摘要
本文系统对比了两个代表性的开源AI Agent项目:OpenClaw(原名OpenCLAW,近期更名)和Natural CLI。OpenClaw采用“预定义技能+工作流编排”架构,通过JSON/YAML定义技能序列,实现跨平台自动化;Natural CLI则采用“递归意图解析”架构,通过自然语言递归调用自身,实现任意复杂度的命令组合。两者代表了AI Agent设计的两种不同哲学:OpenClaw追求确定性和生态可扩展性,Natural CLI追求灵活性和低学习门槛。本文从架构设计、工作流实现、安全机制、用户体验四个维度进行对比分析,并探讨各自的适用场景与发展潜力。
关键词:AI Agent;自然语言处理;工作流编排;系统命令;开源项目
一、引言
2025-2026年,大语言模型能力的集体跃迁催生了AI Agent领域的爆发式增长。其中,OpenClaw以“AI替你干活”的直观体验迅速出圈,GitHub收获超30万颗星,成为现象级开源项目。与此同时,Natural CLI作为一个专注于“自然语言执行系统命令”的工具,以五层安全防护和递归意图解析为特色,在架构深度上展现了不同的设计思路。
两者都试图解决同一个核心问题:如何让AI安全、有效地执行用户意图。但它们的答案截然不同。
二、项目概述
2.1 OpenClaw
OpenClaw是一个跨平台的AI自动化框架,核心能力包括:
· 多渠道接入:支持Telegram、飞书、微信等IM工具,用户可通过手机向电脑发送指令 · 预定义技能系统:所有可执行动作需预先用Python/TypeScript编写为“技能” · 工作流编排:支持通过JSON/YAML定义多步骤工作流,包含触发条件、步骤序列、数据传递 · 持久化运行:7x24小时后台运行,支持定时任务和事件监听
2.2 Natural CLI
Natural CLI是一个基于Spring AI构建的智能命令行助手,核心特性包括:
· 自然语言直接翻译:用户输入自然语言,AI直接生成对应系统命令 · 五层安全防护:白名单、危险命令检测、AI风险评估、路径保护、用户确认 · 递归调用能力:Natural CLI可以调用自身,将复杂意图逐层解析为原子命令 · 生产级质量:84个测试用例,核心代码覆盖率100%,已发布v1.0.0正式版
三、架构对比
3.1 OpenClaw架构:技能驱动的确定性执行
OpenClaw的架构可概括为“意图路由 + 技能执行”两层:
用户输入(自然语言)
↓
LLM意图理解
↓
匹配预定义技能(Skill)
↓
技能执行(Python/TS代码)
↓
返回结果
核心特点:
· 技能是原子能力单元:每个技能是一个函数,有明确的输入输出和副作用声明 · 工作流是技能序列:通过JSON/YAML定义技能调用顺序、条件分支、数据传递 · 确定性优先:技能行为由代码决定,不受LLM输出波动影响
3.2 Natural CLI架构:递归意图解析
Natural CLI的架构可概括为“意图编译 + 安全执行”两层,但支持递归调用:
用户输入(自然语言)
↓
意图理解(第一层)
↓
生成自然语言子意图(而非直接命令)
↓
递归调用Natural CLI
↓
意图理解(第二层)
↓
生成系统命令
↓
安全执行
核心特点:
· 同构递归:每一层使用相同的自然语言接口 · 意图即工作流:复杂意图被展开为子意图序列,无需预定义技能 · 灵活性优先:用户可以描述任何操作,无需预先注册
3.3 架构差异的本质
维度 OpenClaw Natural CLI 执行单元 预定义技能(代码) 动态生成的命令 工作流定义 JSON/YAML配置 自然语言意图链 扩展新能力 需写代码注册技能 直接描述即可 确定性 高(技能行为固定) 中(依赖AI理解) 递归能力 不支持 原生支持
四、工作流实现对比
4.1 OpenClaw的工作流
OpenClaw要求用户用结构化格式定义工作流。例如一个“每日备份”工作流:
{
"workflowName": "每日备份",
"trigger": {"type": "cron", "config": "0 2 * * *"},
"steps": [
{"skill": "check_disk_space", "params": {"path": "/data", "threshold": 80}},
{"skill": "backup_database", "params": {"db": "production"}},
