2026年OpenClaw 的架构其实没那么神，但它做对了一件事

大家好，我是讯享网，很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。

247K GitHub Stars、创始人被 OpenAI 挖走、龙虾表情包席卷全网——但扒开这些光环，OpenClaw 的技术底牌到底是什么？

2026 年初，如果你在 GitHub 上不认识那只龙虾，那你大概率不是搞技术的。

一个叫 Peter Steinberger 的奥地利独立开发者，在 2025 年 11 月随手开源了一个项目，取名 Clawdbot——”Claude”和”Claw”（爪子）的谐音梗。结果 Anthropic 的律师找上门了，他被迫改名 Moltbot，最后定名 OpenClaw。

两周之内，GitHub Stars 从 0 飙到 18 万。

到 2026 年 3 月 2 日，这个数字已经到了 247,000 Stars，47,700 Forks。这不是某个大厂砸钱推的商业项目，而是一个人用 TypeScript 写的 CLI 工具。

Sam Altman 亲自出手，把 Peter 挖到了 OpenAI，负责下一代个人 AI Agent 的开发。OpenClaw 则被转移到一个独立的开源基金会继续运营。

这件事让整个行业都在问一个问题：OpenClaw 到底做对了什么？

我花了两周时间，翻遍了 30 篇中英文技术文章和官方文档，把 OpenClaw 的架构从头到尾拆了一遍。结论可能会让你失望——它的架构真的没那么神，但它做对了一件极其关键的事。

在展开技术细节之前，我先把核心观点亮出来：

OpenClaw 做对的一件事，是把”AI Agent”这个概念从实验室拉到了每个人的终端里。

不是靠什么颠覆性的技术创新，而是靠一种工程哲学的胜利——“微核 + 插件 + 统一网关”的极简架构，让任何一个能装 Node.js 的人，10 分钟内就能拥有一个持续运行的 AI 助手。

听起来简单？但在 OpenClaw 之前，没有人做到过。

AutoGPT 有 181,000+ Stars，但它是个”概念验证品”——推理成本高、运行不稳定，更像是给学术界看的 demo。LangChain 是开发者的乐高积木箱，但要搭出一个能用的东西，你得先花两周看文档。

