作者:Kesha Williams
译者:Carl Cui
译者之前写了篇介绍 OpenClaw 的文章:不一样的 OpenClaw,简述了 OpenClaw 这个项目的来龙去脉,并从安全角度讨论了这个明星项目面临的现实问题。随后译者看到了 Kesha Williams 这篇文章,她思考了 OpenClaw 的火爆给 AI Agent 发展带来的启示,值得我们参考,以下是整理翻译后的内容。
1. 自主 AI 并非新事物
OpenClaw 的异军突起感觉与 2023 年 4 月 AutoGPT 横空出世时相似。那时候它也和现在一样,在 GitHub 上迅速走红,承诺能实现 AI 的自主。但实际情况是,那些 agents 陷入了死循环,经常产生幻觉,还造成了高昂的 token 成本。没过多久,人们就纷纷放弃了。
OpenClaw 有一个关键优势:模型变得更好了。最近的 LLM(如 Claude Opus 4.6 和 GPT-5.4)允许模型将各种工具串联起来、从错误中恢复,并规划多步骤策略。OpenClaw 项目既得益于设计,也得益于时机。
OpenClaw 的架构故意保持简单。没有矢量数据库,也没有多 agent 编排框架。Persistent memory 就是磁盘上的 Markdown 文件。让我重复一遍:Persistent memory 就是磁盘上的 Markdown 文件!这个 agent 可以读取昨天的笔记,并在自己的文件中搜索额外的上下文。你可以根据需要查看和编辑 agent 的文件。这其中有一个有用的经验教训:并非每个 agent system 都需要复杂的 memory 策略。更重要的是你理解 agent 在做什么,并且它能够在多次运行中保持上下文。
OpenClaw 让我着迷的地方在于,它没有一个单独的部分是新的:跨会话的 persistent memory?我们已经开发了很多年了;按计划触发 agent 操作的 Cron 作业?几十年前的基础架构;可扩展的插件系统?非常标准的模式;将 Webhooks 接入 WhatsApp 和 Telegram?这方面的应用程序接口(API)都有详细记录。OpenClaw 的做法是,在底层模型可以执行多步骤计划时,将它们连接在一起。这种组合创造出了一种与以往任何产品都截然不同的 agent。
2. 那为什么 OpenClaw 这么流行
OpenClaw 解决了之前 agents 项目没抓住的三个问题:便利性、主动性和可扩展性
2.1 便利性
它每天都在您身边。OpenClaw 可连接 WhatsApp、Slack、Discord、Telegram 和 Signal。这一设计决定改变了它的发展轨迹。Agents 成为您工作流程的积极参与者。人们用它来管理销售管道、自动发送电子邮件,并通过手机启动代码审查。
2.2 主动性
OpenClaw 不等你提出要求;它使用 cron 作业按照设定的时间表运行任务。它可以每天早上 6 点检查你的电子邮件,在你醒来之前起草回复,甚至帮你发送。当有任何事情需要你关注时,它就会伸出援手。当 agent 集成到熟悉的渠道中时,它就会成为日常生活的一部分。
2.3 开放性和扩展性
最后,我最喜欢的一点是它的开放性和可扩展性。OpenClaw 支持 skills,它允许社区在 ClawHub 上构建和共享模块化扩展。有数以千计的 skills 可以插入到您的 agent 中。Agents 甚至可以编写自己的新 skill 并继续使用。这种可扩展性意味着更多的 skills、更多的用户和更多的攻击面。
社区随之兴起。一个专为 AI agents 服务的社交网络 Moltbook 于 1 月下旬推出,agent 账户数量已超过 150 万个。一位 agent 在 MoltMatch 上为自己的主人创建了一个交友档案,并开始筛选匹配对象,而无需经过任何询问。
我承认,我被它迷住了,但这并不奇怪;我一直是新兴技术的早期采用者。我买了一台 Mac mini,安装了 OpenClaw,并将其连接到我的 Jira、AWS 和 GitHub 账户。很快,我的 Jarvis 就能编写代码、提交 PR、运行日常维护,并使用 AWS CloudFormation 和 AWS CLI 将代码部署到 AWS。
我花了很多时间将网关绑定到 localhost,审核每项 skill,并限制文件系统权限。对我来说,安全加固是必须项。我现在通过云主机部署 OpenClaw,云主机增加了网络隔离和可管理的安全层,这在家庭办公室的 Mac mini 上很难办到。
3. 没有人愿意谈论的安全问题
OpenClaw 要求对系统进行 root 级访问。它需要你的电子邮件凭据、API 密钥、日历令牌、浏览器 cookie、文件系统访问权限和终端权限。这些会让我彻夜难眠。
安全研究人员发现有 13.5 万个 OpenClaw 实例暴露在开放互联网上,其中 1.5 万多个容易被远程执行代码。默认配置将网关绑定到 0.0.0.0,没有身份认证。三月初披露的零点击漏洞允许攻击者通过让用户访问一个网页来劫持一个 OpenClaw 实例。
Skill 市场也受到了攻击。研究人员在 ClawHub 上发现了 800 多种传播恶意软件的恶意 skills,其中包括针对 macOS 的凭据窃取程序。思科证实,有一个第三方 skill 在用户不知情的情况下执行数据渗出和提示注入。这些并非边缘案例,而是直接说明了当 agent 可以在具有真实权限和薄弱控制的真实系统中行动时会发生什么。
4. 实践者需要注意的地方
OpenClaw 之所以重要,与 2022 年末 ChatGPT 之所以重要的原因如出一辙。大量的人刚刚第一次体验了 AI agent 为他们完成真正工作的感觉。这改变了他们对未来每一款产品的期望。
如果你正在构建 AI 系统,请关注这里的三个信号:
事实证明,对 agent 最有效的界面是每个人手机上的界面。你的 agent 策略不应该要求用户学习一个新的工具;这就是为什么大多数产品都在引入 agent 功能的原因。
控制是设计的核心挑战。Prompt injection、凭证暴露和通过插件市场的攻击都是在 agent 功能发布前需要解决的实际问题。必须在运行时进行监督。您需要了解 agent 正在访问什么、在做什么以及如何处理故障。权限边界、审批门、审计日志和恢复机制都是不容商量的。
OpenClaw 是一个市场证明。它证明,人们已经准备好将 AI 大众化。人们需要一个能访问他们的应用程序并能为他们做事的个人 AI agent。这一需求现在得到了大规模验证。AutoGPT 证明了人们对自主 AI 的需求,而 Perplexity 和 Cursor 则围绕这一需求建立了业务。同样的模式也可能在这里上演。如果你正在这个领域开展业务,那么机会就来了。
现在更有趣的问题是,下一步要做什么。下一阶段的 agent 设计将取决于 agent 在现实环境中的可管理性、可观察性和安全性。