全警戒線

Skills 是 OpenClaw 的能力擴(kuò)展機(jī)制，類似 npm 之于 Node.js。每個(gè) Skill 本質(zhì)上是注入 Agent 上下文窗口的結(jié)構(gòu)化指令文件（SKILL.md）。

Skills 有三個(gè)來(lái)源，優(yōu)先級(jí)從高到低：

1. Workspace 級(jí)（項(xiàng)目?jī)?nèi) Skills，優(yōu)先級(jí)最高）
2. 用戶級(jí)（用戶安裝的 Skills）
3. 內(nèi)置 Skills（OpenClaw 自帶的 55 個(gè)）

ClawHub（clawhub.com）是官方 Skill 注冊(cè)表，提供基于向量搜索的 Skill 發(fā)現(xiàn)、版本管理和社區(qū)評(píng)分。目前已有 13,729 個(gè) Skills，但超過(guò) 50% 被判定為垃圾/重復(fù)/低質(zhì)量，396 個(gè)被標(biāo)記為惡意。

6.1 ClawHavoc 供應(yīng)鏈攻擊事件

2026 年 1 月到 2 月，OpenClaw 社區(qū)遭遇了被命名為 ClawHavoc 的大規(guī)模供應(yīng)鏈攻擊。

發(fā)布高星 Skill → 誘導(dǎo)安裝 → 建議安裝"helper agent" 
→ 植入 AMOS 信息竊取木馬 → 篡改 SOUL.md / MEMORY.md

篡改 SOUL.md 意味著 Agent 被"洗腦"——它的核心行為準(zhǔn)則被改寫，可能在后續(xù)所有交互中執(zhí)行惡意操作，而用戶完全不知情。

關(guān)鍵認(rèn)知：OpenClaw 的 Skill 本質(zhì)上是受信任代碼。一旦安裝，它就擁有和你的 OpenClaw 實(shí)例相同的權(quán)限。沒(méi)有沙箱隔離，沒(méi)有權(quán)限分級(jí)。

這和 npm 生態(tài)早期面臨的問(wèn)題一模一樣，但后果可能更嚴(yán)重，因?yàn)?OpenClaw 可以訪問(wèn)你的郵件、日歷、消息和文件系統(tǒng)。

6.2 Skill 安全實(shí)踐

# 1) 安裝開源安全掃描工具
npm install -g secureclaw

# 2) 掃描已安裝的 Skills
secureclaw scan ~/.openclaw/skills/

# 3) 安裝前關(guān)鍵字快速審計(jì)
rg -n "helper|osascript|curl\s+http|wget\s+http|rm\s+-rf" \
   ~/.openclaw/skills/<skill-name> -S

• 優(yōu)先參考 awesome-openclaw-skills 精選列表（31.4K Stars）
• 定期檢查 SOUL.md 和 MEMORY.md 有無(wú)異常內(nèi)容
• 遵循最小安裝原則——每個(gè) Skill 會(huì)增加 system prompt 長(zhǎng)度，建議從 3-5 個(gè)開始

七、模型配置：自由選擇，智能降級(jí)

OpenClaw 最大的優(yōu)勢(shì)之一是模型自由：你不被綁定在某一家廠商上。

7.1 配置結(jié)構(gòu)

{
  "env": { "API_KEY": "sk-xxx" },
  "agents": {
    "defaults": {
      "model": {
        "primary": "provider/model-name",
        "fallbacks": ["provider/model-b"]
      }
    }
  },
  "models": {
    "mode": "merge",
    "providers": {}
  }
}

models.mode: "merge" 非常關(guān)鍵：它保留內(nèi)置 Provider 并疊加自定義配置，避免誤覆蓋。

7.2 國(guó)產(chǎn)模型選型

GLM-5-Turbo 的獨(dú)特之處：2026 年 3 月 16 日智譜發(fā)布，官方定位"首個(gè)龍蝦模型"，從訓(xùn)練階段就專為 OpenClaw 深度優(yōu)化，重點(diǎn)強(qiáng)化了：工具調(diào)用準(zhǔn)確性、多步驟指令跟蹤、長(zhǎng)時(shí)間持久任務(wù)、長(zhǎng)鏈執(zhí)行穩(wěn)定性。

