Ce este OpenClaw? Un ghid pentru asistentul AI open-source

Majoritatea uneltelor de AI își petrec timpul răspunzând la întrebări. OpenClaw a fost construit pentru a întreprinde acțiuni. Această diferență l-a propulsat peste Linux în topul all-time al stelelor de pe GitHub la doar câteva luni de la lansare.

Ce este, de fapt: un runtime self-hosted care conectează modelele de AI la terminalul tău, fișiere, browser și aplicații de mesagerie. Trimite-i un mesaj pe WhatsApp și îți poate căuta pe disk, rula un script shell, verifica o pagină web și răspunde în același thread. Un chatbot nu face niciuna dintre acestea.

Sună mai simplu în pitch decât în realitate. OpenClaw cere configurare tehnică, istoricul lui de securitate în 2026 include incidente serioase, iar registrul public de abilități a fost lovit de o campanie coordonată de malware. Merită să știi toate acestea din start.

Ce este OpenClaw?

OpenClaw este gratuit, open-source (licențiat MIT) și conceput să ruleze pe hardware-ul tău. A fost creat de Peter Steinberger, un dezvoltator austriac cunoscut pentru PSPDFKit, și a fost lansat în noiembrie 2025 ca Clawdbot. Anthropic a depus o plângere privind marca asupra numelui, a devenit Moltbot pe 27 ianuarie 2026, apoi OpenClaw trei zile mai târziu pentru că, în cuvintele lui Steinberger, „Moltbot nu prea curgea pe limbă”. Mascota, homarul Molty, a supraviețuit tuturor schimbărilor de nume.

OpenClaw conectează modelele la unelte locale. Imagine de autor.

Un lucru care îi încurcă devreme pe mulți: OpenClaw nu este un model de AI. Se conectează la un furnizor configurat separat, cloud sau local, iar acel model face raționarea în timp ce OpenClaw gestionează rutarea, memoria și execuția uneltelor.

Nucleul este un serviciu Node.js numit Gateway. Rulează în fundal pe portul 18789, rutează mesajele între aplicațiile tale de chat și model, rulează orice apeluri de unelte și păstrează cheile tale API astfel încât aplicațiile conectate să nu le atingă direct.

Toate acestea îl fac foarte diferit de un chatbot. OpenClaw poate rula comenzi shell, citi și scrie fișiere, controla un browser și rula taskuri programate în timp ce tu nu te uiți.

De ce a devenit OpenClaw popular

OpenClaw a trecut de la 9.000 de stele pe GitHub în prima zi la peste 195.000 în 66 de zile, reportedly de 18 ori mai rapid decât Kubernetes.

Dezvoltatorii își doreau asta de ceva vreme: un asistent care finalizează taskuri, nu doar răspunde, rulează pe hardware-ul tău și se conectează la aplicații.

Până în aprilie 2026, proiectul depășise 346.000 de stele. Steinberger a anunțat că se alătură OpenAI pe 15 februarie 2026, iar proiectul a avansat spre o structură de fundație cu sprijin OpenAI. A rămas sub licență MIT și deținut de comunitate, nu achiziționat în sensul tradițional.

Opiniile sunt împărțite. Unii utilizatori apreciază ideea. Alții se lovesc de probleme de configurare, fiabilitate și costuri. Automatizările complexe dezamăgesc mai des decât livrează, iar costurile pe token îi iau prin surprindere pe mulți. De asemenea, setupul nu este prietenos cu începătorii.

Cum funcționează OpenClaw: Gateway-ul, uneltele și bucla agentului

Totul trece prin Gateway, iar acel punct unic de control este ceea ce separă OpenClaw de un simplu wrapper de model.

Când trimiți un mesaj, Gateway-ul îl preia din orice canal folosești, atașează context din fișierele de memorie ale agentului și abilitățile încărcate, apoi trimite pachetul către modelul AI configurat. Dacă modelul vrea să ia o acțiune (să ruleze o comandă, să viziteze o pagină, să citească un fișier), semnalează această intenție înapoi Gateway-ului. Gateway-ul rulează acțiunea pe sistemul gazdă sau într-un sandbox dacă ai configurat unul și returnează rezultatul. Poate înlănțui mai mulți pași înainte de a produce un răspuns final.

