#OpenClaw #AI Agent #架构 #安全 #Brain-Body-Soul #AgentPuter

解剖 OpenClaw:174K Stars 背后的设计哲学与致命缺陷

Brain-Body-Soul 架构、1,100 个暴露端口、以及 AI Agent 基础设施真正需要什么。

@ AgentPuter Lab
$
~ 阅读 15 分钟

上一篇文章中,我们介绍了 OpenClaw——这个开源私人 AI 助理在 GitHub 上拿到了 174K Stars,首周就吸引了 200 万访客、收获了 145K+ Stars,成为有史以来增长最快的开源项目之一。

但 Stars ≠ 生产就绪。

今天我们打开引擎盖,看看这台机器里面到底有什么——哪些是精妙的工程设计,哪些是定时炸弹。

如果你用过 OpenClaw,或者正在考虑使用,这篇文章会帮你理解三件事:

  1. 它为什么好用
  2. 它为什么会出问题
  3. AI Agent 基础设施到底应该长什么样

一、Brain-Body-Soul:一个优雅的架构隐喻

OpenClaw 最深刻的洞察不在代码里,而是一个哲学主张:

智能可以租用,但身体和记忆必须是你自己的。

创始人 Peter Steinberger——此前创建了 PSPDFKit(服务近 10 亿终端用户),2021 年从 Insight Partners 获得 1 亿欧元融资,之后转身投入 AI 领域——将 OpenClaw 的架构分为三层:

OpenClaw Brain-Body-Soul 架构

🧠 Brain —— 可租用的智能

大语言模型是大宗商品。今天用 Claude,明天用 GPT-4,后天用开源的 Kimi K2.5。

这是一个关键判断:模型是消耗品,不是资产。 就像租办公室——搬家的时候你带走的是文件和经验,不是桌子。OpenClaw 让你可以随时切换模型供应商,切换之后,你的所有数据、记忆和工作流完好无损。

💪 Body —— 本地拥有的执行层

Body 是 OpenClaw 的手和脚。一个叫 Gateway 的控制平面运行在你的设备上(通常是 Mac Mini),管理所有执行能力:Shell 命令、浏览器自动化、文件读写、MCP 工具调用、Agent Skills。

关键词是”本地拥有”。不管你租的是谁的模型,执行权始终在你手里。

👻 Soul —— 持久化记忆

这是最浪漫的一层。Soul 保存着你的 Agent 的记忆、偏好和人格,它包括:

  • SOUL.md:Agent 的人格和行为边界
  • MEMORY.md:长期记忆——你的偏好和过往决策
  • memory/YYYY-MM-DD.md:每日交互日志
  • 向量数据库:70% 语义搜索 + 30% 关键词匹配的混合检索

切换 Brain,Soul 不受影响。就像换手机但 iCloud 里的照片和联系人原封不动。

这个切分为什么重要?

因为它暗示了一个更大的命题:AI Agent 最有价值的资产不是智能——而是上下文。

模型每个季度都在变便宜变快。今天的 SOTA 是明天的免费层。但你的 Agent 三个月里学到的东西——你偏好的邮件语气、你的会议习惯、你的项目上下文——这些是不可替代的。

谁拥有上下文,谁就拥有 Agent 的价值。Brain-Body-Soul 的切分,本质上是一个关于什么才是你真正资产的架构宣言。

二、Gateway:一个人的交通枢纽

理解了三层模型,我们来深入看 Body 的核心——Gateway。

OpenClaw Gateway 技术架构

整个 OpenClaw 系统通过一个运行在 localhost:18789 的 Node.js 进程路由。每条消息、每次工具调用、每个安全检查都经过它。

Gateway 做什么?

统一入口。 左边,它接入 29+ 个消息平台——WhatsApp、Telegram、Discord、Slack、Signal、iMessage、邮件——通过持久化 WebSocket 连接汇入单一控制平面。右边,它连接所有执行能力——Shell 命令、Puppeteer 浏览器、文件系统读写、MCP 服务器、100+ Agent Skills、A2UI 画布、Whisper + TTS 音频。

跨渠道连续性。 在 WhatsApp 上告诉你的 Agent:“查一下张三的邮件。“然后切到 Discord:“把那封邮件转发给李四。“Agent 知道你在说什么。会话状态集中管理,切换渠道不会丢失。

Lane-Based 并发。 这是一个巧妙的设计。OpenClaw 将并发请求分成四条序列化队列——Session Lane、Global Lane、Cron Lane、Subagent Lane。在一个会话内,你的消息不会被另一个请求插队。跨会话时,操作并行不阻塞。

多 Agent 路由。 单个 Gateway 可以托管多个隔离的 Agent。例如:一个拥有完整文件和 Shell 访问权限的”个人 Agent”,和一个运行在沙箱中、只能回答问题的”公共 Agent”。渠道绑定将不同平台的消息路由到不同的 Agent。

这个设计有多好?

