开发者工具

OpenClaw 简调

一个可自托管的个人 AI Agent:用常驻 Gateway 连接聊天渠道、模型、工具与扩展。

OpenClaw personal-ai-agent agent-gateway chat-channel-integration skills-registry 一个可自托管的个人 AI Agent:用常驻 Gateway 连接聊天渠道、模型、工具与扩展。

Frontmatter

结构化元信息

实体类型
开源项目
主分类
开发者工具
产品状态
已上线
开放状态
开源
产品形态
Agent框架
能力标签
自动化代码文本语音多模态
目标用户
开发者消费者
交付方式
自托管
模型策略
第三方模型 API / 本地模型服务兼容
部署方式
本地部署 / 自托管服务器
技术披露
公开较多
是否实测
未测试
融资阶段
未找到足够公开资料
信息截至
2026-06-29
最后复查
2026-06-29

OpenClaw

1. 调研缘由

截至 2026-06-29,OpenClaw 的 GitHub 仓库显示约 38.1 万 Stars、约 7.98 万 Forks、217 个 Releases,并显示约 1,126 个 “Used by” 项目。[S8] 这些数字反映的是开发者的关注和二次开发信号,并不等同于真实的活跃用户数、客户数或商业收入。

其 Releases 页面显示,2026.6.10 于 2026-06-24 发布为最新正式版;2026.6.11-beta.2 于 2026-06-28 发布为预发布版本。[S9]

OpenClaw 的产品形态也比较少见:它不是一个单独的网页聊天助手,而是把常用的聊天软件、本机或服务器上的 Agent、模型提供商和工具调用接在一起。[S1][S2]

安全讨论是这篇 Brief 的另一条主线。微软分析了高权限 Agent 在外部内容输入下可能遭遇的间接提示注入风险;Palo Alto Networks Unit 42 则披露了 ClawHub 上曾出现绕过自动扫描的恶意 Skills。[S10][S11]

本篇重点回答三件事:

  1. OpenClaw 是聊天软件里的个人助手,还是本地 Agent 的长期运行环境?
  2. 它的差异化主要来自多渠道接入、自托管,还是 ClawHub 的 Skills/Plugins 生态?
  3. 当 Agent 能访问本机工具、聊天消息和第三方扩展时,官方安全机制覆盖到什么程度,部署者还要承担什么责任?

2. 简介与产品工作流

OpenClaw 官方把自己定义为一个 self-hosted Gateway。说得直白一点,Gateway 就是一段跑在你电脑或服务器上的中枢程序:它把聊天软件里的消息转给 AI Agent,再把 Agent 的回复或执行结果送回原来的渠道。[S1]

官方文档列出的渠道包括 Discord、Google Chat、iMessage、Matrix、Microsoft Teams、Signal、Slack、Telegram、WhatsApp 和 Zalo 等。不同渠道在媒体、反应和权限方面的能力并不完全一样。[S1][S2] OpenClaw 还提供语音交互。官方 README 将 Voice Wake 和 Talk Mode 列为能力:macOS/iOS 支持唤醒词,Android 支持持续语音;README 同时标出了 ElevenLabs 与系统 TTS 回退。[S15] 更详细的 Android 文档说明,Talk Mode 默认使用本地语音识别、Gateway chat 与已配置的 talk.speak;只有 talk.speak 不可用时,才使用本地系统 TTS。Android 当前不启用 Voice Wake,而是通过 Voice 标签页里的手动麦克风流程进入语音交互。[S16]

一个典型工作流可以概括为:

  1. 你在自己的电脑或服务器上运行 Gateway。[S1]
  2. 你连接聊天渠道,并配置模型提供商和默认模型。[S1][S3]
  3. 你通过已连接的聊天渠道发送任务或消息。[S2]
  4. Agent 按当前的工具策略、权限和可用能力调用工具。官方列出的工具包括终端命令、浏览器、网页搜索、消息发送、文件读写和图像生成等。[S4]
  5. 你可以通过 Skills 添加可复用的工作说明,或通过 Plugins 添加渠道、模型提供商、工具、语音、搜索等代码能力。[S4][S5]

OpenClaw 的安装和配置涉及命令行、模型凭证、聊天渠道和工具权限。目前它更适合愿意自己部署和折腾配置的开发者或高级用户;最终使用者则可以通过聊天渠道与个人 Agent 交互。[S1][S3][S7]

3. 团队与资本背景

OpenClaw 的 GitHub 仓库写明,项目由 Peter Steinberger 与社区为个人助手 Molty 开发。[S8]

