今年AI圈打招呼的方式变了:“你养龙虾了吗?”
“龙虾”并非水产,而是开源本地自主智能体框架OpenClaw——2025年11月由奥地利iOS工程师Peter Steinberger发起,2026年1月30日正式定名。截至2026年初,这个项目在GitHub上已狂揽25万Star。
作为一个写代码的人,我对“养虾”这件事的关注点不在概念包装,而在技术实现。这篇文章,我们不聊虚的,直接扒开OpenClaw的源码外衣,从架构设计、执行链路、安全漏洞到国产“xxClaw”军团的技术路线,逐一拆解。
一、OpenClaw核心架构:三层解耦,各司其职
OpenClaw异于传统Agent框架(如LangChain)的地方在于:它是一个 “云端大脑+本地肢体” 的结构。
Orchestrator(大脑) :通常部署在GPU集群或云端,负责LLM推理和任务拆解。
Gateway(协议桥) :负责鉴权、流量整形以及将LLM生成的JSON指令翻译成特定环境的指令集。Gateway本质上是一个HTTP和WebSocket服务,启动时与注册的Channel(如Telegram机器人)建立WebSocket长连接。核心实现位于src/gateway/server.ts,通过@route_to_executor装饰器做上下文压缩(Context Pruning)。
Gateway通过系统服务管理保持24×7运行:
bash
代码解读
复制代码
# macOS
launchctl load ~/Library/LaunchAgents/ai.openclaw.gateway.plist
# Linux
systemctl --user enable --now openclaw-gateway.service
Pi-embedded(执行端) :运行在Mac/Linux或树莓派上,真正执行Python脚本、截图或点按鼠标。这是OpenClaw最硬核的部分——进入packages/pi-embedded/runtime,你会发现它并没有直接调用系统的subprocess,而是实现了一套名为 “Cell Isolation”的沙箱机制。核心执行引擎包含两个模块:
- Environment Snapshot:执行前先快照当前环境变量
- Skill Loader:动态加载
.ocskill文件
工程避坑点:Pi-embedded默认在独立的venv中运行。自定义Skill找不到第三方库时,需要在
claws.yaml中明确定义dependencies,由执行端在启动时自动静默安装。另外,Gateway默认使用Redis维护节点心跳,如果Redis挂了或网络延迟大,指令会在Gateway堆积。
完整调用链(以“查CPU温度并生成图表”为例):
javascript
代码解读
复制代码
Orchestrator → 识别System_Monitor技能,生成JSON指令
Gateway → 验证签名,查找在线Pi节点,封装Protobuf通过WebSocket发送
Pi-embedded Receiver → 解包
Sandbox → 启动临时Python进程,挂载传感器权限
Skill Execution → 执行get_temp.py
Callback → 结果(图片二进制流)沿原路返回
二、Skills技能系统:教AI“如何做事”
Skills是OpenClaw的核心扩展机制。每个技能都是一个目录,包含一个带有YAML frontmatter和Markdown指令的SKILL.md文件。
Skills采用 “渐进式披露”设计原则——元数据、核心指令和资源文件分层加载,在保证功能完整性的同时节省上下文空间,使OpenClaw能同时支持数十个技能而不影响响应质量。
与传统插件系统的关键差异:
| 特性 | 传统插件系统 | OpenClaw Skills |
|---|---|---|
| 加载机制 | 启动时全量加载 | 按需动态加载 |
| 配置复杂度 | 需要注册表、依赖注入 | 仅需SKILL.md文件 |
| 上下文占用 | 常驻内存 | 按需加载 |
| 调试方式 | 需要重启服务 | 热更新,即时生效 |
技能按功能可分为工具型(命令行/API封装)、数据型(数据库/文件处理)、AI型(NLP/图像识别)等。
开发建议:Skills官方文档强调两条原则—— “保持精简” (指示模型要做什么,而不是如何当AI)和 “安全优先” (如果技能使用
exec,确保提示不允许来自不受信输入的任意命令注入)。
三、安全漏洞:CVE清单与攻击面分析
OpenClaw的安全问题不是概念性的,而是有实打实的CVE编号和PoC的。
已公开的CVE漏洞:
- CVE-2026-53826(CVSS 4.2):OpenClaw 2026.4.25及之前版本存在信息泄露漏洞,可远程触发
- CVE-2026-53810(CVSS 7.4/8.8):OpenClaw 2026.5.17及之前版本存在权限提升漏洞(CWE-829),可远程攻击
- CVE-2026-44113(CVSS 7.7):OpenShell中的TOCTOU竞态条件,允许攻击者将安全文件路径替换为符号链接,绕过沙箱读取挂载根目录以外的文件