说实话?相当优雅。一个进程解决了多平台接入、会话管理、并发控制和工具编排。对于个人使用,Gateway 架构既够用又高效。

这个设计有多危险?

也相当危险。

  • 单点故障。 Gateway 运行在你的 Mac Mini 上。电脑关机,一切归零。没有高可用,没有故障转移,没有热备。
  • 明文凭证。 所有 API 密钥、OAuth 令牌和签名密钥都存储在 ~/.openclaw/openclaw.json 中。明文的。
  • 不受保护的记忆。 你与 Agent 的每次对话、每个偏好、每条隐私信息都保存在几个 Markdown 文件里。没有加密,没有访问控制。

一句话总结: Gateway 是 OpenClaw 的心脏——但这颗心脏跳动在你的笔记本里。而笔记本会被合上、关机、丢失。

三、1,100 个暴露端口:Agent 安全的第一课

如果说上一节描述的是架构风险,这一节描述的是一起已经发生的事件。

发生了什么?

2026 年 1 月底:OpenClaw 爆火。用户兴奋地部署自己的 Agent。

2026 年 2 月初:安全研究人员用 Shodan 和 Censys 扫描——发现超过 1,100 个公开暴露的 Gateway 实例在 18789 端口上,裸露在公网上。

泄露的数据包括:完整的 API 密钥、OAuth 令牌、签名密钥,以及数月的私人聊天记录

怎么发生的?

Gateway 是为 localhost 设计的。但很多用户为了出门在外也能和 Agent 对话,在它前面加了反向代理——Nginx、Cloudflare Tunnel 等。

问题是:Gateway 的认证逻辑会自动信任来自 127.0.0.1 的请求。反向代理转发的请求看起来就来自 127.0.0.1。认证被完美绕过。任何人都可以连接到你的 Gateway——读你的聊天记录、偷你的密钥,或者往你的 SOUL.md 里注入指令来劫持你 Agent 的行为。

还有更糟的

安全审计还发现了端口暴露之外的更深层问题:

漏洞详情
Prompt 注入Slack/Discord 频道主题直接嵌入系统提示词,未经消毒处理
身份伪造发送者显示名可被操纵用于注入攻击
文件泄露文件名和 URL 未经转义直接插入提示词
记忆污染SOUL.md 可被注入虚假指令,劫持 Agent 行为

项目方怎么说?

这里是最耐人寻味的部分。OpenClaw 的安全策略(SECURITY.md)明确将以下内容标记为**“不在范围内”**:

  • 公网暴露
  • Prompt 注入攻击
  • 违反文档规定的滥用

他们的 FAQ 里有一句话,坦诚得令人敬佩:

“不存在’完美安全’的设置。”

创始人 Peter Steinberger 本人公开形容运行 OpenClaw 是**“spicy(刺激的)”**。

这不只是 OpenClaw 的问题

我要说清楚:这不是对 OpenClaw 的攻击。作为一个开源项目,它的透明和坦诚值得尊重。

但它暴露了一个整个行业必须面对的根本矛盾

你想让 Agent 替你做事 → 你必须给它系统级权限

你给它系统级权限 → 你就创造了攻击面

攻击面存在 → 迟早有人会利用

OpenClaw 只是第一个将这个矛盾暴露给 174K 人的项目。每一个 Agent 平台——开源的或商业的——都会面对同样的问题。

区别在于:你是把安全标记为”不在范围内”,还是把它当作核心架构关切。

四、OpenClaw 的五条教训

抛开具体的代码和漏洞,OpenClaw 给整个 AI Agent 行业上了五课。

教训一:Agent 需要自己的”身体”

OpenClaw 运行在你的 MacBook 上。但你的 MacBook 还运行着 Chrome、VS Code、Zoom 和 Slack。Agent 和你争抢 CPU 和内存。你合上盖子,它断线。你关机,它下班。

