什么是 OpenClaw？开源 AI 助手指南

大多数 AI 工具都在花时间回答问题。OpenClaw 的设计初衷则是执行操作。正是这一差异，让它在发布后的数月内就超越了 Linux，跻身 GitHub 历史 Star 榜。

它的本质：一个自托管的运行时，将 AI 模型连接到您的终端、文件、浏览器和消息应用。您发一条 WhatsApp 信息，它就能在您的磁盘上搜索、运行 Shell 脚本、检查网页，并在同一对话中回复。这些都不是普通聊天机器人能做到的。

卖点听起来比现实更干净。OpenClaw 需要技术化的配置；到 2026 年，它的安全记录包含严重事件；其公共技能注册表还遭遇过协同的恶意软件攻击。这些都是上手前值得了解的。

什么是 OpenClaw？

OpenClaw 免费、开源（MIT 许可），并被设计为在您自有硬件上运行。它由奥地利开发者 Peter Steinberger（以 PSPDFKit 闻名）创建，于 2025 年 11 月以 Clawdbot 发布。因名称问题收到了 Anthropic 的商标投诉，2026 年 1 月 27 日改名 Moltbot，三天后又更名为 OpenClaw，因为据 Steinberger 所说，“Moltbot 念起来总不顺口。”龙虾吉祥物 Molty 则在所有更名中都被保留了下来。

OpenClaw 将模型连接到本地工具。图片作者自制。

一开始容易让人误解的一点：OpenClaw 不是一个 AI 模型。它连接到单独配置的提供商（云端或本地），由那个模型负责推理，而 OpenClaw 负责路由、记忆和工具执行。

其核心是名为 Gateway 的 Node.js 服务。它在后台运行于 18789 端口，负责在您的聊天应用与模型之间路由消息、运行任何工具调用，并保存您的 API 密钥，使已连接的应用无法直接接触这些密钥。

所有这些让它与聊天机器人有很大不同。OpenClaw 能运行 Shell 命令、读写文件、控制浏览器，甚至在您不关注时按计划运行任务。

OpenClaw 为什么会流行

OpenClaw 从首日的 9,000 个 GitHub Star 在 66 天内增长到超过 195,000，据称增速是 Kubernetes 的 18 倍。

开发者早就想要这样的东西：一个能完成任务而不仅是回答问题、能在自有硬件上运行、且能连接到各类应用的助手。

到 2026 年 4 月，该项目 Star 已超过 346,000。Steinberger 于 2026 年 2 月 15 日宣布加入 OpenAI，项目转向由基金会托管并获得 OpenAI 支持。它依然采用 MIT 许可并由社区持有，并非传统意义上的被收购。

观点不一。有的用户喜欢这个理念，另一些人则遇到了安装、可靠性与成本问题。复杂自动化往往不及预期，令牌花费也常令人意外。另外，安装过程并不友好。

OpenClaw 的工作原理：Gateway、工具与代理循环

一切都通过 Gateway 路由，这个单点控制让 OpenClaw 有别于普通的模型封装器。

当您发送消息时，Gateway 会从您所在的通道抓取消息，附加来自代理记忆文件和已加载技能的上下文，并将该包传给已配置的 AI 模型。若模型需要执行操作（运行命令、访问页面、读取文件），它会将意图返回给 Gateway。Gateway 在主机系统上（或在您已设置的沙箱内）执行该操作并返回结果。它可在给出最终回复前串联多个步骤。

模型从不会直接与您的文件系统或终端交互。

所有操作都经由 Gateway 路由。图片作者自制。

记忆与调度

OpenClaw 将记忆存放在代理工作区（~/.openclaw/workspace）中的纯 Markdown 文件里。主文件 MEMORY.md 保存每次会话开始时加载的长期事实与偏好。 SOUL.md 定义个性与语气。AGENTS.md 存储行为规则。由于模型会在会话启动时读取这些文件，您所做的编辑将在重启后持续生效。

调度分为两轨。心跳是主会话中的周期性检查，默认多数提供商为每 30 分钟一次。HEARTBEAT.md 清单告诉代理每次该检查什么。Cron 作业则在隔离会话中于精确时间运行——当时间点确实重要（如每日报告）时就该用它。两者每次执行都会消耗令牌，所以（经验提示）开放式任务务必要有清晰的停止条件。

