Vad är OpenClaw? En guide till den öppna AI-assistenten

De flesta AI-verktyg lägger tiden på att svara på frågor. OpenClaw byggdes för att utföra åtgärder. Det gapet är det som på bara några månader tog det förbi Linux på GitHubs topplista över stjärnor genom tiderna.

Vad det faktiskt är: en självhostad körmiljö som kopplar AI-modeller till din terminal, dina filer, din webbläsare och dina meddelandeappar. Skicka ett WhatsApp-meddelande och den kan söka på din disk, köra ett shellscript, kontrollera en webbsida och svara i samma tråd. En chatbot gör inget av detta.

Pitchen låter renare än verkligheten. OpenClaw kräver teknisk installation, dess säkerhetsfacit 2026 inkluderar allvarliga incidenter, och dess offentliga färdighetsregister drabbades av en koordinerad malware-kampanj. Sådant är värt att känna till i förväg.

Vad är OpenClaw?

OpenClaw är gratis, öppen källkod (MIT-licens), och designat för att köras på hårdvara du äger. Det skapades av Peter Steinberger, en österrikisk utvecklare känd för PSPDFKit, och lanserades i november 2025 som Clawdbot. Anthropic skickade ett varumärkesklagomål om namnet, och det blev Moltbot den 27 januari 2026, sedan OpenClaw tre dagar senare eftersom, med Steinbergers ord, "Moltbot rullade aldrig riktigt av tungan." Hummermaskoten, Molty, överlevde alla namnbyten.

OpenClaw kopplar modeller till lokala verktyg. Bild av författaren.

En sak som snubblar många tidigt: OpenClaw är inte en AI-modell. Den kopplar till en separat konfigurerad leverantör, moln eller lokal, och den modellen sköter resonemanget medan OpenClaw hanterar routning, minne och verktygskörning.

Kärnan är en Node.js-tjänst som kallas Gateway. Den körs i bakgrunden på port 18789, routar meddelanden mellan dina chattappar och modellen, kör eventuella verktygsanrop och håller dina API-nycklar så att anslutna appar aldrig rör dem direkt.

Allt detta gör den mycket annorlunda än en chatbot. OpenClaw kan köra shellkommandon, läsa och skriva filer, styra en webbläsare och köra uppgifter enligt schema medan du inte tittar.

Varför OpenClaw blev populärt

OpenClaw gick från 9 000 GitHub-stjärnor dag ett till över 195 000 inom 66 dagar, enligt uppgift 18 gånger snabbare än Kubernetes.

Utvecklare hade velat ha detta länge: en assistent som slutför uppgifter snarare än bara svarar, körs på din egen hårdvara och kopplar till appar.

I april 2026 hade projektet passerat 346 000 stjärnor. Steinberger meddelade att han gick till OpenAI den 15 februari 2026, och projektet rörde sig mot en stiftelsestruktur med stöd från OpenAI. Det förblev MIT-licensierat och community-ägt, inte uppköpt i traditionell mening.

Åsikterna går isär. Vissa gillar idén. Andra stöter på problem med installation, tillförlitlighet och kostnader. Komplex automation gör oftare besvikelse än nytta och tokenkostnader överraskar. Dessutom är installationen inte nybörjarvänlig.

Hur OpenClaw fungerar: Gateway, verktyg och agentloopen

Allt routas via Gateway, och den centrala kontrollpunkten är det som skiljer OpenClaw från ett enkelt modellskal.

När du skickar ett meddelande plockar Gateway upp det från den kanal du använder, bifogar kontext från agentens minnesfiler och inlästa skills, och skickar paketet till den konfigurerade AI-modellen. Om modellen vill vidta en åtgärd (köra ett kommando, besöka en sida, läsa en fil) signalerar den tillbaka den avsikten till Gateway. Gateway kör åtgärden på värdsystemet, eller i en sandlåda om du har satt upp en, och returnerar resultatet. Den kan kedja flera steg innan ett slutligt svar produceras.

