基于《OpenClaw 橙皮书:从入门到精通》整理,结合生产落地实践
一、OpenClaw 是什么
如果你用过 ChatGPT,你大概有这种体验——它像一个学识渊博的顾问:你问,它答,结束。
OpenClaw 不一样。它是一个 AI Agent 平台,能连接 20+ 消息渠道(WhatsApp、Telegram、飞书、钉钉、Discord、微信等),主动执行任务、管理你的日程、处理邮件、操作浏览器、调用各种工具。
《橙皮书》里有一句话把这个差异说得很清楚:
ChatGPT 是「顾问」,OpenClaw 是「员工」。
顾问给建议,员工干活。顾问离开会议室就没了,员工 24/7 在线。
二、从周末项目到 GitHub 全球第一
OpenClaw 的诞生故事值得一提。
2025 年 11 月,奥地利开发者 Peter Steinberger(iOS/macOS 圈知名开发者)在一个周末写了一个能连接即时通讯平台的 AI 助手小工具,起名 ClawdBot。这个项目两个月后成为 GitHub 增长最快的开源项目。
到 2026 年 3 月,这个数字令人震惊:
- • Peter 个人提交 11,684 次 commit
- • 贡献者超过 1,075 人
- • Stars 数量超过 React 用了 10 年才积累的 23 万
名字经历了两次变更:
- • ClawdBot(向 Anthropic Claude 致敬,Claw = 爪子)
- • → Moltbot(因 Anthropic 商标警告,Molt = 龙虾蜕壳)
- • → OpenClaw(强调开源属性)
龙虾的吉祥物形象始终保留,也成了整个社区的文化符号。"养虾"这个词,在 OpenClaw 社区里指的就是"运行和培养你的 AI Agent"。
目前 OpenClaw 已转为开源基金会运营,OpenAI 是赞助商之一(与 Vercel、Blacksmith、Convex 并列),但不控制项目方向。Peter 加入了 OpenAI,但承诺继续投入 OpenClaw 的开发。
三、系统架构:Gateway-Node-Channel 三层模型
OpenClaw 采用 Gateway-Node-Channel 三层架构,以 WebSocket 为通信总线,将控制平面、设备执行与消息渠道解耦。
┌─────────────────────────────────────┐消息渠道层 │ Telegram / 飞书 / 微信 / Discord ...│(Channel) └──────────────┬──────────────────────┘ │ ┌──────────────▼──────────────────────┐控制层 │ OpenClaw Gateway │(Gateway) │ ws://127.0.0.1:18789 │ └──────────────┬──────────────────────┘ │ ┌──────────────▼──────────────────────┐执行层 │ Node / Agent / Skills │(Node) │ 记忆系统 / 工具调用 / 模型接入 │ └─────────────────────────────────────┘
三个层级各司其职:
- • Channel(渠道层):负责消息的收发,支持 20+ IM 平台
- • Gateway(控制层):统一入口,WebSocket 协议,认证与路由
- • Node(执行层):Skills 执行、记忆管理、模型调用
这种解耦设计的好处是:换渠道不影响 Agent 逻辑,换模型不影响渠道配置,各层可以独立演进。
四、记忆系统:让 Agent 有"人格"
OpenClaw 的记忆系统是它区别于普通聊天机器人的核心能力之一。
书中提到了一个设计意图,描述私聊与群组的行为差异:
私聊是「你和 Agent 的私密空间」,所有记忆和偏好都在这里积累。群组是公共场合,Agent 不会泄露你在私聊中说过的内容。
记忆存储在两个关键文件中:
- • SOUL.md:Agent 的核心行为准则,定义人格
- • MEMORY.md:长期记忆,积累偏好和历史
这种设计让 Agent 真正能"了解"你这个用户,但也带来了安全隐患——这两个文件是攻击者的高价值目标(详见第六章)。
五、渠道接入:统一三步流程
OpenClaw 通过 Gateway 架构统一连接各平台,所有渠道共享同一套接入模式:
创建凭证 → 写入配置 → 启动 Gateway