支持的模型与通道

OpenClaw 不绑定单一模型提供商。它可与 Anthropic、OpenAI、Google、AWS Bedrock 以及通过 Ollama 或 LM Studio 的本地服务器协作。本地模型至少需要 64,000 令牌的上下文窗口，因为 OpenClaw 在会话开始会注入大量上下文。通道方面，它支持 WhatsApp、Telegram、Discord、Slack、Google Chat、Signal、iMessage、Matrix、Microsoft Teams 等。

OpenClaw 的使用场景：它实际能做什么

实用性取决于您对任务定义的严密程度。宽泛的请求容易漂移。输入明确、可重复的窄任务通常更可行。

• 个人效率： 最稳定的应用是晨间简报：用心跳调度，从最近邮件、日历事件和新闻中拉取信息，然后向您的手机发送摘要。
• 开发者流程： OpenClaw 能检查代码库、运行构建脚本、查看日志，并通过 GitHub CLI 或 MCP 服务器管理 Pull Request。使用具备过期日期的仓库范围令牌。广泛的 Shell 访问虽有用，但也最可能导致意外删除文件，或从恰好在作用域内的 .env 文件泄露凭据。
• 网页自动化： 代理可浏览页面、抽取数据，并通过 Chrome DevTools Protocol 与浏览器界面交互。但它无法分辨真实页面与在 HTML 中嵌入恶意指令的页面。一旦给了代理浏览器权限，外部内容就成为攻击面。下面的安全章节会讲到一个记录在案的实例。
• 文件与文档管理： 当工作区根目录是一个不含敏感信息的专用文件夹时，效果最佳。可预见的失败模式是：给它访问您的主目录，最终它总会读到您并不想分享的东西。
• 计划任务自动化： 对于周期性、定义清晰的任务较为可靠。有一例记录显示，某个开放式任务在没有令牌限制的情况下运行一天，导致 API 费用达数千美元。在设置调度之前先设定限制。

OpenClaw 技能与 ClawHub：该了解的与该避免的

技能是用户扩展 OpenClaw 超越内建能力的方式。它也是该项目在开源代理领域遭遇严重供应链攻击的切入点。

什么是技能

一个技能是包含 SKILL.md 文件的文件夹，文件内有 YAML 头部信息与 Markdown 正文。头部声明技能名称、描述、所需二进制与环境变量。其下方的 Markdown 正文是自然语言：当代理判断该技能适配当前任务时会遵循其中的指令。

可选的 references/ 文件夹存放 API 文档，可选的 scripts/ 文件夹存放辅助脚本。因为技能是文本而非编译代码，您可以在运行任何内容前先阅读它们。

每个技能都遵循这种两段式结构。图片作者自制。

技能遵循 AgentSkills 开放标准，因此该格式同样适用于 Claude Code、Cursor 等工具。实际中，ClawHub 上的大多数技能都是专门为 OpenClaw 的网关模型编写，并依赖其他环境未暴露的工具访问能力。

ClawHub 是位于 clawhub.ai 的公共注册表，使用基于向量的语义搜索，因此您可以用自然语言查询来发现技能。发布需要一个至少注册一周的 GitHub 账号。到 2026 年初，注册表中的技能数量已超过 44,000。

ClawHub 的技能注册表，按类别组织。图片作者自制。

ClawHavoc 供应链攻击

2026 年 2 月 1 日，Koi Security 研究员 Oren Yomtov 审计了 ClawHub 上的全部 2,857 个技能，发现 341 个为恶意，其中 335 个来自一个名为 ClawHavoc 的协调攻击。其手法是社会工程：伪造“先决条件”部分，诱导用户粘贴 Shell 命令。在 macOS 上，其有效载荷为 Atomic macOS Stealer，可窃取浏览器密码、钥匙串条目、加密钱包、SSH 密钥和 Telegram 会话数据。

此后仍在上升。到 2 月中旬，注册表技能数量突破 10,700，后续分析显示多个账号下的恶意技能总数超过 1,000。对 31,000+ 技能的更广泛审计标记约 7.6% 存在风险，Snyk 扫描发现 36% 包含可检测的提示注入。