Modellen pratar aldrig direkt med ditt filsystem eller din terminal.

Alla åtgärder routas via Gateway. Bild av författaren.

Minne och schemaläggning

OpenClaw lagrar minne i vanliga Markdown-filer i agentens arbetsyta (~/.openclaw/workspace). Huvudfilen, MEMORY.md, innehåller beständiga fakta och preferenser som laddas i början av varje session. SOUL.md definierar personlighet och ton. AGENTS.md lagrar beteenderegler. Eftersom modellen läser alla dessa vid sessionens start består dina ändringar över omstarter.

Schemaläggningen körs på två spår. Heartbeats är periodiska incheckningar i huvudsessonen, var 30:e minut som standard för de flesta leverantörer. En HEARTBEAT.md-checklista talar om för agenten vad som ska granskas varje gång. Cron-jobb körs vid exakta tider i isolerade sessioner, vilket är vad du vill ha när tidpunkten faktiskt spelar roll, som en daglig rapport. Båda bränner tokens vid varje körning, så (proffstips) öppna uppgifter bör verkligen ha en tydlig stoppvillkor.

Stödda modeller och kanaler

OpenClaw är inte knutet till en modellleverantör. Det fungerar med Anthropic, OpenAI, Google, AWS Bedrock och lokala servrar via Ollama eller LM Studio. Lokala modeller behöver minst ett kontextfönster på 64 000 tokens på grund av hur mycket kontext OpenClaw injicerar vid sessionens start. På kanalsidan stöder det WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, iMessage, Matrix, Microsoft Teams och fler.

OpenClaw användningsfall: vad det faktiskt kan göra

Hur användbart det är beror på hur snävt du definierar uppgiften. Breda förfrågningar driver iväg. Smala, repeterbara uppgifter med tydliga indata tenderar att fungera.

• Personlig produktivitet: Det mest tillförlitligt rapporterade användningsfallet är en morgonbriefing: en heartbeat-schemalagd uppgift som hämtar senaste e-post, kalenderevenemang och nyheter och skickar sedan en sammanfattning till din telefon.
• Utvecklararbetsflöden: OpenClaw kan inspektera kodförråd, köra byggskript, kontrollera loggar och hantera pull requests via GitHub CLI eller en MCP-server. Använd repo-avgränsade tokens med utgångsdatum. Bred shellåtkomst är användbart och också den mest sannolika källan till oavsiktlig filradering eller ett läckage av autentiseringsuppgifter från en .env-fil som råkade vara inom räckvidd.
• Webbautomation: Agenten kan surfa sidor, extrahera data och interagera med webbläsargränssnitt via Chrome DevTools Protocol. Vad den inte kan är att skilja mellan en riktig sida och en med skadliga instruktioner inbäddade i HTML:en. När du ger agenten en webbläsare blir externt innehåll en angreppsyta. Jag återkommer till ett dokumenterat fall på just detta i säkerhetsavsnittet.
• Fil- och dokumenthantering: Fungerar bra när arbetsytans rot är en dedikerad mapp utan något känsligt. Feltypen är förutsägbar: ge den åtkomst till din hemkatalog och den kommer förr eller senare att läsa något du inte menade att dela.
• Schemalagd automation: Tillförlitligt för återkommande, väldefinierade uppgifter. Ett dokumenterat fall nådde flera tusen dollar i API-kostnader på en enda dag från en öppet formulerad uppgift som kördes utan tokenbegränsningar. Sätt gränser innan du sätter schemat.

OpenClaw-skills och ClawHub: vad du bör veta och undvika

Skills är hur användare utökar OpenClaw bortom dess inbyggda förmågor. De är också hur projektet träffades av en allvarlig leverantörskedjeattack i den öppna agentvärlden.

Vad en skill är

En skill är en mapp som innehåller en SKILL.md-fil med YAML-frontmatter och en Markdown-kropp. Frontmattern deklarerar skillens namn, beskrivning, nödvändiga binärer och miljövariabler. Under det är Markdown-kroppen naturligt språk: instruktioner som agenten följer när den bedömer att skillen passar den aktuella uppgiften.