这次没有找到足够公开资料来确认 OpenClaw 的完整核心团队名单、公司主体、融资轮次、估值或资本结构。

4. 技术基础与生态位

OpenClaw 不以自研基础模型为核心。它的文档允许用户选择不同模型提供商,也支持 LM Studio、Ollama、vLLM、SGLang 等本地或自托管模型服务。[S3]

因此,OpenClaw 的模型策略可记录为“第三方模型 API / 本地模型服务兼容”。它的重点是把模型放进一个持续运行的 Agent 环境里,把消息渠道、工具、会话状态和扩展能力都接起来。[S1][S3][S4]

OpenClaw 把扩展能力分成三类:

  • Tools:Agent 可以直接调用的动作,例如 exec、浏览器、网页搜索、消息发送和文件操作。[S4]
  • Skills:写在 SKILL.md 中的工作说明。它们会作为指令加载给 Agent,用于固定流程、检查清单、操作约束或命令顺序。[S4]
  • Plugins:可以新增渠道、模型提供商、工具、语音、实时转写、媒体能力、网页搜索等功能的安装包。[S5]

ClawHub 是 OpenClaw 的公共 Skills 与 Plugins 注册表。你可以在上面搜索、安装和更新 Skills,也可以安装 Plugins;注册表会记录版本、标签、变更记录、下载量、Stars 和安全扫描摘要。[S6]

在本库的分类里,OpenClaw 更接近“个人 Agent 的自托管入口与编排工具”。它不训练基础模型,主要负责把模型、聊天入口、工具调用和扩展接进同一套部署环境。[S1][S3][S4]

安全边界方面,官方明确把推荐模型限定为“一个 Gateway 对应一个可信操作者边界”。官方不把单个共享 Gateway 视为多个互不信任用户之间的安全隔离边界。[S7]

5. 市场与外部信号

OpenClaw 采用 MIT 开源许可证。[S1][S8] 这次没有在官方文档里找到统一的软件订阅定价页;实际使用成本会随模型提供商、本地硬件和服务器部署方式而变化。

截至 2026-06-29,GitHub 仓库显示约 38.1 万 Stars、约 7.98 万 Forks、217 个 Releases,以及约 1,126 个 “Used by” 项目。[S8]

更新节奏较快。Releases 页面显示,正式版 2026.6.10 于 2026-06-24 发布,预发布版本 2026.6.11-beta.2 于 2026-06-28 发布。[S9]

ClawHub 已经成为 OpenClaw 扩展分发入口。官方资料显示,它支持 Skills 与 Plugins 的搜索、安装、更新、发布、版本管理和安全扫描摘要展示。[S6]

企业客户、付费转化、活跃安装量、留存率和商业收入方面,这次没有找到足够公开资料。

6. 公开评价与主要分歧

正面评价(独立媒体 / 开发者实测):

目前公开的独立评价有限。这次没有找到方法透明、可重复验证的长期使用实测,所以不能据此推断 OpenClaw 的稳定性、使用体验或实际效率。

主要批评/质疑(独立安全研究机构):

微软安全团队指出,当 Agent 拥有较高权限、保护措施较弱,同时又会读取共享内容或外部输入时,攻击者可以把恶意指令藏在这些内容里,通过间接提示注入来引导工具调用或导致敏感信息泄露。[S10]

Palo Alto Networks Unit 42 对 2026 年 2 月至 5 月间的 ClawHub 内容进行分析后,称发现了 5 个没有被自动扫描拦截到的恶意 Skills。其中包括两款 macOS 信息窃取程序、靠膨胀文件体积来绕过扫描的内容,以及利用 Agent 行为牟利的扩展。[S11]

存在分歧之处:

官方并未否认这类风险。其文档提供了 DM 配对、白名单、工具策略、执行审批、沙箱和安全审计等机制,并明确提醒用户把插件当作可信代码来对待。[S7]

分歧主要在部署风险的判断上。官方的安全模型以单一可信操作者为前提;微软和 Unit 42 讨论的是高权限、外部输入和第三方扩展叠加后可能出现的攻击面。[S7][S10][S11] 这些外部研究不能直接证明所有 OpenClaw 部署都不安全,但说明安全效果会明显受部署方式、权限配置和扩展来源影响。

7. 同类对比(与头部/高知名度同类项目)

主要对标项目:

  • n8n:带有 AI 能力的工作流自动化工具。
  • Claude Code:面向软件开发任务的 Agentic coding tool。

关键维度对比(事实,标来源):