Modelul nu vorbește niciodată direct cu sistemul tău de fișiere sau cu terminalul.

Toate acțiunile trec prin Gateway. Imagine de autor.

Memorie și programare

OpenClaw stochează memoria în fișiere Markdown simple în workspace-ul agentului (~/.openclaw/workspace). Fișierul principal, MEMORY.md, conține fapte și preferințe persistente încărcate la începutul fiecărei sesiuni. SOUL.md definește personalitatea și tonul. AGENTS.md stochează reguli comportamentale. Pentru că modelul citește toate acestea la pornirea sesiunii, modificările pe care le faci persistă peste restarturi.

Programarea rulează pe două piste. Heartbeat-urile sunt verificări periodice în sesiunea principală, la fiecare 30 de minute implicit pentru majoritatea furnizorilor. O listă HEARTBEAT.md îi spune agentului ce să revizuiască de fiecare dată. Joburile cron rulează la ore exacte în sesiuni izolate, ceea ce îți dorești când timpul chiar contează, cum ar fi un raport zilnic. Ambele consumă tokenuri la fiecare execuție, așa că (pro tip) taskurile deschise ar trebui să aibă o condiție de oprire clară.

Modele și canale suportate

OpenClaw nu este legat de un singur furnizor de modele. Funcționează cu Anthropic, OpenAI, Google, AWS Bedrock și servere locale prin Ollama sau LM Studio. Modelele locale au nevoie de cel puțin o fereastră de context de 64.000 de tokeni din cauza cantității de context pe care OpenClaw o injectează la startul sesiunii. Pe partea de canale, suportă WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, iMessage, Matrix, Microsoft Teams și altele.

Cazuri de utilizare OpenClaw: ce poate face, de fapt

Cât de util este depinde de cât de strict definești taskul. Cererile largi deviază. Taskurile înguste, repetabile, cu inputuri clare tind să funcționeze.

• Productivitate personală: Cel mai raportat caz de utilizare este un briefing de dimineață: un task programat prin heartbeat care adună emailuri recente, evenimente din calendar și știri, apoi trimite un rezumat pe telefonul tău.
• Fluxuri pentru dezvoltatori: OpenClaw poate inspecta depozite, rula scripturi de build, verifica loguri și gestiona pull requesturi prin GitHub CLI sau un server MCP. Folosește tokenuri cu scop limitat și date de expirare. Accesul larg la shell este util și, totodată, cea mai probabilă sursă a unei ștergeri accidentale de fișiere sau a unei scurgeri de credențiale dintr-un fișier .env care s-a nimerit în scope.
• Automatizare web: Agentul poate naviga pagini, extrage date și interacționa cu interfețe de browser prin Chrome DevTools Protocol. Ce nu poate face este să distingă între o pagină reală și una cu instrucțiuni malițioase încorporate în HTML. Odată ce dai agentului un browser, conținutul extern devine suprafață de atac. Revin cu un caz documentat exact pe tema asta în secțiunea de securitate.
• Gestionarea fișierelor și documentelor: Funcționează bine când rădăcina workspace‑ului este un folder dedicat, fără nimic sensibil în el. Modul de eșec este previzibil: dacă îi dai acces la directorul home, în cele din urmă va citi ceva ce nu voiai să partajezi.
• Automatizare programată: Fiabilă pentru taskuri recurente, bine definite. Un caz documentat a ajuns la câteva mii de dolari în costuri API într-o singură zi din cauza unui task deschis rulat fără limite pe tokeni. Setează limite înainte de a seta programarea.

Abilitățile OpenClaw și ClawHub: ce să știi și ce să eviți

Abilitățile sunt modul în care utilizatorii extind OpenClaw dincolo de capabilitățile încorporate. Sunt și modul prin care proiectul a fost lovit de un atac serios pe lanțul de aprovizionare în spațiul agenților open-source.

Ce este o abilitate

O abilitate este un folder care conține un fișier SKILL.md cu frontmatter YAML și corp Markdown. Frontmatter-ul declară numele abilității, descrierea, binarele necesare și variabilele de mediu. Mai jos, corpul în Markdown este limbaj natural: instrucțiuni pe care agentul le urmează când decide că abilitatea se potrivește taskului curent.

