Czym jest OpenClaw? Przewodnik po otwartoźródłowym asystencie AI

Większość narzędzi AI spędza czas na odpowiadaniu na pytania. OpenClaw powstał, żeby wykonywać działania. Ta różnica sprawiła, że w kilka miesięcy po premierze wyprzedził Linuksa na liście wszech czasów z gwiazdkami na GitHubie.

Czym jest w praktyce: samodzielnie hostowany runtime, który łączy modele AI z twoim terminalem, plikami, przeglądarką i komunikatorami. Wyślij mu wiadomość na WhatsAppie, a on może przeszukać dysk, uruchomić skrypt powłoki, sprawdzić stronę WWW i odpisać w tym samym wątku. Chatbot tego nie robi.

Brzmi prościej niż wygląda. OpenClaw wymaga technicznej konfiguracji, jego historia bezpieczeństwa w 2026 roku obejmuje poważne incydenty, a publiczny rejestr umiejętności został zaatakowany skoordynowaną kampanią malware. Warto to wiedzieć na starcie.

Czym jest OpenClaw?

OpenClaw jest darmowy, open source (licencja MIT) i zaprojektowany do działania na twoim własnym sprzęcie. Stworzył go Peter Steinberger, austriacki deweloper znany z PSPDFKit, i udostępnił w listopadzie 2025 roku jako Clawdbot. Anthropic przesłał skargę dotyczącą znaku towarowego, więc 27 stycznia 2026 r. zmieniono nazwę na Moltbot, a trzy dni później na OpenClaw, bo jak ujął to Steinberger: „Moltbot nigdy nie brzmiał do końca naturalnie”. Maskotka homar, Molty, przetrwała wszystkie zmiany nazwy.

OpenClaw łączy modele z lokalnymi narzędziami. Ilustracja: autor.

Rzecz, która często myli na początku: OpenClaw nie jest modelem AI. Łączy się z osobno skonfigurowanym dostawcą, w chmurze lub lokalnie, i to model wykonuje rozumowanie, a OpenClaw zajmuje się trasowaniem, pamięcią i uruchamianiem narzędzi.

Rdzeniem jest usługa Node.js zwana Gateway. Działa w tle na porcie 18789, trasuje wiadomości między twoimi aplikacjami czatu a modelem, uruchamia wywołania narzędzi i przechowuje twoje klucze API, aby podłączone aplikacje nie miały do nich bezpośredniego dostępu.

To wszystko sprawia, że jest zupełnie inny niż chatbot. OpenClaw potrafi uruchamiać komendy powłoki, czytać i zapisywać pliki, sterować przeglądarką oraz wykonywać zadania według harmonogramu, gdy nie patrzysz.

Dlaczego OpenClaw stał się popularny

OpenClaw urósł z 9 000 gwiazdek na GitHubie pierwszego dnia do ponad 195 000 w 66 dni, podobno 18 razy szybciej niż Kubernetes.

Deweloperzy od dawna tego chcieli: asystenta, który kończy zadania zamiast tylko odpowiadać, działa na twoim sprzęcie i łączy się z aplikacjami.

Do kwietnia 2026 r. projekt przekroczył 346 000 gwiazdek. Steinberger ogłosił 15 lutego 2026 r., że dołącza do OpenAI, a projekt przeszedł w kierunku struktury fundacyjnej z wsparciem OpenAI. Pozostał na licencji MIT i w rękach społeczności, nie został przejęty w tradycyjnym sensie.

Opinie są mieszane. Niektórzy lubią sam pomysł. Inni zderzają się z problemami konfiguracji, niezawodności i kosztów. Złożona automatyzacja częściej rozczarowuje niż dowozi, a koszty tokenów zaskakują. Do tego konfiguracja nie jest przyjazna dla początkujących.

Jak działa OpenClaw: Gateway, narzędzia i pętla agenta

Wszystko przechodzi przez Gateway i to pojedyncze miejsce kontroli odróżnia OpenClaw od zwykłej nakładki na model.

Gdy wysyłasz wiadomość, Gateway odbiera ją z wybranego kanału, dołącza kontekst z plików pamięci agenta i załadowanych umiejętności, a następnie przekazuje paczkę do skonfigurowanego modelu AI. Jeśli model chce wykonać działanie (uruchomić komendę, odwiedzić stronę, przeczytać plik), sygnalizuje zamiar z powrotem do Gateway. Gateway uruchamia akcję na systemie hosta lub w piaskownicy, jeśli ją skonfigurowałeś, i zwraca wynik. Może połączyć kilka kroków, zanim wygeneruje finalną odpowiedź.