5.1 Telegram(最推荐的入门渠道)
Telegram 是官方推荐的入门渠道。Long-polling 模式的最大优点是不需要公网 IP 和端口转发,本地、NAT 后面、防火墙内都能正常工作。
# ~/.openclaw/openclaw.yamlchannels: telegram: enabled: true botToken: "${TELEGRAM_BOT_TOKEN}" dmPolicy: pairing # 需配对码才能使用
接入步骤:
-
- 找 @BotFather,发送
/newbot命令创建 bot,获取 Token
- 找 @BotFather,发送
-
- 将 Token 写入配置文件
-
- 重启 Gateway,发消息触发配对流程
5.2 国内平台现状
| 平台 | 接入成熟度 | 特点 |
|---|---|---|
| 飞书 | 官方级支持 | 与火山引擎深度集成 |
| 官方级支持 | - | |
| 钉钉 | 社区插件成熟 | - |
| 企业微信 | 社区插件成熟 | - |
| 微信个人号 | 2026.3.22 官方解法上线 | ClawBot 官方插件 |
微信个人号的接入历来是最大痛点——没有官方 API,只能走企微中转或 iPad 协议,封号风险高。2026 年 3 月 22 日,微信团队推出了 ClawBot 官方插件,这个问题终于有了正道解法。ClawBot 的本质是一条消息通道:你的微信通讯录里会多一个叫「微信 ClawBot」的好友,已有的任何 OpenClaw 实例都可以通过它与你的微信对话。
六、Skills 生态:能力扩展与安全警戒线
Skills 是 OpenClaw 的能力扩展机制,类似 npm 之于 Node.js。每个 Skill 本质上是注入 Agent 上下文窗口的结构化指令文件(SKILL.md)。
Skills 有三个来源,优先级从高到低:
-
- Workspace 级(项目内 Skills,优先级最高)
-
- 用户级(用户安装的 Skills)
-
- 内置 Skills(OpenClaw 自带的 55 个)
ClawHub(clawhub.com)是官方 Skill 注册表,提供基于向量搜索的 Skill 发现、版本管理和社区评分。目前已有 13,729 个 Skills,但超过 50% 被判定为垃圾/重复/低质量,396 个被标记为恶意。
6.1 ClawHavoc 供应链攻击事件
2026 年 1 月到 2 月,OpenClaw 社区遭遇了被命名为 ClawHavoc 的大规模供应链攻击。攻击链路:
发布高星 Skill → 诱导安装 → 建议安装"helper agent" → 植入 AMOS 信息窃取木马 → 篡改 SOUL.md / MEMORY.md
篡改 SOUL.md 意味着 Agent 被"洗脑"——它的核心行为准则被改写,可能在后续所有交互中执行恶意操作,而用户完全不知情。
关键认知:OpenClaw 的 Skill 本质上是受信任代码。一旦安装,它就拥有和你的 OpenClaw 实例相同的权限。没有沙箱隔离,没有权限分级。
这和 npm 生态早期面临的问题一模一样,但后果可能更严重,因为 OpenClaw 可以访问你的邮件、日历、消息和文件系统。
6.2 Skill 安全实践
# 1) 安装开源安全扫描工具npm install -g secureclaw# 2) 扫描已安装的 Skillssecureclaw scan ~/.openclaw/skills/# 3) 安装前关键字快速审计rg -n "helper|osascript|curl\s+http|wget\s+http|rm\s+-rf" \ ~/.openclaw/skills/ -S
- • 优先参考 awesome-openclaw-skills 精选列表(31.4K Stars)
- • 定期检查 SOUL.md 和 MEMORY.md 有无异常内容
- • 遵循最小安装原则——每个 Skill 会增加 system prompt 长度,建议从 3-5 个开始
七、模型配置:自由选择,智能降级
OpenClaw 最大的优势之一是模型自由:你不被绑定在某一家厂商上。
7.1 配置结构
{ "env": { "API_KEY": "sk-xxx" }, "agents": { "defaults": { "model": { "primary": "provider/model-name", "fallbacks": ["provider/model-b"] } } }, "models": { "mode": "merge", "providers": {} }}