Un folder opțional references/ conține documentație API, iar un folder opțional scripts/ conține scripturi ajutătoare. Pentru că abilitățile sunt text, nu cod compilat, le poți citi înainte de a rula ceva.

Fiecare abilitate urmează acest format în două părți. Imagine de autor.

Abilitățile urmează standardul deschis AgentSkills, deci formatul funcționează și cu Claude Code, Cursor și unelte similare. În practică, majoritatea abilităților de pe ClawHub sunt scrise special pentru modelul gateway al OpenClaw și se bazează pe accesul la unelte pe care celelalte medii nu îl expun.

ClawHub, registrul public de la clawhub.ai, folosește căutare semantică pe vectori, așa că poți găsi abilități cu interogări în limbaj natural. Publicarea cere un cont GitHub cu vechime de cel puțin o săptămână. Registrul a ajuns la peste 44.000 de abilități la începutul lui 2026.

Registrul de abilități ClawHub, organizat pe categorii. Imagine de autor.

Atacul pe lanțul de aprovizionare ClawHavoc

Pe 1 februarie 2026, cercetătorul Koi Security Oren Yomtov a auditat toate cele 2.857 de abilități de pe ClawHub și a găsit 341 malițioase, 335 dintre ele provenind dintr-o singură campanie coordonată numită ClawHavoc. A folosit inginerie socială: o secțiune falsă „Prerequisites” le spunea utilizatorilor să lipească comenzi shell. Pe macOS payloadul era Atomic macOS Stealer, care colectează parole de browser, intrări din keychain, portofele crypto, chei SSH și date de sesiune Telegram.

A continuat să crească. Până la mijlocul lui februarie, registrul a depășit 10.700 de abilități, iar analize ulterioare au plasat totalul malițios la peste 1.000, pe mai multe conturi. Un audit mai larg al a peste 31.000 de abilități a marcat aproximativ 7,6% ca riscante, iar o scanare Snyk a găsit că 36% conțineau prompt injection detectabil.

ClawHub rulează acum scanări automate și are o integrare VirusTotal, care prinde multe, dar prompt injection în textul instrucțiunilor poate totuși să treacă. Citește SKILL.md înainte de a instala ceva și, dacă îți spune să lipești comenzi sau să instalezi binare în afara procesului normal, sari peste. Nu încărca o grămadă de abilități third-party din prima zi. Începe cu minimul necesar și ține abilitățile necunoscute departe de fișiere și conturi sensibile.

Cum se compară abilitățile OpenClaw cu Claude Skills

Ambele formate folosesc aceeași structură SKILL.md. Diferența este unde se execută abilitatea. Claude Skills rulează în infrastructura gestionată de Anthropic. Abilitățile OpenClaw rulează pe mașina ta, în interiorul graniței de încredere a agentului, cu acces la fișiere locale, comenzi shell și sesiuni de browser. Acea diferență de „blast radius” este motivul pentru care riscul pe lanțul de aprovizionare contează mai mult aici decât într-un mediu găzduit.

Cum să configurezi OpenClaw

Pașii de mai jos acoperă fluxul la nivel înalt. Dacă vrei capturi de ecran și comenzi pas cu pas, tutorialul nostru OpenClaw te ghidează prin tot procesul de la zero.

Înainte să instalezi

Ai nevoie de Node.js 24 (merge și Node 22.19) și fie de o cheie API de la un furnizor de modele suportat, fie de un server local de modele care respectă minimul de 64.000 de tokeni în fereastra de context, menționat mai devreme. Pe Windows, WSL2 cu Ubuntu este calea recomandată; Windows nativ are limitări legate de daemonul gateway. Nevoile de hardware sunt reduse pentru utilizarea de bază, deși setupurile cu modele locale sunt o altă poveste.

O decizie de luat întâi: unde va rula? O mașină locală e ok pentru experimente, dar pentru orice mereu activ, folosește un VPS dedicat sau o mașină separată, nu stația ta principală de lucru.

Flux de configurare la nivel înalt

curl -fsSL https://openclaw.ai/install.sh | bash

Apoi rulează expertul de onboarding:

openclaw onboard --install-daemon

Acesta te ghidează prin selectarea furnizorului de model, configurarea cheii API și configurarea Gateway-ului. După finalizare, confirmă că Gateway-ul rulează:

openclaw gateway status

Apoi deschide dashboardul:

openclaw dashboard

Trimite un mesaj de test dintr-un canal cu miză redusă înainte de a conecta ceva sensibil.