Model nigdy nie rozmawia bezpośrednio z twoim systemem plików ani terminalem.

Wszystkie działania przechodzą przez Gateway. Ilustracja: autor.

Pamięć i harmonogram

OpenClaw przechowuje pamięć w zwykłych plikach Markdown w przestrzeni roboczej agenta (~/.openclaw/workspace). Główny plik, MEMORY.md, zawiera trwałe fakty i preferencje ładowane na początku każdej sesji. SOUL.md definiuje osobowość i ton. AGENTS.md przechowuje reguły zachowania. Ponieważ model czyta je wszystkie na starcie sesji, wprowadzone edycje przetrwają restart.

Harmonogram działa dwutorowo. Heartbeat to okresowe odświeżenia w głównej sesji, domyślnie co 30 minut u większości dostawców. Lista kontrolna w HEARTBEAT.md mówi agentowi, co sprawdzić za każdym razem. Zadania crona uruchamiają się o konkretnych porach w izolowanych sesjach, co jest pożądane, gdy liczy się timing, jak przy codziennym raporcie. Oba zużywają tokeny przy każdym wykonaniu, więc (pro tip) zadania bez końca naprawdę powinny mieć jasny warunek zatrzymania.

Obsługiwane modele i kanały

OpenClaw nie jest związany z jednym dostawcą modeli. Działa z Anthropic, OpenAI, Google, AWS Bedrock oraz lokalnymi serwerami przez Ollama lub LM Studio. Lokalne modele potrzebują co najmniej 64 000 tokenów w oknie kontekstu ze względu na ilość kontekstu wstrzykiwanego przez OpenClaw na starcie sesji. Po stronie kanałów obsługuje WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, iMessage, Matrix, Microsoft Teams i więcej.

Zastosowania OpenClaw: co faktycznie potrafi

Przydatność zależy od tego, jak precyzyjnie zdefiniujesz zadanie. Szerokie prośby dryfują. Wąskie, powtarzalne zadania z jasnymi danymi wejściowymi zwykle działają.

• Produktywność osobista: Najpewniejszy raportowany przypadek to poranny briefing: zadanie uruchamiane w rytmie heartbeatu, które pobiera ostatnie e-maile, wydarzenia z kalendarza i newsy, a potem wysyła podsumowanie na telefon.
• Przepływy pracy dewelopera: OpenClaw potrafi inspektować repozytoria, uruchamiać skrypty buildu, sprawdzać logi i zarządzać pull requestami przez GitHub CLI lub serwer MCP. Używaj tokenów o zasięgu repozytorium z datami wygaśnięcia. Szeroki dostęp do powłoki jest użyteczny, ale też najbardziej prawdopodobnym źródłem przypadkowego usunięcia pliku lub wycieku poświadczeń z pliku .env, który akurat znalazł się w zasięgu.
• Automatyzacja WWW: Agent może przeglądać strony, wyciągać dane i wchodzić w interakcje z interfejsami przeglądarki przez Chrome DevTools Protocol. Czego nie potrafi: odróżnić prawdziwej strony od takiej z wrogimi instrukcjami osadzonymi w HTML. Gdy dasz agentowi przeglądarkę, treści zewnętrzne stają się powierzchnią ataku. Do dokumentowanego przypadku dokładnie tego wrócę w sekcji o bezpieczeństwie.
• Zarządzanie plikami i dokumentami: Dobrze działa, gdy katalog główny przestrzeni roboczej to wydzielony folder bez wrażliwych treści. Tryb awarii jest przewidywalny: dasz mu dostęp do katalogu domowego, to w końcu przeczyta coś, czego nie zamierzałeś udostępnić.
• Automatyzacja według harmonogramu: Wiarygodna w przypadku cyklicznych, dobrze zdefiniowanych zadań. Udokumentowany przypadek osiągnął kilka tysięcy dolarów kosztów API w jeden dzień przez otwarte zadanie bez limitów tokenów. Ustaw limity, zanim ustawisz harmonogram.

Umiejętności OpenClaw i ClawHub: co wiedzieć i czego unikać

Umiejętności to sposób, w jaki użytkownicy rozszerzają OpenClaw poza wbudowane możliwości. To także kanał, którym projekt oberwał poważnym atakiem na łańcuch dostaw w przestrzeni agentów open source.

Czym jest umiejętność

Umiejętność to folder zawierający plik SKILL.md z frontmatterem YAML i treścią Markdown. Frontmatter deklaruje nazwę umiejętności, opis, wymagane binaria i zmienne środowiskowe. Poniżej treść w Markdown to język naturalny: instrukcje, które agent wykonuje, gdy uzna, że umiejętność pasuje do bieżącego zadania.