聚合平臺(tái)推薦：

• 硅基流動(dòng) SiliconFlow：國(guó)內(nèi)首選，一個(gè) API 調(diào)多個(gè)開源模型，有免費(fèi)額度
• OpenRouter：290+ 模型，有 5.5% 平臺(tái)費(fèi)，內(nèi)置 OpenClaw 支持

7.3 推薦方案：混合最優(yōu)（月均 $5-20）

復(fù)雜任務(wù) → Claude Sonnet 4.6
日常對(duì)話 → DeepSeek-V3.2
心跳/定時(shí) → Gemini Flash 或本地 Ollama
Fallback 鏈 → Sonnet → Haiku → DeepSeek-V3.2

這是大多數(shù)用戶的最佳選擇。大部分簡(jiǎn)單任務(wù)自動(dòng)走最便宜的模型，只有復(fù)雜任務(wù)才使用主力模型。

八、安全威脅全景

OpenClaw 創(chuàng)始人 Peter 對(duì)安全問(wèn)題保持了罕見的坦誠(chéng)：

"This is all vibe code. Prompt injection hasn't been solved. There are absolute risks."

（這全是 vibe code。Prompt injection 沒(méi)有被解決。存在絕對(duì)風(fēng)險(xiǎn)。）

8.1 已知重大安全事件

CVE-2026-25253（RCE 漏洞）

• 曾讓 13.5 萬(wàn)個(gè)暴露實(shí)例面臨遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)
• 攻擊者可遠(yuǎn)程在服務(wù)器上執(zhí)行任意命令、讀取文件、竊取 API Key

30,000+ 未認(rèn)證實(shí)例

• 安全研究者通過(guò)互聯(lián)網(wǎng)掃描發(fā)現(xiàn)，超過(guò) 30,000 臺(tái)實(shí)例暴露在公網(wǎng)且未配置任何認(rèn)證
• 任何人都可以連接并向 Agent 發(fā)送指令，消耗你的 API 額度，讀取你的個(gè)人數(shù)據(jù)

ClawHavoc 供應(yīng)鏈攻擊

8.2 Gateway 安全基線（最小可用配置）

# ~/.openclaw/openclaw.yaml
gateway:
  host: 127.0.0.1      # 僅監(jiān)聽本地，不對(duì)外暴露
  port: 18789
  auth:
    mode: token         # 顯式配置認(rèn)證模式（v2026 新要求，不設(shè)置將無(wú)法啟動(dòng)）
    token: ${OPENCLAW_GATEWAY_TOKEN}

驗(yàn)證命令：

# 檢查端口是否只在本機(jī)監(jiān)聽
lsof -nP -iTCP:18789 -sTCP:LISTEN

# 檢查認(rèn)證模式是否顯式配置
rg -n "auth:" ~/.openclaw/openclaw.yaml

遠(yuǎn)程訪問(wèn)推薦走 Tailscale Serve/Funnel，而不是直接暴露 18789 端口。

九、成本控制：防止"一覺(jué)醒來(lái) $1,100 賬單"

API 費(fèi)用是 OpenClaw 運(yùn)營(yíng)的最大成本風(fēng)險(xiǎn)。這不是危言聳聽——書中記錄了真實(shí)案例：用戶設(shè)置了處理郵件的 Cron 任務(wù)，Agent 在處理郵件時(shí)進(jìn)入循環(huán)推理，整晚不停調(diào)用 API，第二天早上收到了 $1,100 賬單。

為什么 OpenClaw 的 Token 消耗遠(yuǎn)超普通聊天

• 一個(gè)任務(wù)可能觸發(fā) 5-10 次 API 調(diào)用（多輪推理）
• Skills 的描述會(huì)注入 system prompt，增加每次請(qǐng)求的輸入 token
• 記憶系統(tǒng)（MEMORY.md + Daily Logs）在每次請(qǐng)求中附帶上下文
• Cron 任務(wù) 24/7 不斷觸發(fā) API 調(diào)用
• 多輪思考 + 多工具調(diào)用的 Token 消耗可能是傳統(tǒng)聊天的 幾十甚至上百倍

核心省錢策略：Fallback 鏈

Fallback 鏈的原理很簡(jiǎn)單：主模型不可用時(shí)自動(dòng)降級(jí)到更便宜的模型。聰明的用法是主動(dòng)利用它控制成本：

Claude Sonnet → Claude Haiku → DeepSeek-V3.2

三級(jí) Fallback 鏈可以降低 80-95% 的 API 成本。大部分簡(jiǎn)單任務(wù)會(huì)自動(dòng)走最便宜的模型，只有復(fù)雜任務(wù)才用到主力模型。

