OpenClaw - 开源个人AI Agent框架详细介绍

dijk

13人浏览 · 2026-06-28 23:49:09

dijk · 2026-06-28 23:49:09 发布

OpenClaw — 开源个人 AI Agent 框架详细介绍

一、产品概述

OpenClaw（最初名为 Clawdbot，曾短暂更名为 Moltbot，2026 年 1 月底定名为 OpenClaw）是由奥地利开发者 Peter Steinberger 创建的开源个人 AI Agent 框架。项目的 Logo 是一只龙虾（🦞），因此在中文科技圈被昵称为"龙虾"。

OpenClaw 的定位不是编码工具，而是一个具有高度系统权限的个人 AI 代理——它能运行 Shell 命令、管理文件、浏览网页、对接 50+ 即时通讯平台（WhatsApp、Telegram、Discord、Slack、Signal、iMessage 等），并自主执行多步骤任务。

NVIDIA CEO 黄仁勋（Jensen Huang）在 2026 年 3 月称其为 “我们这个时代最重要的软件发布”。

产品形态速览

维度	说明
产品形态	开源个人 AI Agent 框架（需对接大模型）
所属层级	个人 Agent 运行时层（类似 Hermes，但权限更高、通道更多）
核心角色	高权限个人 AI 代理，跨消息平台自主执行任务
是否可独立运行	否，需对接大模型（Claude/GPT/Gemini 等）
开源协议	开源（独立基金会管理）
代码仓库	github.com/openclaw/openclaw
GitHub Stars	285,000+（2026 年 3 月，GitHub 历史上最高星标项目）
下载量	近 60 万次累计下载
通俗类比	一个能操控你电脑、回复你消息、帮你干各种活的 AI 管家

二、爆炸式增长历程

OpenClaw 的增长速度创造了开源历史：

时间	事件
2025 年 11 月	Peter Steinberger 以"周末项目"形式发布 Clawdbot
2026 年 1 月下旬	单日新增 25,000 颗 GitHub Stars；两个月内超越 React 十年的星标数
2026 年 1 月底	经历 Clawdbot → Moltbot → OpenClaw 两次更名，最终定名 OpenClaw
2026 年 2 月 15 日	Steinberger 加入 OpenAI，负责"下一代个人 Agent"开发；OpenClaw 移交独立开源基金会
2026 年 2 月	CVE-2026-25253 漏洞披露（CVSS 8.8 高危）
2026 年 3 月	285,000+ GitHub Stars，成为 GitHub 历史最高星标开源项目；WIRED 杂志专题报道
2026 年 6 月	Claw Orchestrator v4.4.0 发布（基于 OpenClaw 的多引擎编码编排工具）

增长数据：OpenClaw 的增长速度是 Kubernetes 的 18 倍。

三、安装与部署

3.1 系统要求

操作系统：macOS、Linux（推荐）
权限要求：需要较高系统权限（Root 级别）——能执行 Shell 命令、读写文件、访问网络
大模型 API：需要配置至少一个 LLM 提供商（Anthropic/OpenAI/Google 等）
注意：OpenClaw 需要提供邮箱凭据、API Key、浏览器 Cookie、文件系统和终端权限

3.2 安装步骤

# 第一步：拉取仓库
git clone https://github.com/openclaw/openclaw.git
cd openclaw

# 第二步：安装依赖
npm install

# 第三步：启动（首次运行会自动生成配置文件）
node index.js start

3.3 配置文件路径

OpenClaw 使用 JSON5 格式（非 YAML）的主配置文件，经历了三次更名，路径也随之变化：

版本	配置文件路径
OpenClaw（当前）	`~/.openclaw/openclaw.json`
Moltbot（中期）	`~/.moltbot/moltbot.json` 或 `~/.clawdbot/moltbot.json`
Clawdbot（最早）	`~/.clawdbot/clawdbot.json`
Docker 部署	宿主机 `~/.clawdbot/clawdbot.json` → 容器内 `/app/.clawdbot/clawdbot.json`（新版已迁移至 `/home/node/.openclaw`）

