共计 5436 个字符,预计需要花费 14 分钟才能阅读完成。
在过去的两周里面我的时间线被 Clawdbot,Moltbot,OpenClaw 刷屏了,但它们其实都是一个开源项目,目前最新的名字叫做 OpenClaw。时间再往过去半年,Claude Code,Gemini CLI,Codex 相继诞生,一个生长在终端的 Coding Agent 能力逐渐泛化,用户发现原来 Claude Code 不仅可以实现软件,甚至还可以直接完成非常多的任务,在终端中天然给予了 Agent 强大的能力,修改操作系统配置,执行脚本,操作浏览器等等,因为我自己一直在 Obsidian 中使用 Claude Code,一直就像着有这样一个工具可以让我在手机上也随时随地呼唤出,回答我笔记库中的问题,帮我编写脚本,调查不理解的概念,虽然我之前已经发现了不少针对编程优化过的远程工具,比如 vibe tunnel, happy,vibe-kanban 等等,他们都是为编程进行了优化,利用 git worktree 可以非常好的并发完成多个任务,但我的 Obsidian 笔记库并不需要如此复杂的管理。
于是我就想 OpenClaw 是不是可以作为我的一个桥梁,让它帮我远程管理,但是当我安装完 OpenClaw 我才发现大材小用了,OpenClaw 当然能作为我个人的笔记助手,但是更强大的是它可以直接接管我的操作系统,我刚装上 5 分钟,就帮我完成了过期 Docker 镜像的清理,在我几句话的指导下就帮我完成了每天定时的股价播报,我还接入了日股分析 Skill,可以让它在后台给我生成详细的报告。我直接在 WhatsApp ,Telegram 这些常用的 IM 中和 OpenClaw 的聊天体验实在是太棒了。
OpenClaw 是什么
OpenClaw 是一个开源的自主 AI 代理框架,基于 Node.js 构建,运行在你自己的设备上。你可以把它理解成一个本地运行的"AI 管家":它连接到你选择的大语言模型(Anthropic Claude、Gemini、OpenAI 都行),然后通过你日常使用的消息平台接收指令,在本地执行各种操作。与那些只能在网页上对话的 AI 工具不同,OpenClaw 有实打实的系统权限——它能读你的文件、跑 Shell 命令、自动化浏览器操作,甚至设置定时任务。
项目的创始人 Peter Steinberger 之前创办过 PSPDFKit(一个 PDF 处理框架),2021 年把公司卖掉之后就过上了半退休的生活。OpenClaw 最初只是他周末的一个"WhatsApp Relay"个人项目,让 AI 能通过 WhatsApp 帮他处理一些杂事。没想到开源之后一发不可收拾,截至 2026 年 2 月,GitHub 上已经拿到了超过 18 万颗星。
两次改名的故事
OpenClaw 的改名经历说起来有点魔幻,但也是开源项目品牌管理的一个活生生的反面教材。
项目最早叫 Clawdbot,是从 Steinberger 的个人 AI 助手"Clawd"发展而来的。这个名字明显是在玩 Anthropic 的 Claude 的谐音梗,连吉祥物都用了龙虾——你懂的,Claw(爪子)嘛。项目火了之后,Anthropic 找上门来,很礼貌地表示名字太像 Claude 了,希望改一下。
2026 年 1 月 27 日,Steinberger 把项目改名为 Moltbot。"Molt"是龙虾蜕壳的意思,挺有创意的隐喻——但实际用起来是个灾难。社区里没几个人能正确发音这个词,聊天的时候说"那个 Moltbot"总觉得舌头打结。两天后的 1 月 29 日,Steinberger 认清了现实,最终定名 OpenClaw。这一次他学乖了,提前做了商标调查、注册了社交媒体账号,还把官方网站迁到了 openclaw.ai。"Open"代表开源和社区驱动,"Claw"保留了龙虾的传统,念起来也顺口。
但改名带来的混乱远不止"念不顺"这么简单。频繁改名给了攻击者可乘之机。改名当天就有人在 VS Code 市场上架了一个叫"ClawdBot Agent"的恶意扩展;诈骗者在项目放弃旧名的几秒之内就抢注了废弃的 @clawdbot Twitter 账号;更离谱的是,安全研究人员在短短一周内发现了超过 400 个恶意软件包伪装成 OpenClaw 的 Skills(插件),其中 335 个会偷偷安装 Atomic Stealer 恶意软件。这件事给整个开源社区上了一课:项目改名从来不只是换个名字那么简单,你放弃的每一个旧标识都可能变成攻击者的武器。
它能做什么