Opcjonalny folder references/ zawiera dokumentację API, a opcjonalny folder scripts/ — skrypty pomocnicze. Ponieważ umiejętności to tekst, a nie skompilowany kod, możesz je przeczytać przed uruchomieniem czegokolwiek.

Każda umiejętność ma ten dwuczęściowy format. Ilustracja: autor.

Umiejętności stosują otwarty standard AgentSkills, więc format działa też z Claude Code, Cursor i podobnymi narzędziami. W praktyce większość umiejętności na ClawHub jest pisana konkretnie pod model gateway OpenClaw i polega na dostępie do narzędzi, których inne środowiska nie udostępniają.

ClawHub, publiczny rejestr pod clawhub.ai, używa wektorowego wyszukiwania semantycznego, więc możesz znajdować umiejętności zapytaniami w języku naturalnym. Publikacja wymaga konta GitHub mającego co najmniej tydzień. Rejestr urósł do ponad 44 000 umiejętności na początku 2026 r.

Rejestr umiejętności ClawHub, uporządkowany według kategorii. Ilustracja: autor.

Atak na łańcuch dostaw ClawHavoc

1 lutego 2026 r. badacz Koi Security, Oren Yomtov, przeaudytował wszystkie 2 857 umiejętności na ClawHub i znalazł 341 złośliwych, z czego 335 pochodziło z jednej skoordynowanej kampanii nazwanej ClawHavoc. Wykorzystywała socjotechnikę: fałszywą sekcję „Prerequisites”, która kazała użytkownikom wklejać komendy powłoki. Na macOS ładunkiem był Atomic macOS Stealer, kradnący hasła przeglądarki, wpisy pęku kluczy, portfele krypto, klucze SSH i dane sesji Telegrama.

Skala rosła. Do połowy lutego rejestr przekroczył 10 700 umiejętności, a późniejsze analizy podniosły liczbę złośliwych do ponad 1 000 na wielu kontach. Szerszy audyt 31 000+ umiejętności oznaczył ok. 7,6% jako ryzykowne, a skan Snyk wykrył, że 36% zawiera wykrywalne wstrzyknięcia promptów.

ClawHub uruchomił teraz automatyczne skany i ma integrację z VirusTotal, co dużo wyłapuje, ale prompt injection w tekście instrukcji nadal może się prześlizgnąć. Przeczytaj SKILL.md przed instalacją czegokolwiek, a jeśli każe ci wklejać komendy lub instalować binaria poza normalnym procesem — pomiń. Nie ładuj też od razu wielu zewnętrznych umiejętności. Zacznij od minimum i trzymaj nieznane umiejętności z dala od wrażliwych plików i kont.

Jak umiejętności OpenClaw wypadają na tle Claude Skills

Oba formaty używają tej samej struktury SKILL.md. Różnica dotyczy miejsca wykonania. Claude Skills działają w zarządzanej infrastrukturze Anthropic. Umiejętności OpenClaw działają na twojej maszynie, w pełnym zaufanym obszarze agenta, z dostępem do lokalnych plików, komend powłoki i sesji przeglądarki. Ta różnica w promieniu rażenia sprawia, że ryzyko łańcucha dostaw jest tu większe niż w środowisku hostowanym.

Jak skonfigurować OpenClaw

Poniższe kroki obejmują przebieg na wysokim poziomie. Jeśli chcesz zrzuty ekranu i komendy krok po kroku, nasz tutorial OpenClaw prowadzi przez cały proces od zera.

Zanim zainstalujesz

Potrzebujesz Node.js 24 (Node 22.19 też działa) oraz klucza API od obsługiwanego dostawcy modeli lub lokalnego serwera modelu spełniającego wspomniane minimum 64 000 tokenów w kontekście. Na Windows zalecana ścieżka to WSL2 z Ubuntu; natywny Windows ma ograniczenia wokół demona gatewaya. Wymagania sprzętowe są niewielkie przy podstawowym użyciu, choć lokalne modele to inna historia.

Najpierw decyzja: gdzie to będzie działać? Lokalna maszyna jest OK do eksperymentów, ale do czegokolwiek always-on użyj dedykowanego VPS-a albo osobnej maszyny zamiast głównej stacji roboczej.

Przebieg konfiguracji na wysokim poziomie

curl -fsSL https://openclaw.ai/install.sh | bash

Następnie uruchom kreatora onboardingu:

openclaw onboard --install-daemon

Przejdziesz przez wybór dostawcy modelu, konfigurację klucza API i ustawienia Gateway. Po zakończeniu potwierdź, że Gateway działa:

openclaw gateway status

Potem otwórz dashboard:

openclaw dashboard

Wyślij wiadomość testową z mało ryzykownego kanału, zanim podłączysz cokolwiek wrażliwego.