自定义路径： 设置环境变量 OPENCLAW_CONFIG_PATH 可覆盖默认位置。

3.4 配置方式

OpenClaw 提供 三种配置方式：

方式	说明
Gateway UI	启动后访问 `http://127.0.0.1:18789` → Config 选项卡，图形化编辑
直接编辑文件	编辑 `~/.openclaw/openclaw.json`（JSON5 格式，支持注释和尾部逗号）
环境变量	`OPENCLAW_CONFIG_PATH` 指定配置文件路径

3.5 配置文件示例

~/.openclaw/openclaw.json（主配置）：

{
  // 大模型配置
  model: {
    provider: "anthropic",      // 或 openai / google / deepseek
    api_key: "${ANTHROPIC_API_KEY}",
    model: "claude-opus-4-8",
  },

  // 消息通道配置
  channels: {
    telegram: {
      bot_token: "${TELEGRAM_BOT_TOKEN}",
    },
    whatsapp: { enabled: true },
    discord: {
      bot_token: "${DISCORD_BOT_TOKEN}",
    },
    slack: {
      bot_token: "${SLACK_BOT_TOKEN}",
    },
  },

  // 网关配置（Hub-and-Spoke 架构核心）
  gateway: {
    host: "127.0.0.1",   // ⚠️ 务必绑定 127.0.0.1，不要用 0.0.0.0
    port: 18789,
    auth: {
      enabled: true,      // ⚠️ 务必启用认证
      token: "${STRONG_RANDOM_TOKEN}",
    },
  },
}

~/.openclaw/SOUL.md（Agent 身份与行为定义）：

# SOUL.md
你是我的个人 AI 助理，名字叫 Claw。
- 你可以访问我的电脑、文件和消息
- 帮我处理邮件、管理日程、回复消息
- 优先保护我的隐私和安全
- 遇到不确定的操作先征求我的确认

~/.openclaw/MEMORY.md（持久记忆）：

# MEMORY.md
我的日程偏好：上午专注编码，下午开会
常用工具：VS Code、iTerm、Chrome
项目目录：~/projects/

⚠️ 安全警告： 旧版默认配置绑定到 0.0.0.0 且无认证——务必改为 127.0.0.1 并启用认证，否则实例可能暴露在公网。全球已有 135,000+ 实例暴露，约 15,000 可被远程利用。

四、核心架构

4.1 Hub-and-Spoke 网关架构

                      ┌──────────────────────┐
                      │   OpenClaw Gateway   │
                      │  (127.0.0.1:18789)   │
                      │    WebSocket Hub     │
                      └──────┬───────────────┘
           ┌─────────────────┼─────────────────────┐
           ↓                 ↓                 ↓
     ┌──────────┐     ┌──────────┐       ┌──────────┐
     │ Telegram │     │ WhatsApp │  ...  │  Slack   │  ← 50+ 消息通道
     └──────────┘     └──────────┘       └──────────┘
           ↓                 ↓                 ↓
        用户消息          用户消息           用户消息

所有消息通道通过统一的 WebSocket 网关汇聚，Agent 通过一个中心 Hub 接收和发送消息。

4.2 Lane Queue 并发控制

基于 Lane Queue 机制确保每个会话的任务按序执行，防止并发冲突。

4.3 核心组件一览

组件	说明
Gateway	WebSocket 中心路由 Hub（127.0.0.1:18789）
Lane Queue	会话级并发控制，有序执行任务
SOUL.md	Markdown 文件定义 Agent 身份、个性和行为边界
MEMORY.md	持久化记忆文件，无需向量数据库
Skills（ClawHub）	5,700+ 社区贡献的插件模块
Multi-Channel	50+ 消息平台集成

五、核心功能详解

5.1 50+ 消息通道集成

OpenClaw 可以接入几乎所有主流消息平台：

类别	平台
即时通讯	WhatsApp、Telegram、Discord、Slack、Signal、iMessage、WeChat
邮件	Gmail、Outlook
社交	X (Twitter)、Mastodon
其他	SMS、Web 界面