你想要一个 7×24 的数字员工,却让它共享你的个人电脑。这就像雇了个助理却让他在你家客厅上班——你一睡觉,他也得停。

启示: Agent 需要自己的计算环境——不是你的电脑,而是为它专门构建的专属空间。

教训二:上下文是 Agent 最有价值的资产

OpenClaw 的 Soul 层——MEMORY.md、SOUL.md、向量数据库——方向是对的。Agent 需要记住你是谁、你喜欢什么、你在做什么。

但实现太粗糙。纯文本 Markdown 文件,没有结构化索引,没有加密,没有版本控制。三个月积累的上下文可能因为一次意外覆写就全丢了。

启示: Agent 的记忆系统值得数据库级别的认真对待——结构化存储、加密传输、版本快照——而不是往文本文件里追加几行。

教训三:安全不能”不在范围内”

当你的 Agent 可以读你的邮件、访问你的银行对账单、执行 Shell 命令、控制你的浏览器时,安全不是可选的附加项。

1,100 个暴露的 Gateway 告诉我们:用户会犯错。“仅限 localhost”的假设在真实世界撑不过一周。

启示: Agent 执行环境需要沙箱隔离、分级权限和审计日志——企业级安全标准,而不是”没有完美安全的设置”。

教训四:Skills 方向对了,但需要更好的管理

OpenClaw 的 Skills 系统是整个项目最有远见的部分——可插拔、Markdown 定义、渐进式加载。它完全兼容 Anthropic 的 Agent Skills 标准,ClawHub 市场上已有近 4,000 个社区贡献的 Skills。

但 100 多个内置 Skills 缺乏场景化引导,普通用户安装完 OpenClaw 后的第一反应是:“然后呢?用哪个 Skill?怎么组合?”

启示: Skills 需要市场级的管理——推荐、分类、一键安装、效果指标。不要给用户一盒零件;给他们一个解决方案。

教训五:Local-First 不是唯一答案

OpenClaw 全力押注 Local-First——数据不出设备,执行完全本地。这满足了隐私需求,但牺牲了太多:

  • 7×24 在线?做不到(设备必须一直开着)
  • 远程访问?自己配反向代理(然后就有了 1,100 个暴露端口)
  • 多设备同步?不支持
  • 团队协作?基本不可能

2026 年的隐私讨论已经成熟。行业共识不是”所有东西都留在本地”——而是**“敏感数据本地处理,但 Agent 的运行时可以放在云端。”** 两者并不矛盾。

启示: 最优解是 Local-First + Cloud-Optional。敏感的留在本地,运行时放在云端。

五、下一代 Agent 基础设施应该是什么样?

OpenClaw 证明了 Agent 需要 Brain、Body 和 Soul。但它也证明了,把 Body 和 Soul 放在用户的个人设备上是不够的。

OpenClaw 现状与下一代应该交付的对比:

需求OpenClaw 现状下一代
运行时你的 Mac Mini专属 Agent 计算环境
在线时间设备开机才在线7×24 云端 + 本地可选
安全性”Spicy”,风险自担沙箱隔离 + 分级权限 + 审计日志
记忆Markdown 文件结构化 + 加密 + 版本控制
Skills100+ 自行配置场景化市场 + 一键部署
多 Agent基础会话通信原生协作框架

这就是为什么我们在构建 AgentPuter——不是又一个 Agent,而是 Agent 的运行时环境

如果 OpenClaw 是 Agent 的灵魂和四肢,AgentPuter 就是 Agent 的家。

一个专业的、安全的、永远在线的家。不再把 Agent 塞进你的笔记本里然后祈祷你别合上盖子。不再在桌面上明文存储密钥。不再期望用户自己配反向代理然后暴露 1,100 个端口到公网。

Agent 值得拥有自己的空间。

结语

OpenClaw 做对了很多事。Brain-Body-Soul 架构切分、可扩展的 Skills 设计、跨 29+ 平台的统一 Gateway、Lane-Based 并发模型——这些都是真正有洞察力的工程决策。174K Stars 实至名归。Peter Steinberger 和社区贡献者们值得认可。

但 OpenClaw 也坦诚地揭示了一个事实:

在个人设备上运行 Agent,就像让你的员工在你家客厅上班——他能把事做了,但不专业、不安全、不可靠。

AI Agent 时代正在到来。IDC 预测到 2029 年,全球将有超过 10 亿活跃 Agent,每天执行 2170 亿次操作。这个规模的 Agent 经济不可能建立在 localhost:18789 上。

它需要基础设施。专业的、安全的、为 Agent 量身打造的基础设施。

下一篇,我们会聊 Skills——AI Agent 世界的”App Store”正在如何成型,以及为什么我们相信 Skills 是 Agent 能力的真正货币。

Peter Steinberger 公开表达过他的信念:AI Agent 将从根本上取代大多数传统软件。我们认同这一愿景。但我们相信,在那之前,Agent 本身需要先有一个合格的”操作系统”。