维度OpenClawn8nClaude Code
主要产品定位自托管 Gateway,负责把聊天渠道和 AI Agent 连接起来。[S1]将 AI 能力与业务流程自动化结合的工作流工具。[S12]用来读取代码库、编辑文件、运行命令并辅助开发任务的编程 Agent。[S13]
主要交互入口多个聊天渠道,通过 Gateway 接入。[S1][S2]工作流、应用集成与节点连接。[S12]终端、IDE、桌面端和浏览器。[S13]
部署方式运行在你自己的电脑或服务器上。[S1]支持 Cloud、npm、Docker 与 self-host 等方式。[S12]可在终端、IDE、桌面端和浏览器中使用。[S13]
模型接入可选择多家模型提供商,也兼容本地模型服务。[S3]官方资料说明其支持构建 AI 功能与工具;本篇未展开比较其全部模型连接方式。[S12]以 Claude Code 产品为核心;终端 CLI 与 VS Code 也支持部分第三方模型提供商。[S13]
扩展方式Tools、Skills、Plugins;ClawHub 提供 Skills 与 Plugins 注册表。[S4][S5][S6]通过应用集成、节点与自定义节点扩展工作流。[S12]支持 Skills、Agents、Hooks 与 MCP Servers,并通过 Marketplace 分发 Plugins。[S14]
开放状态MIT 开源。[S1][S8]fair-code 授权。[S12]本篇未将其作为开源项目对比。

公开评价中的对比(标源,非个人裁决):

从官方产品定位来看,OpenClaw 重点是把个人 Agent 放进日常聊天渠道,并让其连接本机或服务器上的工具;n8n 重点是业务流程自动化;Claude Code 重点是软件开发工作流。[S1][S12][S13]

这次没有找到足够公开、可复核的第三方横向实测,来支持“哪一个整体更好”之类的结论。

8. 信息缺口与后续观察

  • 没有找到足够公开资料来确认公司主体、融资、营收、企业客户、活跃安装量和留存数据。
  • 这次没有实际部署,所以还未验证安装难度、渠道连接稳定性、权限提示、模型兼容性和日常维护成本。
  • ClawHub 虽公开版本、下载和扫描摘要,但这次没有系统统计其扩展数量、维护者集中度、更新质量或扫描漏报情况。
  • 后续可以留意官方如何处理多用户隔离、凭证管理、Skills 审核、插件安装策略和高风险工具确认机制。
  • 后续可以观察模型提供商、聊天平台和设备平台的接口变化,会不会影响 OpenClaw 的可用功能或部署方式。

9. 归纳洞察 ★

OpenClaw 展现了一种跟单页聊天助手不同的个人 Agent 形态:你不一定要打开一个新的 AI 页面,而是可以从自己平时用的聊天渠道,向常驻在设备或服务器上的 Agent 发出任务。[S1][S2]

它的产品重点放在连接关系上:模型提供商、聊天渠道、工具、Skills、Plugins 和本地部署环境被接进同一个 Gateway。[S3][S4][S5][S6]

这也让安全边界变得更具体。你可以决定模型、部署位置和权限,但 Gateway 的可信操作者范围、外部消息来源、工具权限和第三方扩展来源,都需要由部署者自己明确管理起来。[S7][S10][S11]

10. 来源与更新时间

  • 信息截至(as_of): 2026-06-29
  • 最后复查(last_checked): 2026-06-29
  • 最后更新(last_updated): null
来源索引

可追溯来源

  1. [S1]Tier1OpenClaw Docs:Overview访问日期:2026-06-29
  2. [S2]Tier1OpenClaw Docs:Chat channels访问日期:2026-06-29
  3. [S3]Tier1OpenClaw Docs:Model providers访问日期:2026-06-29
  4. [S4]Tier1OpenClaw Docs:Tools overview访问日期:2026-06-29
  5. [S5]Tier1OpenClaw Docs:Plugins访问日期:2026-06-29
  6. [S6]Tier1OpenClaw Docs:ClawHub访问日期:2026-06-29
  7. [S7]Tier1OpenClaw Docs:Security访问日期:2026-06-29
  8. [S8]Tier1openclaw/openclaw GitHub Repository访问日期:2026-06-29
  9. [S9]Tier1openclaw/openclaw Releases访问日期:2026-06-29
  10. [S10]Tier2Microsoft Security Blog:Running OpenClaw safely: identity, isolation, and runtime risk访问日期:2026-06-29
  11. [S11]Tier2Palo Alto Networks Unit 42:OpenClaw’s Skill Marketplace and the Emerging AI Supply Chain Threat访问日期:2026-06-29
  12. [S12]Tier1n8n Docs访问日期:2026-06-29
  13. [S13]Tier1Claude Code Docs:Overview访问日期:2026-06-29
  14. [S14]Tier1Claude Code Docs:Settings / Plugin configuration访问日期:2026-06-29