ClawHub 现已运行自动扫描并集成了 VirusTotal，这能拦截很多问题，但指令文本中的提示注入仍可能漏网。安装任何东西之前先阅读 SKILL.md，如果它让您粘贴命令或在正常流程之外安装二进制，请跳过。第一天也不要堆砌第三方技能。从最少必需开始，并让不明来源的技能远离敏感文件与账号。

OpenClaw 技能与 Claude Skills 的对比

两者格式都使用相同的 SKILL.md 结构。差异在于技能执行位置。Claude Skills 在 Anthropic 的托管基础设施内运行。OpenClaw 技能在您的机器上、代理的完整信任边界内运行，能访问本地文件、Shell 命令和浏览器会话。这种影响半径的差距是为什么在这里供应链风险比在托管环境更重要。

如何设置 OpenClaw

下列步骤覆盖高层流程。如果您需要截图与逐步命令，我们的OpenClaw 教程将从零开始完整演示流程。

安装前准备

您需要 Node.js 24（Node 22.19 也可）以及受支持模型提供商的 API 密钥，或满足前述 64,000 令牌上下文最小值的本地模型服务器。在 Windows 上，推荐通过带 Ubuntu 的 WSL2；原生 Windows 在网关守护进程方面有限制。基础用途对硬件要求较轻，不过本地模型配置则另当别论。

首先要做的决策：在哪里运行？本地机器适合试验，但若需要持续在线，建议使用独立 VPS 或单独的机器，而非您的主力工作站。

高层设置流程

curl -fsSL https://openclaw.ai/install.sh | bash

然后运行引导向导：

openclaw onboard --install-daemon

它会引导您选择模型提供商、配置 API 密钥与 Gateway。完成后，确认 Gateway 已在运行：

openclaw gateway status

接着打开控制面板：

openclaw dashboard

先从风险较低的通道发送一条测试消息，再连接任何敏感内容。

端口 18789 的控制 UI。图片作者自制。

应立即配置的安全默认项

两个防火墙命令比其他任何命令都重要。请在做其他事情之前先运行它们：

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

第一条将 Gateway 仅绑定到回环接口。第二条从外部阻断该端口。高峰时有超过 220,000 个 OpenClaw 实例可被公网访问，主要因用户遵循旧教程跳过了这一步。将任何浏览器自动化放在专用浏览器配置文件中。安装任何技能后运行 openclaw security audit --deep。使用认证令牌。将敏感文件置于工作区根目录之外。

本地运行不等于安全运行。一个具备 Shell 访问、文件访问和消息应用连接的本地实例，无论模型在哪里运行，都是实实在在的攻击面。

OpenClaw 的安全风险

这些风险是 OpenClaw 特有的，且下面的若干事件已在真实用户上被利用。

CVE 记录

CVE-2026-25253（CVSS 8.8）是被主动利用的那个。在 2026.1.29 版本之前，恶意链接可在不经意间将控制界面的 WebSocket 连接重定向到攻击者控制的服务器。受害者的认证令牌与设备密钥会在握手时自动发送，因此点击一次精心构造的链接就足够了。攻击者持有这些后可完全控制 Gateway 并运行任意 Shell 命令。2026.1.29 的补丁通过添加确认提示修复了该问题。

CVE-2026-32922（CVSS 9.9）在 2026 年 3 月 29 日披露。一个拥有最小令牌范围的调用方可升级到完整管理员访问，并在所有已连接节点上实现远程代码执行。已在 2026.3.11 修补。若您的实例早于 2026.3.11，请立即更新。自项目发布以来已提交 60 多条安全通告。

公网暴露与提示注入

如前所述，高峰时有超过 220,000 个实例对公网暴露，其中超过 17,500 个易受 CVE-2026-25253 类攻击。当前默认绑定到回环，但旧的配置与社区教程并不总是体现这一点。

提示注入问题更隐蔽。OpenClaw 在工作中会读取网页、邮件、文档与日志。如果其中包含恶意指令，代理可能会遵循。2026 年 3 月的 Promptfoo 案例显示，代理在访问某一网页后被触发，检查自身可访问内容、读取本地文件、写入文件并发送未授权消息。之所以有效，是因为浏览、文件访问与外发消息共享一个信任边界，彼此没有隔离。