Panel Control UI na porcie 18789. Ilustracja: autor.

Bezpieczne domyślne ustawienia od razu

Dwa polecenia zapory mają większe znaczenie niż wszystkie inne. Uruchom je zanim zrobisz cokolwiek:

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

Pierwsze wiąże Gateway tylko do loopback. Drugie blokuje port z zewnątrz. Ponad 220 000 instancji OpenClaw było publicznie dostępnych z internetu w szczycie, głównie dlatego, że użytkownicy pominęli ten krok, idąc za starszymi tutorialami. Używaj dedykowanego profilu przeglądarki do automatyzacji przeglądarki. Uruchamiaj openclaw security audit --deep po instalacji każdej umiejętności. Używaj tokenów uwierzytelniających. Trzymaj wrażliwe pliki poza katalogiem głównym przestrzeni roboczej.

Działanie lokalne nie znaczy bezpieczne. Lokalna instancja z dostępem do powłoki, plików i komunikatorów to realna powierzchnia ataku niezależnie od tego, gdzie działa model.

Ryzyka bezpieczeństwa OpenClaw

Te ryzyka są specyficzne dla OpenClaw i kilka z poniższych incydentów wykorzystano przeciwko realnym użytkownikom.

Rekord CVE

CVE-2026-25253 (CVSS 8,8) to ta luka, którą aktywnie wykorzystywano. Przed wersją 2026.1.29 złośliwy link mógł po cichu przekierować połączenie WebSocket interfejsu sterowania na serwer kontrolowany przez atakującego. Token uwierzytelniający ofiary i klucze urządzenia były wysyłane automatycznie podczas handshake, więc jeden klik w spreparowany link wystarczał. Napastnik mający te dane miał pełną kontrolę nad Gateway i mógł uruchamiać dowolne komendy powłoki. Łatka 2026.1.29 dodała monit potwierdzający i zamknęła lukę.

CVE-2026-32922 (CVSS 9,9) ujawniono 29 marca 2026 r. Dzwoniący z minimalnym zakresem tokenu mógł eskalować do pełnego dostępu administratora i osiągnąć zdalne wykonanie kodu na wszystkich podłączonych węzłach. Załatano w 2026.3.11. Jeśli twoja instancja jest starsza niż 2026.3.11, zaktualizuj ją teraz. Od premiery zgłoszono ponad 60 alertów bezpieczeństwa wobec projektu.

Wystawienie do internetu i prompt injection

Jak wspomniano, w szczycie ponad 220 000 instancji było publicznie wystawionych, z czego ponad 17 500 podatnych na klasę ataku CVE-2026-25253. Obecny domyślny bind to loopback, ale starsze konfiguracje i poradniki społeczności nie zawsze to odzwierciedlają.

Prompt injection to subtelniejszy problem. OpenClaw czyta strony WWW, e-maile, dokumenty i logi w toku pracy. Jeśli którykolwiek z nich zawiera złośliwe instrukcje, agent może je wykonać. Studium przypadku Promptfoo z marca 2026 pokazało agenta sprawdzającego, do czego ma dostęp, czytającego lokalne pliki, zapisującego pliki i wysyłającego nieautoryzowane wiadomości — wszystko wyzwolone przez odwiedzenie jednej strony. Udało się, bo przeglądanie, dostęp do plików i wiadomości wychodzące dzieliły jedną granicę zaufania bez separacji.

Gorzej, instrukcje złośliwego pochodzenia zaszczepione w SOUL.md lub AGENTS.md przetrwają sesje i restarty. Agent niesie je dalej bez zewnętrznego wyzwalacza.

Jak ograniczyć ryzyko

W większości to te same bezpieczne domyślne: regularnie aktualizuj, trzymaj Gateway na localhost z zablokowanym portem, używaj tokenów uwierzytelnienia, trzymaj wrażliwe pliki poza przestrzenią roboczą i audytuj po zmianach. Używaj sandboxingu Dockera do zadań dotykających zewnętrznych danych, stosuj precyzyjne tokeny API z datami wygaśnięcia i traktuj SOUL.md oraz AGENTS.md jak pliki konfiguracyjne, które monitorujesz, a nie tekst, który ignorujesz.

Wynik audytu po instalacji umiejętności. Ilustracja: autor.

OpenClaw nie jest ryzykowny dlatego, że jest open source. Jest ryzykowny dlatego, że może wykonywać uprzywilejowane działania, jeśli tak go skonfigurujesz.