護(hù)欄配置

1. 在模型平臺(tái)控制臺(tái)設(shè)置每日硬預(yù)算上限（哪怕設(shè) $5，也能防止失控）
2. 給高頻 Cron 任務(wù)綁定低成本模型（心跳任務(wù)用 Gemini Flash 免費(fèi)額度）
3. 升級(jí)前先備份：openclaw backup create

十、生產(chǎn)落地：三層治理框架

把 OpenClaw 從"能跑"升級(jí)到"可長(zhǎng)期穩(wěn)定運(yùn)行"，需要三層治理：

入口安全層  ──  不讓未授權(quán)連接進(jìn)來(lái)
供應(yīng)鏈安全層 ── 降低惡意 Skill 風(fēng)險(xiǎn)  
成本治理層  ──  防止 Token 失控

每日巡檢腳本

#!/usr/bin/env bash
set -euo pipefail

LOG_DIR="${HOME}/.openclaw/audit"
LOG_FILE="${LOG_DIR}/daily-guard.log"
mkdir -p "${LOG_DIR}"

{
  echo "[$(date '+%F %T')] 開始每日巡檢"

  # 1) 配置備份
  openclaw backup create --only-config

  # 2) Skill 安全掃描
  secureclaw scan "${HOME}/.openclaw/skills" || true

  # 3) 端口暴露檢查
  if lsof -nP -iTCP:18789 -sTCP:LISTEN | rg -q "127.0.0.1:18789"; then
    echo "Gateway 監(jiān)聽檢查通過(guò)：僅本地可見"
  else
    echo "[告警] Gateway 可能暴露到非本地地址"
  fi

  echo "[$(date '+%F %T')] 每日巡檢完成"
} | tee -a "${LOG_FILE}"

配合 crontab 每天早上 7:30 自動(dòng)執(zhí)行：

30 7 * * * /bin/bash /opt/openclaw/scripts/daily_guard.sh

十一、國(guó)內(nèi)部署選型指南

十二、vs Claude Code：互補(bǔ)，不是替代

這是很多人會(huì)問(wèn)的問(wèn)題。

Claude Code 管代碼，OpenClaw 管生活。兩者是互補(bǔ)關(guān)系，不是替代關(guān)系。

Claude Code 是一個(gè)面向代碼任務(wù)的 CLI 工具，擅長(zhǎng)代碼理解、生成、重構(gòu)。

OpenClaw 適合的場(chǎng)景是：

• 一個(gè)能在 WhatsApp/Telegram/飛書里隨手叫醒的 Agent
• 一個(gè)長(zhǎng)期在線、能積累人格和記憶的 Agent
• 一個(gè)可自托管、可 hack、可接各種設(shè)備的個(gè)人自動(dòng)化系統(tǒng)

OpenClaw 生態(tài)中還衍生出了 Moltbook——一個(gè)專供 AI Agent 使用的社交平臺(tái)。數(shù)千個(gè) OpenClaw 實(shí)例在上面發(fā)帖、評(píng)論、討論哲學(xué)問(wèn)題。這可能是 AI Agent 從"工具"走向"社會(huì)化存在"的第一個(gè)大規(guī)模實(shí)驗(yàn)場(chǎng)。

小結(jié)

OpenClaw 的火爆背后是一個(gè)真實(shí)的趨勢(shì)：AI Agent 正在從一次性對(duì)話走向持續(xù)在線的自動(dòng)化員工。

但這個(gè)轉(zhuǎn)變也帶來(lái)了新的復(fù)雜性：Gateway 安全、Skill 供應(yīng)鏈、Token 成本——這些都是把 Agent 跑成"生產(chǎn)系統(tǒng)"必須面對(duì)的工程問(wèn)題。

一句話總結(jié)生產(chǎn)落地的優(yōu)先級(jí)：

先收口入口安全，再治理 Skill 供應(yīng)鏈，最后做成本閉環(huán)。

只要把這三層打牢，OpenClaw 才能真正從"能跑"進(jìn)化到"穩(wěn)定產(chǎn)出"。

參考資料

• OpenClaw 橙皮書：從入門到精通

2026.04.10 17:56
滬 · 匯金路KFC

?? 聲明：本文由 AI 輔助完成