{"skill": "compress_folder", "params": {"source": "/backup", "dest": "/archive"}},
{"skill": "send_notification", "params": {"channel": "telegram", "message": "备份完成"}}
]
}
用户可以用自然语言触发这个工作流:“执行每日备份”。但工作流内部的每个步骤(check_disk_space、backup_database等)必须是预先写好的技能。
优势:执行结果高度可预测,便于审计和调试。
局限:用户无法即兴创建新步骤;技能开发需要编程能力。
4.2 Natural CLI的递归工作流
Natural CLI通过递归调用实现工作流。用户同样用自然语言描述:
ncli "每天凌晨2点,检查磁盘使用率,如果超过80%就清理日志"
系统递归展开为:
第一层:ncli "创建定时任务:每天凌晨2点执行子任务"
第二层(子任务):ncli "检查磁盘使用率,如果超过80%则执行清理"
第三层(清理):ncli "删除/var/log下30天前的.log文件"
每层都经过同样的安全评估。用户不需要预定义任何技能。
优势:零学习成本,用户可以描述任意复杂度的流程。
局限:依赖AI理解准确性;多次递归调用可能增加延迟。
4.3 工作流定义方式的本质差异
维度 OpenClaw Natural CLI 定义语言 JSON/YAML 自然语言 新步骤创建 需写代码 直接描述 可读性 技术人员可读 任何人可读 可复用性 工作流可导出分享 意图链可保存分享 调试难度 低(步骤固定) 中(AI理解可能偏差)
五、安全机制对比
5.1 OpenClaw的安全问题
OpenClaw的设计重心在于“让AI能做更多事”,安全主要依赖:
· 用户确认机制(部分操作需审批) · 社区审核的技能库
但实际暴露的问题较多:
· 工信部已发布风险预警,指出WebSocket劫持、提示词注入等漏洞 · 全球约1.7万个实例直接暴露在公网 · 曾有用户反映一夜消耗数亿Token,收到数万元账单 · 部分用户花钱请人部署后,又花钱请人“赶走”它
5.2 Natural CLI的五层安全防护
Natural CLI从设计之初将安全置于核心:
层级 机制 作用 1 白名单 只允许执行预定义的安全命令 2 危险命令检测 实时识别rm -rf /等破坏性操作 3 AI风险评估 自动分级:安全/谨慎/危险 4 路径保护 禁止访问/etc/passwd、/root等关键路径 5 用户确认 中等风险操作需二次确认
5.3 安全哲学的差异
OpenClaw的安全策略是“事后响应”——出了问题再补漏洞。Natural CLI的策略是“事前防御”——从架构层面限制AI的能力边界。
这一差异源于两者的核心定位:OpenClaw追求“能做一切”,Natural CLI追求“安全地做有限的事”。
六、融合的可能性
两者并非对立关系,而是可以互补。
一个自然的集成方案是:
· OpenClaw 负责前端:7x24小时监听多渠道消息,进行意图识别和任务规划 · Natural CLI 负责后端:作为唯一的命令执行出口,提供五层安全防护
集成方式:修改OpenClaw的System Prompt,禁止它直接使用系统Shell,所有需要执行的操作必须通过Natural CLI的API接口。Natural CLI收到指令后启动安全评估——安全命令直接执行,谨慎命令等待确认,危险命令直接拒绝。
这样既保留了OpenClaw的“随时随地指挥AI”的便利性,又获得了Natural CLI的“层层把关”的安全性。
七、结论
OpenClaw和Natural CLI代表了AI Agent设计的两种不同哲学:
维度 OpenClaw Natural CLI 设计理念 让AI能做更多事 让AI安全地做事 扩展方式 预定义技能(代码) 自然语言描述 工作流定义 结构化配置 自然语言意图链 安全策略 事后响应 事前防御 学习成本 需学习技能开发 只需会说话 适用场景 复杂、重复性自动化 灵活、即兴的系统操作
OpenClaw证明了用户对“AI替自己动手”的巨大渴望。Natural CLI则证明了安全执行层的必要性和可行性。两者的融合,可能才是AI Agent走向大规模生产应用的真正路径。
Natural CLI项目地址:gitee.com/neuxiang/na…
参考文献
[1] Natural CLI项目仓库及文档. Gitee. [2] OpenClaw GitHub仓库及相关安全公告.