你可以在任何平台上给 OpenClaw 发消息，它像一个"无处不在的 AI 管家"。

5.2 高权限系统操作

OpenClaw 不是沙箱化的编码工具——它拥有真实操作系统的访问权限：

执行任意 Shell 命令
读写文件系统
浏览网页、调用 API
发送邮件、回复消息
管理日程和提醒

5.3 ClawHub 技能市场

社区贡献的 5,700+ 插件模块，提供各类扩展能力：

代码开发技能
数据分析技能
内容创作技能
自动化工作流
监控和通知

⚠️ 安全风险： 在审计的 2,857 个技能中，发现 341 个包含恶意代码（键盘记录器、凭据窃取器等），总共已识别 800+ 恶意技能。使用 ClawHub 技能前务必审查来源。

5.4 Claw Orchestrator（多引擎编码编排）

关联项目 Claw Orchestrator 将多个编码 CLI 封装为统一运行时：

Claw Orchestrator
  ├── Claude Code
  ├── OpenAI Codex
  ├── Gemini CLI
  ├── Cursor Agent
  └── OpenCode

功能包括：

持久会话：跨编码 Agent 的会话保持
多 Agent 委员会：独立 Git Worktree + 共识投票
AutoLoop：Planner → Coder → Reviewer 自主迭代循环
Ultraapp：5 个问题访谈即可生成完整部署的 Web 应用
原生支持 OpenClaw 插件和 MCP 协议
最新版本：v4.4.0（2026 年 6 月 18 日）

六、实操 Demo

场景：用 OpenClaw 做个人助理

# 第一步：启动 OpenClaw
cd openclaw
node index.js start

# 第二步：通过 Telegram 发消息给 Agent
# （在 Telegram 中）
用户：帮我看看今天有哪些未读邮件，重要的帮我摘要一下
Claw：正在检查 Gmail... 共 12 封未读，3 封重要：
      1. Boss: 今天下午 3 点项目评审会议
      2. HR: 薪资调整确认
      3. DevOps: 生产环境 CPU 告警

用户：帮我回复 DevOps，说我在看了
Claw：已回复 DevOps。

用户：另外在 ~/projects/myapp 里跑一下 npm test，把结果告诉我
Claw：正在执行 npm test...
      测试结果：42 passed, 1 failed (UserService.deleteTest)
      失败原因：MongoDB 连接超时
      建议：检查 MongoDB 是否在运行

场景：后台自动化任务

# 配置定时任务（Cron 触发）
# 每天早上 9 点发送日报
# 每小时检查一次服务器健康状态
# 有异常自动发消息通知

七、适用场景

✅ 最适合的场景

场景	原因
个人 AI 管家	跨消息平台统一管理，回复消息、处理邮件、管理日程
自动化运维	后台常驻，定时巡检、异常告警
多端触达	在任何消息平台上下发任务，不用登录终端
具备技术能力的个人用户	能正确配置安全策略，审查技能来源
多编码引擎编排	配合 Claw Orchestrator 统一调度多个编码 CLI

⚠️ 不适合/需极度谨慎的场景

场景	原因
新手用户	安全配置复杂，误配风险极高
企业生产环境	安全风险大，缺乏企业级治理和审计
强合规场景	Root 权限 + 多通道接入，合规审计困难
非技术用户	需要理解系统权限、网络安全等概念

八、安全风险（重要）

OpenClaw 的强大伴随着巨大风险，这是调研和使用前必须正视的：

风险	详情
CVE-2026-25253	CVSS 8.8（高危）；2026.1.29 之前的版本存在 WebSocket 注入远程代码执行漏洞
暴露实例	全球 135,000+ 个实例暴露在公网，其中约 15,000 个可被远程利用
默认配置不安全	默认绑定 `0.0.0.0`，无认证机制
恶意技能	ClawHub 中已发现 800+ 恶意技能（含键盘记录器、凭据窃取器）
Moltbook 数据泄露	150 万 API Token 和 3.5 万邮箱地址从 AI 社交网络泄露
Root 权限需求	Agent 需要邮箱凭据、API Key、浏览器 Cookie、文件系统和终端权限
零点击攻击	攻击者可通过诱导用户访问恶意网页来劫持实例