En valfri references/-mapp innehåller API-dokumentation och en valfri scripts/-mapp innehåller hjälpskript. Eftersom skills är text i stället för kompilerad kod kan du läsa dem innan något körs.

Varje skill följer detta tvådelade format. Bild av författaren.

Skills följer öppna standarden AgentSkills, så formatet fungerar också med Claude Code, Cursor och liknande verktyg. I praktiken är de flesta skills på ClawHub skrivna specifikt för OpenClaws gateway-modell och förlitar sig på verktygsåtkomst som andra miljöer inte exponerar.

ClawHub, det offentliga registret på clawhub.ai, använder vektorbaserad semantisk sökning, så du kan hitta skills med naturliga språksökningar. Publicering kräver ett GitHub-konto som är minst en vecka gammalt. Registret växte till över 44 000 skills i början av 2026.

ClawHubs färdighetsregister, organiserat efter kategori. Bild av författaren.

Leverantörskedjeattacken ClawHavoc

Den 1 februari 2026 granskade Koi Security-forskaren Oren Yomtov alla 2 857 skills på ClawHub och fann 341 skadliga, varav 335 från en enda koordinerad kampanj kallad ClawHavoc. Den använde social ingenjörskonst: en falsk "Prerequisites"-sektion sa åt användare att klistra in shellkommandon. På macOS var payloaden Atomic macOS Stealer, som skördar webbläsarlösenord, nyckelringposter, kryptoplånböcker, SSH-nycklar och Telegram-sessionsdata.

Det fortsatte stiga. I mitten av februari passerade registret 10 700 skills, och senare analyser placerade det skadliga antalet över 1 000 över flera konton. En bredare granskning av 31 000+ skills flaggade cirka 7,6 % som riskabla, och en Snyk-skanning fann att 36 % innehöll detekterbar promptinjektion.

ClawHub kör nu automatiska skanningar och har en VirusTotal-integration, vilket fångar mycket, men promptinjektion i instruktions­text kan ändå slinka igenom. Läs SKILL.md innan du installerar något, och om den säger att du ska klistra in kommandon eller installera binärer utanför normal process, hoppa över den. Lasta inte in tredjeparts-skills dag ett heller. Börja med minsta möjliga och håll okända skills borta från känsliga filer och konton.

Hur OpenClaw-skills står sig mot Claude Skills

Båda formaten använder samma SKILL.md-struktur. Skillnaden ligger i var skillen körs. Claude Skills körs inuti Anthropics hanterade infrastruktur. OpenClaw-skills körs på din maskin, inom agentens fulla förtroendegräns, med åtkomst till lokala filer, shellkommandon och webbläsarsessioner. Den skillnaden i skadeomfång är varför leverantörskedjerisken är större här än i en hostad miljö.

Hur du sätter upp OpenClaw

Stegen nedan täcker flödet på hög nivå. Om du vill ha skärmdumpar och steg-för-steg-kommandon går vår OpenClaw-handledning igenom hela processen från början.

Innan du installerar

Du behöver Node.js 24 (Node 22.19 fungerar också) och antingen en API-nyckel från en stödd modellleverantör eller en lokal modellserver som uppfyller minimikravet på 64 000 tokens i kontextfönstret som jag nämnde tidigare. På Windows är WSL2 med Ubuntu den rekommenderade vägen; inbyggt Windows har begränsningar kring gateway-daemonen. Hårdvarukraven är låga för grundläggande användning, även om lokala modelluppsättningar är en annan historia.

Ett beslut först: var ska detta köras? En lokal maskin är bra för experiment, men för något som ska vara alltid på, använd en dedikerad VPS eller en separat maskin i stället för din primära arbetsstation.