Interfața de Control la portul 18789. Imagine de autor.

Valori implicite sigure de configurat imediat

Două comenzi de firewall contează mai mult decât toate celelalte. Rulează-le înainte de orice altceva:

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

Prima leagă Gateway-ul doar la loopback. A doua blochează portul extern. Peste 220.000 de instanțe OpenClaw au fost accesibile public pe internet la vârf, majoritatea pentru că utilizatorii au sărit acest pas urmând tutoriale vechi. Folosește un profil dedicat de browser pentru orice automatizare de browser. Rulează openclaw security audit --deep după instalarea oricărei abilități. Folosește tokenuri de autentificare. Ține fișierele sensibile în afara rădăcinii workspace‑ului.

A rula local nu înseamnă a rula în siguranță. O instanță locală cu acces la shell, fișiere și aplicații de mesagerie conectate reprezintă o suprafață de atac reală, indiferent unde rulează modelul.

Riscuri de securitate OpenClaw

Aceste riscuri sunt specifice OpenClaw, iar câteva dintre incidentele de mai jos au fost exploatate împotriva utilizatorilor reali.

Evidența CVE

CVE-2026-25253 (CVSS 8.8) este cea care a fost exploatată activ. Înainte de versiunea 2026.1.29, un link malițios putea redirecționa în tăcere conexiunea WebSocket a interfeței de control către un server controlat de atacator. Tokenul de autentificare al victimei și cheile dispozitivului erau trimise automat în timpul handshake-ului, deci un singur click pe un link creat special era suficient. Un atacator care le deținea avea control total asupra Gateway-ului și putea rula comenzi shell arbitrare. Patchul 2026.1.29 a adăugat un prompt de confirmare pentru a închide breșa.

CVE-2026-32922 (CVSS 9.9) a fost dezvăluit pe 29 martie 2026. Un apelant cu un scope minim al tokenului putea escalada la acces de admin complet și obține execuție de cod la distanță pe toate nodurile conectate. Remediat în 2026.3.11. Dacă instanța ta e mai veche decât 2026.3.11, actualizeaz-o acum. Peste 60 de advisories de securitate au fost depuse împotriva proiectului de la lansare.

Expunere la internet și prompt injection

După cum am menționat, peste 220.000 de instanțe au fost expuse public la vârf, dintre care peste 17.500 vulnerabile la clasa de atac CVE-2026-25253. Implicitul actual se leagă la loopback, dar configurațiile vechi și tutorialele comunității nu reflectă mereu asta.

Prompt injection este problema mai subtilă. OpenClaw citește pagini web, emailuri, documente și loguri ca parte a muncii sale. Dacă oricare dintre acestea conțin instrucțiuni malițioase, agentul le poate urma. Studiul de caz Promptfoo din martie 2026 a arătat un agent care verifica ce poate accesa, citea fișiere locale, scria fișiere și trimitea mesaje neautorizate, totul declanșat de vizitarea unei singure pagini web. A funcționat pentru că browsingul, accesul la fișiere și mesageria outbound împărțeau aceeași graniță de încredere, fără separare.

Mai rău, instrucțiunile plantate din surse malițioase în SOUL.md sau AGENTS.md supraviețuiesc peste sesiuni și restarturi. Agentul le duce mai departe fără niciun declanșator extern.

Cum să reduci riscul

Majoritatea țin de valorile implicite sigure menționate: actualizează regulat, ține Gateway-ul pe localhost cu portul blocat, folosește tokenuri de autentificare, păstrează fișierele sensibile în afara workspace‑ului și auditează după schimbări. Folosește sandboxing cu Docker pentru taskuri care ating input extern, folosește tokenuri de API cu granularitate fină și date de expirare și tratează SOUL.md și AGENTS.md ca fișiere de configurare pe care le monitorizezi, nu text pe care îl ignori.

Outputul auditului după instalarea unei abilități. Imagine de autor.

OpenClaw nu este riscant pentru că este open-source. Este riscant pentru că poate executa acțiuni privilegiate dacă îl configurezi astfel.