- CNVD-2026-18601:OpenClaw远程代码执行漏洞
- Active Memory Write Scope权限提升:OpenClaw 2026.5.6之前版本,Gateway operators可通过
operator.write权限修改全局配置
三大攻击路径(国家资通安全研究院实测报告):
- 间接提示词注入:攻击者在正常网页中以零尺寸
<span>元素和HashJack URL fragment隐藏恶意指令。OpenClaw读取后即被劫持,可列目录、读凭证、删日志、外泄数据。Telegram的Link Preview机制会形成二次外泄管道 - 伪装技能:攻击者将恶意指令写入技能包(如伪装的“天气查询”技能),安装和执行全程不触发任何安全警告。用户查询天气的同时,Gateway Auth Token已在后台被窃取
- 长时间运行导致安全守则遗忘:OpenClaw在长时间运行后可能丢失初始安全约束
此外,FreeBuf的研究指出,提示词注入在整个行业内基本仍未解决,且没有任何标准规定消息对象在到达LLM前应如何序列化。攻击者可以在图像底部嵌入与背景色几乎一致的指令文字,受害者分享图片给AI后即可触发。
四、国产“xxClaw”军团:技术路线横向对比
基于2026年3月的权威测评数据,国产AI智能体已形成清晰的技术分化。
第一类:大模型厂商——模型+Agent一体化
StepClaw(阶跃AI) :采用“桌面端+云端”混合架构,技术架构分三层:
- 感知层:集成多模态编码器,支持文本/图像/语音联合理解
- 决策层:强化学习驱动的任务规划模块
- 执行层:5000+可组合技能模块
AutoClaw(智谱) :深度集成专为Agent优化的Pony-Alpha-2模型,集成AutoGLM Browser-Use能力实现长链路自动化。架构围绕LLM(大脑)+ Agent(智能体)+ Skills(技能模板)+ MCP(万能插头)四大概念展开。
KimiClaw(月之暗面) :三层架构——K2.5模型做推理大脑 + OpenClaw负责指令执行 + ClawHub技能市场(5000+技能)。提供40GB免费云存储。
第二类:互联网大厂——生态入口争夺
QClaw(腾讯) :五层架构——交互层(微信/桌面端)、理解层(LLM多模型路由)、规划层(任务分解与编排)、执行层(5000+ Skills)、记忆层(本地持续记忆)。逻辑上分为用户交互层、理解层、规划层、执行层四层。
CoPaw(阿里) :Apache 2.0开源。核心架构模块化重构——Prompt、Hooks、Tools、Memory等组件解耦,开发者可独立替换或扩展任意模块。原生支持钉钉、飞书、QQ等。三条命令完成本地部署,兼容Ollama、DeepSeek等国产模型。
ArkClaw(字节/火山引擎) :基于Agent Mesh架构的企业多智能体治理方案。底层搭载字节自研DPU,通过硬件加速将响应延迟控制在200ms以内。
第三类:开源平替
LobsterAI(网易有道) :MIT协议,基于Electron+React+TypeScript构建。采用进程隔离架构——主进程负责窗口管理、SQLite持久化、Claude Agent SDK执行引擎、IM网关。支持本地模式或QEMU+Alpine Linux沙箱隔离运行。兼容OpenClaw的5000+技能。
五、开发者视角:技术趋势与工程启示
趋势一:架构从单体走向分层解耦。OpenClaw的Orchestrator-Gateway-Pi三层架构已成行业模板,国产方案在此基础上各自演化——StepClaw走云端推理+本地执行混合路线,miclaw走端侧原生路线。
趋势二:安全从“可选项”变成“必选项” 。CNCERT的预警、工信部的《龙虾安全养殖手册》、一连串CVE的公开,都在倒逼安全机制升级。NemoClaw的OpenShell默认拒绝(Deny-by-default)白名单网络策略代表了一种方向——零信任架构才是Agent落地的必要条件。
趋势三:技能生态从“开放”走向“可控” 。ClawHub匿名社区模式在国内企服市场大概率行不通,会被“官方审核商店”取代。从工程角度看,技能包的签名验证、沙箱隔离、行为审计,是接下来每个“xxClaw”团队必须解决的技术债。
趋势四:Token优化成为核心竞争力。miclaw通过多级提示词设计优化节省50%-90% Token开销,这正是黄仁勋在GTC 2026上所说“智能体创造的价值必须大于它消耗的算力成本”的工程落地。
写在最后
养龙虾这件事,今天看是极客玩法,明天看可能是办公标配,后天看或许就是操作系统的原生能力了。
但作为一个开发者,我的建议是:别只当“养虾人”,要当“造虾人” 。OpenClaw的源码在那里(packages/pi-embedded/runtime里的Cell Isolation机制、src/gateway/server.ts里的上下文压缩逻辑、Skills系统的热更新机制),每一行都是值得研究的工程样本。
蜕壳才刚刚开始。而每一次蜕壳,都是代码重构的机会。