Czy OpenClaw jest tego wart? Uczciwa ocena

Ta część to moja własna ocena, nie stwierdzenie faktu. Agenci, którzy wykonują działania zamiast tylko odpowiadać, to inna kategoria niż chatboty i OpenClaw jest tego wyraźnym przykładem.

Czy jest tego wart, zależy prawie wyłącznie od użytkownika. Deweloper obyty z narzędziami terminalowymi, logami, monitoringiem API i sandboxingiem potrafi wycisnąć z niego wartość w wąskich przepływach. Jak pisałem, konfiguracje, które się bronią, są wąskie. Te, które zawodzą, to te, gdzie ktoś podłącza wszystkie narzędzia, instaluje tuzin umiejętności bez czytania i zostawia heartbeaty na otwartych promptach, licząc na dobre zachowanie.

Moja ocena: złożona automatyzacja może kosztować więcej utrzymania niż oszczędza czasu, a najbardziej niezawodnym przypadkiem użycia bywa codzienne podsumowanie newsów. To skromny zwrot za wysiłek konfiguracji. Właściwe ujęcie to infrastruktura, a nie asystent. Traktuj to tak, zaczynaj od małego i trzymaj twarde limity. Jeśli chcesz sprytnej aplikacji konsumenckiej, to jeszcze nie to.

OpenClaw vs. ChatGPT, Claude, Cursor i Zapier

ChatGPT i Claude to bezstanowe interfejsy czatu: brak trwałych zadań według harmonogramu, brak domyślnego dostępu do lokalnych plików.

Claude Code i Cursor są skupione na tworzeniu oprogramowania w repozytorium; są lepsze w kodzie niż OpenClaw, ale tylko tym się zajmują. Claude Code dodał też w kwietniu 2026 funkcję harmonogramu w chmurze o nazwie Routines, która pokrywa część tego, co robi HEARTBEAT w OpenClaw, bez narzutu infrastruktury.

Zapier i n8n to deterministyczne narzędzia do przepływów, gdzie każdy krok jest z góry zdefiniowany, co czyni je bardziej audytowalnymi, ale gorzej radzącymi sobie z nieostrymi prośbami niż agent interpretujący język naturalny.

Jedno ujęcie z społeczności z 2026 roku jest tu przydatne: OpenClaw jako warstwa rozumowania dla niejednoznacznych zadań, n8n lub Zapier jako warstwa wykonania dla dużego wolumenu przewidywalnych zadań, połączone webhookami. Te narzędzia nie zawsze konkurują.

Dla kogo jest OpenClaw

Najlepiej pasuje do deweloperów automatyzujących powtarzalne techniczne przepływy i badaczy studiujących agentów używających narzędzi. Użytkownicy homelabów, którzy już zarządzają usługami self-hosted, odnajdą znajomą konfigurację.

Kto powinien unikać OpenClaw?

Każdy, kto nie czuje się pewnie z poleceniami terminala, uprawnieniami plików i zarządzaniem kluczami API, powinien poczekać. Konfiguracja nie jest przyjazna początkującym.

Także każdy, kto pracuje z wrażliwymi plikami bez odseparowanego środowiska, powinien wstrzymać się. Zespoły z wymaganiami compliance mogą potrzebować zarządzanych alternatyw, jak AWS Bedrock Agents. A jeśli nie zamierzasz przeglądać kodu umiejętności społeczności przed instalacją, lepiej nie uruchamiaj umiejętności z ClawHub na maszynie z prawdziwymi poświadczeniami.

Wnioski

OpenClaw jest ważny, bo pokazuje, jak wyglądają osobiste agenty AI, gdy mogą coś zrobić: to nie „mądrzejsze chatboty”, lecz systemy z dostępem do twoich plików, powłoki, przeglądarki i komunikatorów.

Z tych samych powodów ryzyka są realne. Ten sam dostęp, który umożliwia poranny briefing czy workflow przeglądu PR, ClawHavoc zamienił w kradzież poświadczeń.

Zacznij od jednego zadania. Uruchom je w izolowanym środowisku. Ustaw limity. Jak wspomniano, przeglądaj umiejętności przed instalacją. OpenClaw nie jest produktem typu „wdruż i zapomnij”. To infrastruktura i traktowanie go jak infrastruktury od początku chroni eksperyment przed przerodzeniem się w incydent.

Powiązane materiały: nasz przewodnik po projektach OpenClaw i przewodnik po umiejętnościach ClawHub opisują, co ludzie budują. Kurs AI-Assisted Coding for Developers obejmuje szersze umiejętności agentów.