models.mode: "merge" 非常关键:它保留内置 Provider 并叠加自定义配置,避免误覆盖。
7.2 国产模型选型
| 模型 | 输入价格 | 特点 |
|---|---|---|
| DeepSeek-V3.2.2 | $0.14/M tokens | 性价比之王,约为 Claude Sonnet 的 1/20 |
| GLM-5 | $0.80/M tokens | 代码能力最强,SWE-bench 开源模型最高分 |
| GLM-5-Turbo | 比 GLM-5 贵 20% | 首个专为 OpenClaw 优化的训练模型 |
| GLM-4.5-Flash | 完全免费 | 适合心跳任务和简单对话 |
| MiniMax M2.5 | - | 230B 参数,SWE-Bench 80.2% |
GLM-5-Turbo 的独特之处:2026 年 3 月 16 日智谱发布,官方定位"首个龙虾模型",从训练阶段就专为 OpenClaw 深度优化,重点强化了:工具调用准确性、多步骤指令跟踪、长时间持久任务、长链执行稳定性。
聚合平台推荐:
- • 硅基流动 SiliconFlow:国内首选,一个 API 调多个开源模型,有免费额度
- • OpenRouter:290+ 模型,有 5.5% 平台费,内置 OpenClaw 支持
7.3 推荐方案:混合最优(月均 $5-20)
复杂任务 → Claude Sonnet 4.6日常对话 → DeepSeek-V3.2心跳/定时 → Gemini Flash 或本地 OllamaFallback 链 → Sonnet → Haiku → DeepSeek-V3.2
这是大多数用户的最佳选择。大部分简单任务自动走最便宜的模型,只有复杂任务才使用主力模型。
八、安全威胁全景
OpenClaw 创始人 Peter 对安全问题保持了罕见的坦诚:
"This is all vibe code. Prompt injection hasn't been solved. There are absolute risks."
(这全是 vibe code。Prompt injection 没有被解决。存在绝对风险。)
8.1 已知重大安全事件
CVE-2026-25253(RCE 漏洞)
- • 曾让 13.5 万个暴露实例面临远程代码执行风险
- • 攻击者可远程在服务器上执行任意命令、读取文件、窃取 API Key
30,000+ 未认证实例
- • 安全研究者通过互联网扫描发现,超过 30,000 台实例暴露在公网且未配置任何认证
- • 任何人都可以连接并向 Agent 发送指令,消耗你的 API 额度,读取你的个人数据
ClawHavoc 供应链攻击
8.2 Gateway 安全基线(最小可用配置)
# ~/.openclaw/openclaw.yamlgateway: host: 127.0.0.1 # 仅监听本地,不对外暴露 port: 18789 auth: mode: token # 显式配置认证模式(v2026 新要求,不设置将无法启动) token: ${OPENCLAW_GATEWAY_TOKEN}
验证命令:
# 检查端口是否只在本机监听lsof -nP -iTCP:18789 -sTCP:LISTEN# 检查认证模式是否显式配置rg -n "auth:" ~/.openclaw/openclaw.yaml
远程访问推荐走 Tailscale Serve/Funnel,而不是直接暴露 18789 端口。
九、成本控制:防止"一觉醒来 $1,100 账单"
API 费用是 OpenClaw 运营的最大成本风险。这不是危言耸听——书中记录了真实案例:用户设置了处理邮件的 Cron 任务,Agent 在处理邮件时进入循环推理,整晚不停调用 API,第二天早上收到了 $1,100 账单。
为什么 OpenClaw 的 Token 消耗远超普通聊天
- • 一个任务可能触发 5-10 次 API 调用(多轮推理)
- • Skills 的描述会注入 system prompt,增加每次请求的输入 token
- • 记忆系统(MEMORY.md + Daily Logs)在每次请求中附带上下文
- • Cron 任务 24/7 不断触发 API 调用
- • 多轮思考 + 多工具调用的 Token 消耗可能是传统聊天的 几十甚至上百倍