安全加固建议

# 1. 网关绑定到本地
gateway:
  host: 127.0.0.1    # 不要用 0.0.0.0
  port: 18789

# 2. 启用认证
auth:
  enabled: true
  token: ${STRONG_RANDOM_TOKEN}

# 3. 最小化权限
permissions:
  filesystem: read_write_home_only   # 只访问 Home 目录
  network: whitelist                 # 白名单模式
  shell: sandbox                     # 沙箱模式（如支持）

九、中国市场影响

OpenClaw 在中国引发了巨大反响：

事件	详情
科技巨头跟进	阿里、腾讯、字节跳动、百度、美团、京东全部部署或推出兼容服务
字节跳动	推出 ArkClaw（云端 SaaS 版 OpenClaw）
腾讯	发布 WorkBuddy 和 QClaw
上门安装服务	中国市场出现上门安装服务，收费 ¥500；硅谷收费 $1,000
中国模型热潮	MiniMax M2.5、Kimi K2.5、GLM-5 在 OpenRouter 上 Token 消耗量冲到全球前列，主要由 OpenClaw 用户驱动
工信部警告	中国工信部（MIIT）发布关于 OpenClaw 配置不当导致灾难性安全漏洞的警告

十、优势与局限总结

优势

优势	说明
极高灵活性	50+ 消息通道，跨平台统一体验
社区巨大	285,000+ Stars，5,700+ 技能，开源历史之最
真正的 Agent 化	不只是聊天，能实际操作系统、执行任务
多引擎编排	Claw Orchestrator 统一调度多个编码 CLI
长期记忆	SOUL.md + MEMORY.md 文件化持久化

局限

局限	说明
安全风险极高	高危漏洞、暴露实例、恶意技能，误配后果严重
不适合非技术用户	安全配置、权限管理需要专业知识
缺乏企业治理	无内置的团队权限、审计、合规功能
Root 权限需求	给 Agent 完整系统权限本质上是信任问题
与编码工具定位不同	主要是个人 Agent 框架，不是专门的编码工具

一句话总结

OpenClaw 代表了 2025–2026 年从对话式 AI 到自主 Agent AI 的范式转变——AI 不再只是聊天，而是能真正替你操作系统、回复消息、执行任务。它在开发者中引发了狂热，但也带来了前所未有的安全挑战。它解决的是"AI 能不能像人一样操作电脑"，但安全治理是它的阿喀琉斯之踵。

MCP技术社区

欢迎加入 MCP 技术社区！与志同道合者携手前行，一同解锁 MCP 技术的无限可能！

更多推荐

Java AI 框架技能系统设计：配置驱动的动态工具编排

大多数 AI Agent 框架把"工具"定义为代码中的函数，需要修改代码、重新编译才能增减工具。这在生产环境中不现实：技能（Skill）系统的本质是：把工具的组织、加载、编排从代码中剥离到配置层。

MCP技术社区

AI Agent 工具调用中间件：Go 实现截断、超时与熔断

中间件解决的问题适用场景性能开销Truncate输出过大撑爆上下文文件读取、数据库查询、API 调用低（仅字符串操作）Timeout工具卡死不返回网络调用、慢查询、外部 API低（一个 goroutine + channel）连续失败雪崩外部依赖不可靠时极低（原子操作 + 锁）Metrics无感知，问题发现滞后所有工具低（日志 I/O 开销）

MCP技术社区

Go 语言构建生产级 MCP Server：资源管理与并发控制

/ Tool 代表一个 MCP 工具// ToolHandler 是工具的执行函数 —— 任何工具都实现此签名// CallToolResult 工具调用返回Data string `json:"data,omitempty"` // base64 编码的二进制数据// Resource 代表 MCP 资源（文件、数据库记录等）