OpenClaw 的策略完全不同：它不是给你一箱零件，而是给你一个装好的机器人，你只需要告诉它”你是谁”。

这就是 SOUL.md 的意义——用一个 Markdown 文件定义 Agent 的灵魂。

OpenClaw 的架构可以用一张简洁的图来概括：

[ 聊天平台 ] &lt;—-&gt; [ Gateway 网关 ] &lt;—-&gt;  LLM 大脑  |

GPT plus 代充只需 145

讯享网 [ Skills 技能系统 ] (Shell/浏览器/文件系统) | [ Memory 记忆系统 ] (Markdown + SQLite) | [ Heartbeat 心跳 ] (定时任务/主动监控)</code></pre></div><p data-pid="MguYMWlD">Gateway 是 OpenClaw 唯一的常驻进程——注意，是<b>唯一的</b>。</p><p data-pid="M6hACfMN">没有微服务、没有消息队列、没有分布式锁。一个 Node.js 进程搞定所有事情。它同时管理所有的消息通道连接、WebSocket 会话和 Agent 会话。</p><figure data-size="normal"><img src="https://picx.zhimg.com/v2-218aa69c6914b1ac28deb77a93cbb181_r.jpg" data-caption="" data-size="normal" data-rawwidth="768" data-rawheight="1376" data-original-token="v2-c0d79b5005fae3" class="origin_image zh-lightbox-thumb" width="768" data-original="https://picx.zhimg.com/v2-218aa69c6914b1ac28deb77a93cbb181_r.jpg"/></figure><p data-pid="G_dKHab5">支持的平台简直是全家桶：</p><ul><li data-pid="Rs5TfoSX">WhatsApp（通过 Baileys 库）</li><li data-pid="EUWpMPJ2">Telegram（通过 grammY）</li><li data-pid="txPr2oXM">Discord、Slack、Signal</li><li data-pid="ECDVgYNH">iMessage、Google Chat、Microsoft Teams</li><li data-pid="6iGevSuo">WebChat（浏览器直接聊）</li><li data-pid="IMwwpF75">社区插件还有 Mattermost、Matrix、Zalo</li></ul><p data-pid="Ao9guHWR"><b>为什么是单进程？</b></p><p data-pid="TxJ8AopN">这是 OpenClaw 最”反直觉”的设计决策之一。在微服务满天飞的今天，Peter Steinberger 选择了最朴素的方案。原因很简单：<b>对于个人 AI Agent 来说，正确性比吞吐量重要一百倍。</b></p><p data-pid="1STP0KOK">你不想让你的 AI 助手在同时处理两个任务时把邮件发错人，也不想让它在读写同一个文件时出现竞态条件。单进程 + 串行执行 = 绝对的可预测性。</p><p data-pid="HcfuFMhE">Agent 的核心循环非常经典，就是 ReAct（Reasoning + Acting）模式：</p><div class="highlight"><pre><code class="language-text">消息接收 → 上下文组装 → LLM 推理 → 工具执行 → 观察结果 → 循环 → 最终回复</code></pre></div><p data-pid="M1lOQHOe">每次会话启动时，Gateway 会自动将 <b>8 个核心 Markdown 文件</b>注入为 System Prompt：</p><table data-draft-node="block" data-draft-type="table" data-size="normal" data-row-style="normal"><tbody><tr><th>文件</th><th>作用</th></tr><tr><td>AGENTS.md</td><td>工作区规则和行为准则（相当于 SOP）</td></tr><tr><td>SOUL.md</td><td>Agent 的人格、语调和边界</td></tr><tr><td>USER.md</td><td>用户画像和偏好</td></tr><tr><td>TOOLS.md</td><td>可用工具清单</td></tr><tr><td>IDENTITY.md</td><td>身份标识</td></tr><tr><td>HEARTBEAT.md</td><td>定时任务配置</td></tr><tr><td>MEMORY.md</td><td>长期记忆</td></tr><tr><td>BOOTSTRAP.md</td><td>启动引导</td></tr></tbody></table><p class="ztext-empty-paragraph"><br/></p><p data-pid="FBpzq7su">这个设计的精妙之处在于：<b>Agent 的所有行为都由纯文本文件驱动，不需要写一行代码。</b></p><p data-pid="zBLAftIb">想让你的 Agent 变成一个毒舌的技术评论家？改 SOUL.md。想让它每天早上 8 点帮你检查邮箱和日历？改 HEARTBEAT.md。想让它记住你讨厌在周五开会？它会自动写入 MEMORY.md。</p><p data-pid="JpoKcjAr">这是 OpenClaw 技术含量最高的部分之一。</p><p data-pid="4C8McI--">传统 AI 聊天工具的记忆就是上下文窗口——对话结束，记忆清零。OpenClaw 则构建了一个<b>具备 RAG 特征的双轨记忆系统</b>：</p><p data-pid="C_5yfmUc"><b>第一层：会话持久化（JSONL 格式）</b></p><p data-pid="Ls1PmKue">每一轮对话、工具执行结果及模型反馈都实时存储在本地的 <code>.jsonl</code> 文件中。JSONL 的 append-only 特性提供了天然的崩溃安全——即使进程中途挂掉，最多丢失一行数据。</p><div class="highlight"><pre><code class="language-text">~/.openclaw/agents/&lt;agentId&gt;/sessions/*.jsonl</code></pre></div><p data-pid="1gk1ZK67"><b>第二层：长期知识库（Markdown 文件）</b></p><ul><li data-pid="OtNfK9fD"><code>MEMORY.md</code>：长期记忆，仅在私人会话中加载（安全隔离群聊）</li><li data-pid="TgCXmpzy"><code>memory/YYYY-MM-DD.md</code>：每日追加日志，启动时加载今天和昨天的内容</li></ul><p data-pid="gt5dMlnK"><b>检索引擎：混合搜索</b></p><p data-pid="RRveY25W">OpenClaw 不是单纯靠向量相似度搜索，而是采用了<b>加权分数融合</b>策略：</p><div class="highlight"><pre><code class="language-text">最终得分 = 0.7 × 向量搜索得分 + 0.3 × BM25 关键词得分</code></pre></div><ul><li data-pid="GAMHno2z">向量搜索：通过 sqlite-vec 扩展实现余弦相似度计算</li><li data-pid="9N3tNr0Y">BM25：通过 SQLite 的 FTS5 全文搜索引擎实现</li></ul><p data-pid="ZFhnP12j">嵌入模型支持 OpenAI text-embedding-3-small、Gemini text-embedding-004 或本地 node-llama-cpp。</p><p data-pid="coLgepwT">Agent 有两个记忆工具：</p><ul><li data-pid="N3VfsVkJ"><code>memory_search</code>：语义搜索，返回带文件路径和行号的片段（单片段最大 700 字符）</li><li data-pid="6Hv-0IEY"><code>memory_get</code>：按路径和行范围精确读取</li></ul><p data-pid="EpsZe8D_"><b>最骚的操作：上下文压缩前的自动记忆刷新</b></p><p data-pid="TSk0Orhr">当长对话接近上下文窗口极限时，系统会在”压缩”旧消息之前，<b>自动将关键信息刷入持久化记忆</b>。这意味着即使对话被截断，重要信息不会丢失。</p><p data-pid="ChR0poCX">OpenClaw 的技能系统是它社区爆发的关键引擎。</p><p data-pid="UcXzAdER">每个技能的核心就是一个 <code>SKILL.md</code> 文件——没错，又是 Markdown。包含 YAML 前置元数据和自然语言指令。<b>一个 Markdown 文件就是一个技能。不需要编译，不需要打包。</b></p><figure data-size="normal"><img src="https://pic2.zhimg.com/v2-31b370f5e92814c9c12d6633cf_r.jpg" data-caption="" data-size="normal" data-rawwidth="768" data-rawheight="1376" data-original-token="v2-6849b5ee01cb67902d831b4406" class="origin_image zh-lightbox-thumb" width="768" data-original="https://pic2.zhimg.com/v2-31b370f5e92814c9c12d6633cf_r.jpg"/></figure><p data-pid="OLN7IL4R">截至 2026 年 2 月 28 日，OpenClaw 的公开注册表 ClawHub 上已有 <b>13,729 个社区构建的技能</b>。</p><p data-pid="4sTrceAM">安装一个技能有多简单？</p><div class="highlight"><pre><code class="language-text">openclaw tools enable web_search</code></pre></div><p data-pid="E9zzJ9FO">一条命令，搞定。</p><p data-pid="C6l88pF9">自定义技能可以用 YAML 或 JavaScript 定义，无缝融入现有生态。这让 OpenClaw 从一个工具变成了一个<b>平台</b>。</p><p data-pid="rbvHCIbV">但这里有个大坑——后面安全部分会详细说。</p><p data-pid="P9rJw0XV">Heartbeat 是 OpenClaw 最具想象力的组件。</p><p data-pid="MVsYenFZ">传统聊天机器人是<b>被动的</b>——你问它答。Heartbeat 让 Agent 变成了<b>主动的</b>——它可以自己醒来，检查邮件、监控日历、扫描数据库，然后主动向你汇报。</p><div class="highlight"><pre><code class="language-text"># HEARTBEAT.md 示例