核心省钱策略:Fallback 链
Fallback 链的原理很简单:主模型不可用时自动降级到更便宜的模型。聪明的用法是主动利用它控制成本:
Claude Sonnet → Claude Haiku → DeepSeek-V3.2
三级 Fallback 链可以降低 80-95% 的 API 成本。大部分简单任务会自动走最便宜的模型,只有复杂任务才用到主力模型。
护栏配置
-
- 在模型平台控制台设置每日硬预算上限(哪怕设 $5,也能防止失控)
-
- 给高频 Cron 任务绑定低成本模型(心跳任务用 Gemini Flash 免费额度)
-
- 升级前先备份:
openclaw backup create
- 升级前先备份:
十、生产落地:三层治理框架
把 OpenClaw 从"能跑"升级到"可长期稳定运行",需要三层治理:
入口安全层 ── 不让未授权连接进来供应链安全层 ── 降低恶意 Skill 风险 成本治理层 ── 防止 Token 失控
每日巡检脚本
#!/usr/bin/env bashset -euo pipefailLOG_DIR="${HOME}/.openclaw/audit"LOG_FILE="${LOG_DIR}/daily-guard.log"mkdir -p "${LOG_DIR}"{ echo "[$(date '+%F %T')] 开始每日巡检" # 1) 配置备份 openclaw backup create --only-config # 2) Skill 安全扫描 secureclaw scan "${HOME}/.openclaw/skills" || true # 3) 端口暴露检查 if lsof -nP -iTCP:18789 -sTCP:LISTEN | rg -q "127.0.0.1:18789"; then echo "Gateway 监听检查通过:仅本地可见" else echo "[告警] Gateway 可能暴露到非本地地址" fi echo "[$(date '+%F %T')] 每日巡检完成"} | tee -a "${LOG_FILE}"
配合 crontab 每天早上 7:30 自动执行:
30 7 * * * /bin/bash /opt/openclaw/scripts/daily_guard.sh
十一、国内部署选型指南
| 场景 | 推荐方案 | 月费估算 |
|---|---|---|
| 零门槛体验 | 扣子编程(code.coze.cn)一键部署 | 免费 |
| 性价比首选 | 火山引擎 + DeepSeek(飞书深度集成) | ~¥19/月 |
| 首月试错 | 百度智能云(0.01 元首月) | ¥0.01 首月 |
| 企业合规 | 华为云(已在华为云生态内) | 按用量 |
| 容器化部署 | Sealos(K8s 原生) | 7 天免费 |
| 海外/台湾用户 | Zeabur(已部署 29,000+ 次) | 按需 |
十二、vs Claude Code:互补,不是替代
这是很多人会问的问题。
Claude Code 管代码,OpenClaw 管生活。两者是互补关系,不是替代关系。
Claude Code 是一个面向代码任务的 CLI 工具,擅长代码理解、生成、重构。
OpenClaw 适合的场景是:
- • 一个能在 WhatsApp/Telegram/飞书里随手叫醒的 Agent
- • 一个长期在线、能积累人格和记忆的 Agent
- • 一个可自托管、可 hack、可接各种设备的个人自动化系统
OpenClaw 生态中还衍生出了 Moltbook——一个专供 AI Agent 使用的社交平台。数千个 OpenClaw 实例在上面发帖、评论、讨论哲学问题。这可能是 AI Agent 从"工具"走向"社会化存在"的第一个大规模实验场。
小结
OpenClaw 的火爆背后是一个真实的趋势:AI Agent 正在从一次性对话走向持续在线的自动化员工。
但这个转变也带来了新的复杂性:Gateway 安全、Skill 供应链、Token 成本——这些都是把 Agent 跑成"生产系统"必须面对的工程问题。
一句话总结生产落地的优先级:
先收口入口安全,再治理 Skill 供应链,最后做成本闭环。
只要把这三层打牢,OpenClaw 才能真正从"能跑"进化到"稳定产出"。
参考资料
- • OpenClaw 橙皮书:从入门到精通
2026.04.10 17:56 沪 · 汇金路KFC
📌 声明:本文由 AI 辅助完成