抛开改名闹剧,OpenClaw 本身的功能确实让人眼前一亮。首先是消息平台的覆盖面。它支持 WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、iMessage(通过 BlueBubbles 桥接)、Microsoft Teams、Matrix 等十多个平台。这意味着你不需要打开一个专门的 App 或网页,直接在你最常用的聊天工具里就能和 AI 对话并下达指令。对我来说这是一个实用性很高的设计——我大部分时间都挂在 Telegram 上,如果能直接在那里让 AI 帮我查个文件、跑个脚本,比切换到浏览器去用 ChatGPT 方便太多了。
然后是它的"代理能力"。OpenClaw 不是只会聊天的 AI,它有实打实的系统操作权限。浏览器自动化可以替你填表单、抓网页数据;文件系统的读写权限让它能帮你整理文档、批量重命名;Shell 命令执行意味着你可以让它跑部署脚本或者查看服务器日志;甚至还支持 Cron 定时任务,设定好之后它就会按时替你完成重复性工作。当然,OpenClaw 也提供了沙箱模式,可以限制 AI 的操作权限,不让它触碰敏感区域。
另一个让我觉得有意思的是它的持久化记忆系统。所有的上下文数据都存储在本地,AI 可以记住你的偏好、正在进行的项目、个人细节。这和 ChatGPT 那种每次对话都从零开始的体验很不一样。你用得越久,它就越了解你,回答也越贴合你的需求。
此外,OpenClaw 还有一个叫 ClawHub 的 Skills 市场,社区贡献了数百个功能扩展,涵盖邮件处理、数据分析、媒体控制等方向。AI 甚至能根据你的需求自主生成和安装新的 Skill。不过关于 ClawHub 的安全问题,后面会专门聊到。
怎么搭建
OpenClaw 提供了好几种安装方式,从"给我三分钟"到"我要完全掌控"都有对应的方案。最快的方式是 npm 全局安装,前提是你的机器上有 Node.js 22 或更高版本:
npm install -g openclaw@latest
openclaw onboard --install-daemon
装好之后 openclaw onboard 会启动一个引导向导,一步步带你配置 AI 模型的 API Key、选择要连接的消息平台。比如连接 Telegram 的话,你需要先去 @BotFather 创建一个 Bot 拿到 Token;连 Discord 则需要在 Developer Portal 创建应用并开启 Message Content Intent。
如果是打算长期运行或者部署在服务器上,Docker 方式更靠谱:
git clone https://github.com/openclaw/openclaw.git
cd openclaw
bash docker-setup.sh
Docker 部署会创建两个挂载目录:~/.openclaw 存放配置、记忆和 API Key,~/openclaw/workspace 是 AI 可以直接操作的工作区。整个架构分为 Gateway(网关服务,监听 18789 端口)和 CLI(命令行管理工具)两个容器。如果你需要额外挂载其他目录给 AI 使用,可以通过 OPENCLAW_EXTRA_MOUNTS 环境变量来设置。
如果需要手动 Build 镜像,也可以参考这里。
搭建过程中如果遇到问题,openclaw doctor 是一个很好用的自动诊断工具,openclaw logs --follow 可以实时查看日志。常见问题基本就是 API Key 配错了(openclaw gateway restart 然后重新检查),或者 18789 端口被占了(lsof -i :18789 排查一下)。
如果是在远程服务器上安装,可以使用如下的命令
ssh -N -L 18789:127.0.0.1:18789 username@your-ip
建立了一个 SSH 隧道,通过本机的 localhost:18789 来访问远程服务器中的 18789 端口服务。
绕不开的安全问题
说实话,OpenClaw 让我最纠结的就是安全问题。它的能力越强,潜在的风险也就越大。
最直接的风险是暴露实例。安全研究人员扫描互联网后发现了超过三万个可以公开访问的 OpenClaw 实例,泄漏着 API Key、聊天记录和各种账户凭证。这个问题的根源在于 OpenClaw 的网关默认绑定到 0.0.0.0:18789,也就是所有网络接口。很多用户装完之后根本没意识到自己的 AI 助手正在对整个互联网敞开大门。虽然后续版本移除了 auth mode none 的选项,但已经暴露的实例不会自动修复。