Översiktligt installationsflöde

curl -fsSL https://openclaw.ai/install.sh | bash

Kör sedan onboarding-guiden:

openclaw onboard --install-daemon

Detta går igenom val av modellleverantör, API-nyckelinställning och Gateway-konfiguration. Efter att det är klart, bekräfta att Gateway körs:

openclaw gateway status

Öppna sedan instrumentpanelen:

openclaw dashboard

Skicka ett testmeddelande från en lågriskkanal innan du kopplar något känsligt.

Control UI på port 18789. Bild av författaren.

Säkra standarder att konfigurera omedelbart

Två brandväggskommandon är viktigare än alla andra. Kör dem innan du gör något annat:

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

Det första binder Gateway till enbart loopback. Det andra blockerar porten externt. Över 220 000 OpenClaw-instanser var publikt nåbara från internet som mest, oftast för att användare hoppade över detta steg efter äldre guider. Använd en dedikerad webbläsarprofil för all webbläsarautomation. Kör openclaw security audit --deep efter att du installerat en skill. Använd autentiseringstokens. Håll känsliga filer borta från arbetsytans rot.

Att köra lokalt betyder inte att köra säkert. En lokal instans med shellåtkomst, filåtkomst och anslutna meddelandeappar är en verklig angreppsyta oavsett var modellen körs.

OpenClaw säkerhetsrisker

Dessa risker är specifika för OpenClaw, och flera av incidenterna nedan utnyttjades mot riktiga användare.

CVE-facit

CVE-2026-25253 (CVSS 8,8) är den som faktiskt utnyttjades. Före version 2026.1.29 kunde en skadlig länk tyst omdirigera kontrollgränssnittets WebSocket-anslutning till en angriparkontrollerad server. Offrets autentiseringstoken och enhetsnycklar skickades automatiskt under handskakningen, så ett klick på en skapad länk räckte. En angripare som höll dem hade full kontroll över Gateway och kunde köra godtyckliga shellkommandon. Patchen 2026.1.29 lade till en bekräftelseprompt som stängde hålet.

CVE-2026-32922 (CVSS 9,9) offentliggjordes den 29 mars 2026. En anropare med minimal tokenscope kunde eskalera till full adminåtkomst och uppnå fjärrkörning av kod över alla anslutna noder. Åtgärdades i 2026.3.11. Om din instans är äldre än 2026.3.11, uppdatera nu. Över 60 säkerhetsråd har lämnats in mot projektet sedan lansering.

Exponering mot internet och promptinjektion

Som nämnts tidigare var över 220 000 instanser publikt exponerade som mest, med mer än 17 500 sårbara för attackklassen CVE-2026-25253. Dagens standard binder till loopback, men äldre konfigurationer och community-guider speglar inte alltid det.

Promptinjektion är det mer subtila problemet. OpenClaw läser webbsidor, e-post, dokument och loggar som en del av sitt jobb. Om något av dessa innehåller skadliga instruktioner kan agenten följa dem. Promptfoo fallstudie från mars 2026 visade en agent som kontrollerade vad den kunde komma åt, läste lokala filer, skrev filer och skickade obehöriga meddelanden, allt utlöst av att besöka en webbsida. Det fungerade eftersom surfning, filåtkomst och utgående meddelanden delade en förtroendegräns utan separering.

Värre är att instruktioner från skadliga källor planterade i SOUL.md eller AGENTS.md överlever över sessioner och omstarter. Agenten bär dem vidare utan någon yttre trigger.

Hur du minskar risken

Det mesta är de säkra standarderna från tidigare: uppdatera regelbundet, håll Gateway på localhost med porten blockerad, använd autentiseringstokens, håll känsliga filer utanför arbetsytan och gör revisioner efter förändringar. Använd Docker-sandlåda för uppgifter som rör extern input, använd finkorniga API-tokens med utgångsdatum och behandla SOUL.md och AGENTS.md som konfigfiler du övervakar, inte text du ignorerar.

Revisionsutdata efter installation av en skill. Bild av författaren.

OpenClaw är inte riskabelt för att det är öppen källkod. Det är riskabelt för att det kan utföra privilegierade åtgärder om du konfigurerar det så.