Merită OpenClaw? O evaluare onestă

Această parte este propria mea lectură, nu o afirmație factuală. Agenții care iau acțiuni în loc să răspundă doar sunt o categorie diferită de chatboți, iar OpenClaw este un exemplu clar.

Dacă merită depinde aproape în întregime de cine îl folosește. Un dezvoltator confortabil cu uneltele de terminal, loguri, monitorizare API și sandboxing îl poate face util în fluxuri înguste. După cum am acoperit mai devreme, setupurile care rezistă sunt cele înguste. Cele care eșuează sunt acolo unde cineva conectează toate uneltele, instalează o duzină de abilități fără să le citească și lasă heartbeats să ruleze pe prompturi deschise, așteptând comportament corect.

Părerea mea: Automatizările complexe pot costa mai multă mentenanță decât economisesc, iar cel mai fiabil caz poate fi un rezumat zilnic de știri. Este un câștig subțire pentru efortul de setup. Cadrul potrivit este infrastructură, nu asistent. Trateaz-o astfel, începe mic și păstrează limite stricte. Dacă vrei o aplicație smart pentru consumatori, încă nu este asta.

OpenClaw vs. ChatGPT, Claude, Cursor și Zapier

ChatGPT și Claude sunt interfețe de chat fără stare: fără taskuri programate persistente, fără acces la fișiere locale implicit.

Claude Code și Cursor sunt încadrate la dezvoltare software în interiorul unui repository; sunt mai bune la cod decât OpenClaw, dar asta este tot ce fac. Claude Code a adăugat, de asemenea, o funcție de programare găzduită în cloud numită Routines în aprilie 2026, care acoperă o parte din ceea ce face HEARTBEAT în OpenClaw, fără costul de infrastructură.

Zapier și n8n sunt unelte deterministe pentru fluxuri, unde fiecare pas e predefinit, ceea ce le face mai ușor de auditat, dar mai puțin capabile să gestioneze cereri neclare decât un agent care interpretează limbaj natural.

O încadrare utilă din comunitatea 2026: OpenClaw ca strat de raționare pentru taskuri ambigue, n8n sau Zapier ca strat de execuție pentru cele previzibile și de volum mare, conectate prin webhookuri. Nu sunt mereu în competiție.

Cui i se potrivește OpenClaw

Dezvoltatorilor care automatizează fluxuri tehnice recurente și cercetătorilor care studiază agenți care folosesc unelte li se potrivește cel mai clar. Utilizatorii homelab care deja gestionează servicii self-hosted vor găsi setupul familiar.

Cine ar trebui să evite OpenClaw?

Oricine nu este confortabil cu comenzi de terminal, permisiuni de fișiere și managementul cheilor API ar trebui să aștepte. Setupul nu e prietenos cu începătorii.

De asemenea, oricine gestionează fișiere sensibile fără un mediu sandbox ar trebui să amâne. Echipele cu cerințe de conformitate pot avea nevoie de alternative gestionate precum AWS Bedrock Agents. Iar dacă nu ești dispus să inspectezi codul abilităților din comunitate înainte de instalare, cel mai bine este să nu rulezi abilități ClawHub pe o mașină cu credențiale reale pe ea.

Concluzie

OpenClaw contează pentru că arată cum arată agenții AI personali când pot face lucruri: nu chatboți mai deștepți, ci sisteme cu acces la fișierele tale, shellul tău, browserul tău și aplicațiile tale de mesagerie.

Riscurile sunt reale din același motiv. Accesul care face posibil un briefing de dimineață sau un flux de review pentru PR este același acces pe care ClawHavoc l-a transformat în furt de credențiale.

Începe cu un singur task. Rulează-l într-un mediu izolat. Setează limite. După cum am menționat, revizuiește abilitățile înainte să le instalezi. OpenClaw nu este un produs pe care îl implementezi și îl uiți. Este infrastructură, iar tratarea lui ca infrastructură de la început este ceea ce împiedică experimentul să devină incident.

Pentru lecturi conexe, ghidul nostru de proiecte OpenClaw și ghidul de abilități ClawHub acoperă ce construiesc oamenii. Cursul AI-Assisted Coding for Developers acoperă abilități de agent mai largi.