一、OpenClaw 核心架构:Gateway 设计之美
OpenClaw(原 Clawdbot/MoltBot)在 2026 年 2 月达成 GitHub 星标数超越 Linux 内核的历史性里程碑。截至 2026 年 3 月,总星标数突破 27 万,登顶全球软件项目星标榜。其核心架构是 Gateway 网关模式——将 AI 打造为"万能连接器"。
1.1 三大核心模块
从技术实现角度看,OpenClaw 包含三个核心层:
① 统一会话管理层:基于 WebSocket/HTTP 双协议栈实现跨平台消息路由。Gateway 服务默认监听 localhost(127.0.0.1),开放 WebSocket 接口供浏览器 UI 与 Agent 通信。Gateway 负责认证、会话管理、配置存储和 Agent 编排。认证通过 token(长随机字符串)或密码完成。连接的 Nodes(macOS 应用、iOS 设备等)注册后暴露能力——执行系统命令、访问摄像头、读取通讯录等。
② 标准化技能市场(ClawHub) :基于 OpenAPI 3.0 规范构建的技能生态。技能创建需手动编写 YAML/JSON 配置文件,通过 Git 仓库进行版本管理。
③ 动态负载均衡:支持 Kubernetes 集群部署的弹性扩展能力。
1.2 工作流与执行模型
OpenClaw 默认采用 Docker 沙箱隔离执行 Shell 命令,形成三层隔离模型:Docker 沙箱(默认最安全)→ 白名单 + 审批(可控降级)。MCP(Model Context Protocol)协议是工具调用的核心通道,通过 MCPorter 等中间层将第三方 MCP 服务封装为 OpenClaw 可直接调用的能力。
二、技术债务:OpenClaw 的四类硬伤
2.1 Token 雪崩:成本模型的数学本质
OpenClaw 的 API 成本问题根植于其无状态设计——每次 API 调用都是一次全新请求,携带完整的上下文 baggage。
成本构成三要素:
- System Prompt 块(SOUL.md + 工具定义)
- 完整对话历史(Gateway 为每个线程累积的上下文)
- 用户最新消息
一个 4 个单词的提问在 Claude Sonnet(3/百万输入Token)上,单次往返可能消耗6,000−12,000输入Token,成本约3/百万输入 Token)上,成本约0.18。随着对话轮次增加,第 50 轮单次消耗可能突破 10 万 Token。
真实案例触目惊心:3 人团队 30 天消耗 130.5 万美元(约 890 万人民币),调用 6030 亿 Token、760 万次 API 请求。一位开发者睡一觉醒来 API 账单飙到 $1100。
优化方向:缩减 SOUL.md、削减注册工具、压缩历史记录、利用 /compact 压缩上下文可减少 50%+ Token 消耗。
2.2 ClawJacked 与 Claw Chain:安全漏洞的技术根源
ClawJacked(CVE-2026-25253,CVSS 8.8) :
漏洞根源是 OpenClaw Gateway 的两个设计假设:
- localhost 天然可信:浏览器跨域策略不阻挡对 localhost 的 WebSocket 连接
- 速率限制对本地豁免:默认将 127.0.0.1 视为信任来源,防止 CLI 误触锁定
攻击链路:用户访问恶意网站 → 页面 JS 静默连接本地 Gateway WebSocket → 每秒数百次暴力破解密码(速率限制豁免)→ 常见弱密码 <1 秒穷举→ 系统自动批准 localhost 新设备配对→ 攻击者完全控制 Agent,可窃取凭证、读取日志、执行任意 Shell 命令。官方在 24 小时内修复。
Claw Chain(四漏洞链,最高 CVE-2026-44112 CVSS 9.6) :
攻击四阶段:
- 恶意插件或 Prompt 注入在 OpenShell 沙箱内获得代码执行
- CVE-2026-44113/CVE-2026-44115 泄露凭证和敏感文件
- CVE-2026-44118 利用未经验证的
senderIsOwner标志获得 Owner 级控制权 - CVE-2026-44112 植入后门、修改配置、在沙箱外建立持久化
最架构性的漏洞是 CVE-2026-44118——OpenClaw 信任客户端控制的 senderIsOwner 标志而未与会话验证。修复方案:签发独立的 Owner/Non-Owner Bearer Token,senderIsOwner 仅从认证 Token 派生。
2.3 ClawHub 供应链攻击
Koi Security 审计 ClawHub 发现 2,857 个技能中 341 个为恶意(11.9%),设计窃取凭证、打开反向 Shell、劫持 Agent 挖矿。恶意插件伪装成天气工具、办公插件等"刚需"技能。
2.4 其他漏洞与配置门槛
CVE-2026-53864(截至 2026.5.25)、CVE-2026-53825(memory-wiki 路径遍历)、CVE-2026-53826(信息泄露)等漏洞持续曝出。CNNVD 在 2026 年 1-3 月采集 OpenClaw 漏洞 82 个。
部署需 Node.js 22+、环境变量、API Key、Docker、技能手动安装——对非极客极不友好。
三、国产方案的技术对比
国产方案并非简单"套壳",而是在任务规划引擎、工具调用层、安全沙箱、多模态支持等方面做了差异化增强。
3.1 StepClaw(阶跃星辰)—— "桌面端 + 云端"混合架构
自研 Step 3.7 Flash Agent专用模型,在Artificial Analysis (AA) 榜单的输出速度、性价比和端到端响应时长等关键指标上位列第一。
3.2 KimiClaw(月之暗面)—— 云端托管
技术架构:基于 Kimi K2.5 模型的 OpenClaw 云端托管服务。
3.3 ArkClaw(火山引擎)—— Agent Mesh 企业架构
技术架构:基于 Agent Mesh 架构的企业多智能体系统治理方案。云端 SaaS,基于 OpenClaw 构建,一键启用。
四、安全对比:沙箱与权限体系
| 维度 | OpenClaw 原版 | 国产方案 |
|---|---|---|
| 沙箱隔离 | Docker 沙箱(但存在逃逸漏洞) | 硬件虚拟化 + 容器隔离双层防护 |
| 权限验证 | senderIsOwner 客户端可控(已修复) |
服务端强制校验 + 三级分级 |
| 数据存储 | 本地(用户自管) | 境内存储,满足等保要求 |
| 恶意插件 | 341/2857 为恶意(11.9%) | 官方审核 + 沙箱闭环执行 |
五、技术选型建议
| 场景 | 推荐 | 理由 |
|---|---|---|
| 深度定制 + 本地优先 | OpenClaw 原版 | 代码完全开放,架构最自由 |
| 普通开发者快速上手 | StepClaw / KimiClaw | 零配置、扫码即用、中文原生 |
| 企业级生产环境 | ArkClaw / DuMate | 多活容灾、沙箱隔离、等保合规 |
开发者 checklist:
- 无论选哪家,API Key 设消费上限 + 账单告警
- 工作目录单独建
claw_workspace,不给根目录权限 - 大版本更新前备份:自定义提示词 / Skill 配置 / 已生成文件
- 认准官方渠道下载,警惕第三方"破解版""汉化版"
工具选国产还是原版,取决于你是"想省事看清效果"还是"想改框架自己造"。对大部分开发者而言,现阶段国产那只更对得起你的时间。