更糟的是，植入在 SOUL.md 或 AGENTS.md 中的恶意来源指令会在会话与重启之间持续存在。代理会在没有任何外部触发的情况下将其带入后续会话。

如何降低风险

大部分建议与前面的安全默认项一致：定期更新、将 Gateway 绑定到本地主机并阻断端口、使用认证令牌、将敏感文件置于工作区之外，并在变更后进行审计。对接触外部输入的任务使用 Docker 沙箱、使用细粒度且具备过期日期的 API 令牌，并将 SOUL.md 与 AGENTS.md 视为需要监控的配置文件，而非可以忽略的文本。

安装技能后的审计输出。图片作者自制。

OpenClaw 并非因为开源而有风险。它之所以有风险，是因为在您的配置允许时它可以执行特权操作。

OpenClaw 值得用吗？一个坦诚的评估

这部分是我的个人看法，而非事实断言。能够执行操作而非仅回答问题的代理，与聊天机器人是不同的类别，OpenClaw 就是一个明确的例子。

值不值得，几乎完全取决于使用者本身。对终端工具、日志、API 监控与沙箱化感到自如的开发者，能在窄场景中让它发挥作用。正如前面所述，站得住脚的都是窄场景；失败的则是把所有工具都接上、装一堆不看内容的技能、让心跳在开放式提示上持续运行、却指望它“自觉”的做法。

我的看法：复杂自动化的维护成本可能高于其节省的成本，而最可靠的用例可能只是每日新闻摘要。以搭建投入来看，这个回报并不厚。更合适的框架是把它当作基础设施，而非助手。按这种方式对待它，从小处开始，并保持严格限制。如果您想要一款成熟的消费级应用，它现在还不是。

OpenClaw vs. ChatGPT、Claude、Cursor 与 Zapier

ChatGPT 与 Claude 是无状态的聊天界面：默认没有持久化的计划任务，也没有本地文件访问。

Claude Code 与 Cursor 聚焦在代码库内的软件开发；它们在代码方面优于 OpenClaw，但仅限于此。Claude Code 还在 2026 年 4 月新增了名为 Routines 的云端调度功能，覆盖了 OpenClaw 的 HEARTBEAT 部分能力，且无需基础设施开销。

Zapier 与n8n 是确定性的工作流工具，每一步都事先定义，这让它们更易审计，但比起能解释自然语言的代理，更难处理模糊请求。

2026 年社区中的一个表述很有帮助：OpenClaw 作为处理模糊任务的推理层，n8n 或 Zapier 作为处理高频可预测任务的执行层，两者通过 Webhook 相连。它们并不总是竞争关系。

OpenClaw 适合谁

自动化重复性技术工作流的开发者，以及研究会使用工具的代理的研究人员，是最明显的适配人群。已在自建环境中管理各类自托管服务的 Homelab 用户也会对其安装过程感到熟悉。

谁应该避免使用 OpenClaw？

不熟悉终端命令、文件权限与 API 密钥管理的用户应当暂缓。安装过程并不友好。

另外，没有沙箱环境却要处理敏感文件的用户也应暂停。具有合规要求的团队可能需要 AWS Bedrock Agents 等托管替代方案。若您不愿在安装前检查社区技能的代码，最好不要在存有真实凭据的机器上运行 ClawHub 技能。

结语

OpenClaw 的意义在于，它展现了当个人 AI 代理能够“做事”时的样子：不是更聪明的聊天机器人，而是能访问您的文件、Shell、浏览器与消息应用的系统。

正因如此，风险也同样真实。让晨间简报或 PR 审阅工作流成为可能的那些访问权限，也被 ClawHavoc 用来窃取凭据。

从一个任务开始。在隔离环境中运行。设定限制。正如前文所述，在安装技能之前先审阅它们。OpenClaw 不是“一装了之”的产品。它是基础设施，从一开始就按基础设施来对待它，才能让实验不至于演变为事故。

如需延伸阅读，我们的OpenClaw 项目指南与ClawHub 技能指南涵盖了人们正在构建的内容。AI-Assisted Coding for Developers 课程则覆盖更广泛的代理技能。