Är OpenClaw värt det? En ärlig bedömning

Den här delen är min egen tolkning, inte ett sakpåstående. Agenter som vidtar åtgärder i stället för att bara svara är en annan kategori än chatbots, och OpenClaw är ett tydligt exempel.

Om det är värt det beror nästan helt på vem som använder det. En utvecklare som är bekväm med terminalverktyg, loggar, API-övervakning och sandlådor kan göra det användbart i smala arbetsflöden. Som jag tog upp tidigare är det de smala uppläggen som håller. De som fallerar är där någon kopplar in alla verktyg, installerar ett dussin skills utan att läsa dem och låter heartbeats köra öppna prompts, och förväntar sig gott uppförande.

Min bedömning: Komplex automation kan kosta mer underhåll än den sparar, och det mest tillförlitliga användningsfallet kan vara en daglig nyhetssammanfattning. Det är en mager utdelning för installationsinsatsen. Rätt inramning är infrastruktur, inte en assistent. Behandla det så, börja smått och håll strikta gränser. Om du vill ha en smart konsumentapp är detta inte det ännu.

OpenClaw vs. ChatGPT, Claude, Cursor och Zapier

ChatGPT och Claude är tillståndslösa chattgränssnitt: inga beständiga schemalagda uppgifter, ingen lokal filåtkomst som standard.

Claude Code och Cursor är avgränsade till mjukvaruutveckling inuti ett repo; de är bättre på kod än OpenClaw, men det är allt de gör. Claude Code lade också till en molnvärdad schemaläggningsfunktion kallad Routines i april 2026, vilket täcker en del av vad OpenClaws HEARTBEAT gör utan infrastruktur­överbyggnaden.

Zapier och n8n är deterministiska arbetsflödesverktyg där varje steg är fördefinierat, vilket gör dem mer granskbara men sämre på att hantera luddiga begäran än en agent som tolkar naturligt språk.

En inramning från 2026 års kommunity är användbar här: OpenClaw som resonemangslager för tvetydiga uppgifter, n8n eller Zapier som exekveringslager för högvolym, förutsägbara uppgifter, ihopkopplade via webhooks. De är inte alltid konkurrenter.

Vem OpenClaw passar

Utvecklare som automatiserar återkommande tekniska arbetsflöden och forskare som studerar verktygsanvändande agenter är den tydligaste matchen. Homelab-användare som redan hanterar självhostade tjänster kommer att känna igen installationen.

Vem bör undvika OpenClaw?

Alla som inte är bekväma med terminalkommandon, filrättigheter och API-nyckelhantering bör vänta. Installationen är inte nybörjarvänlig.

Likaså alla som hanterar känsliga filer utan en sandlådefierad miljö bör avvakta. Team med efterlevnadskrav kan behöva hanterade alternativ som AWS Bedrock Agents. Och om du inte är villig att inspektera communityns skill-kod före installation, kör inte ClawHub-skills på en maskin med riktiga autentiseringsuppgifter.

Slutsats

OpenClaw är viktigt eftersom det visar hur personliga AI-agenter ser ut när de kan göra saker: inte smartare chatbots, utan system med åtkomst till dina filer, ditt shell, din webbläsare och dina meddelandeappar.

Riskerna är verkliga av samma skäl. Åtkomsten som gör en morgonbriefing eller ett PR-granskningsflöde möjligt är samma åtkomst som ClawHavoc förvandlade till stulna autentiseringsuppgifter.

Börja med en uppgift. Kör den i en isolerad miljö. Sätt gränser. Som nämnts tidigare, granska skills innan du installerar dem. OpenClaw är inte en produkt du rullar ut och glömmer. Det är infrastruktur, och att behandla det som infrastruktur från början är det som hindrar experimentet från att bli en incident.

För relaterad läsning täcker vår guide till OpenClaw-projekt och ClawHub-skills-guiden vad folk bygger. Kursen AI-Assisted Coding for Developers täcker bredare agentskills.