ClawHub 的恶意 Skills 问题同样严峻。对市场上近四千个 Skills 的分析显示,约 7.1% 包含严重安全缺陷,明文暴露敏感凭证。Cisco 的 AI 安全团队甚至发现有 Skill 能在用户完全不知情的情况下执行数据窃取和提示注入攻击。OpenClaw 团队后来引入了 VirusTotal 扫描作为缓解措施,但自己也承认这"不是银弹"。
还有一个已经被修复的高危漏洞 CVE-2026-25253,CVSS 评分 8.8。攻击原理是跨站 WebSocket 劫持——因为 OpenClaw 的服务端不验证 WebSocket 的 Origin 头,点击一个恶意链接就可能触发远程代码执行。这个漏洞在 v2026.1.29 中修复了,所以如果你在用旧版本,赶紧更新。
如果你决定使用 OpenClaw,以下几点我认为是必须做的:在配置里开启显式同意模式(exec.ask: "on"),让 AI 每次执行写操作或命令之前都先问你;对敏感目录只给只读权限;用 Docker 运行而不是裸机安装,利用容器隔离来限制 AI 的活动范围;在前面挡一层 Nginx 或 Caddy 反向代理并配置身份认证,18789 端口永远不要直接暴露到公网。
常用的命令
openclaw onboard --install-daemon
openclaw doctor
openclaw channels list # 列出所有渠道
openclaw channels status # 查看渠道状态
openclaw channels remove --channel <渠道名称> --delete # 删除渠道
openclaw devices list
openclaw gateway status # 检查网关状态
openclaw gateway restart # 重启网关
openclaw logs --follow # 查看日志
openclaw configure --section web # brave search api
添加执行命令白名单
通过 approvals 命令
这是最正规的方式,直接将具体的命令添加到白名单中。
openclaw approvals allowlist list
openclaw approvals allowlist add "/usr/bin/docker" # 允许命令
- 允许运行
ls:openclaw approvals allowlist add "/usr/bin/ls" - 允许运行所有 Git 命令:
openclaw approvals allowlist add "/usr/bin/git" - 允许项目目录下的所有脚本:
openclaw approvals allowlist add "/home/einverne/projects/**/*.sh"
在配置文件中配置
在 ~/.openclaw/openclaw.json (或通过 config set) 中,你可以控制 exec 工具的整体安全策略。
openclaw config set tools.exec.security allowlist
deny: 除非在 Sandbox 里,否则完全禁止。allowlist: 仅允许白名单里的命令。full: 高危模式。允许所有命令,不做任何拦截(除非你非常信任我,否则慎用)。
用 Slash Command (在聊天中)
如果你的账号是管理员 (Owner),你也可以直接在聊天里对我发指令来管理:
/allowlist add "/usr/bin/docker"/exec security=allowlist(查看或修改当前模式)
最后
OpenClaw 是一个让人又兴奋又紧张的项目。
兴奋的部分在于,它证明了一件事:自主 AI 代理这种以前只有大公司才能搞的东西,一个独立开发者用几个周末就做出来了,而且社区驱动的迭代速度远超任何企业产品。人们确实想要一个本地运行的、能真正帮你干活的 AI 助手,而不只是一个聊天窗口。
紧张的部分在于,OpenClaw 目前的安全状况有点像早期的 WordPress——功能跑在安全前面。给一个 AI 代理完整的系统权限,然后通过一个安全审核机制还不成熟的 Skills 市场来扩展功能,这中间的风险不是靠一个 VirusTotal 扫描就能覆盖的。
我个人的判断是:OpenClaw 值得关注和实验,但现阶段不适合放在任何有敏感数据的机器上运行。如果你想体验,建议在一台干净的 VPS 上用 Docker 部署,只连接一两个不太敏感的消息平台,先感受一下 AI 代理的能力边界。等项目的安全体系再成熟一些,再考虑更深度的使用。
毕竟,一个能帮你操作电脑的 AI,你得先确保它只帮你。