every 30 minutes: check email inbox for urgent messages
at 8:00 AM: summarize today‘s calendar and prepare daily brief

every 2 hours: check project GitHub issues for new bugs

Heartbeat 和 Cron Job 的区别在于：

Heartbeat 在主会话中运行，拥有完整上下文，可以智能判断什么是紧急的、什么可以等
Cron Job 在隔离会话中运行，适合精确时间触发的独立任务

一个 Heartbeat 可以替代 5 个 Cron Job——因为它有全局上下文，能做优先级判断。

如果要评选 OpenClaw 架构中最精妙的设计，我投 Lane Queue 一票。

大部分 AI Agent 框架用的是典型的 async/await 并发模式。OpenClaw 完全反过来——默认串行，显式并行。

会话 A: [消息1] → [消息2] → 消息3 会话 B: [消息1] → 消息2 ↕ 会话之间可以并行

每个会话有自己的专属”车道”（Lane），同一车道内的操作严格串行执行。只有明确标记为低风险、可并行化的任务，才会被分配到并行车道。

为什么这么设计？

想象一个场景：你让 Agent 帮你改一个文件，同时又发了一条消息让它读取同一个文件。如果是并发执行，读到的可能是改到一半的脏数据。Lane Queue 从架构层面消除了这种风险。

正确性第一，吞吐量第二。 这对个人 AI Agent 来说，是完全正确的权衡。

OpenClaw 的浏览器自动化基于 Playwright 的 Chrome DevTools Protocol（CDP），但它不是简单地截图然后扔给视觉模型识别。

传统方案：截图 → 视觉模型识别 → 猜测点击坐标

OpenClaw 方案：解析页面的无障碍树（Accessibility Tree），生成语义快照

区别有多大？看数据：

对比项	截图方案	语义快照
数据大小	~5MB	~50KB
识别方式	计算机视觉猜坐标	直接引用节点 ID
处理速度	视觉模型推理（慢）	文本解析（快）
Token 成本	高（图片编码）	低（纯文本）
准确率	受分辨率/布局影响	稳定准确

语义快照就是把页面上的每个按钮、文本框、链接都抽取出来，变成一个结构化的文本描述。Agent 可以直接说”点击 ref=42 的按钮”，而不是”点击屏幕坐标 (347, 892) 的位置”。

一个快照能省 100 倍的 Token 费用。 如果你每天让 Agent 浏览 100 个网页，这就是真金白银的差距。

这是 OpenClaw 最让人拍案叫绝的设计。

SOUL.md 是一个 Markdown 文件，定义了 Agent 的人格、语调和行为边界。它在每次推理循环开始时被注入为 System Prompt 的一部分。

官方默认的 SOUL.md 里有几条核心原则特别值得玩味：

“真正有用而不是表演有用。不说’好问题！”我很乐意帮你！’这种废话，直接干活。”
“有主见。可以不同意，可以觉得无聊。”
“隐私的东西永远保密，对外操作先问用户。”

最后一行尤为精妙：

“This file is yours to evolve. As you learn who you are, update it.”

Agent 被允许修改自己的”灵魂”——但必须告知用户。它的人格会随着与用户的交互而成长和进化。

这不仅是工程设计，这是一种产品哲学：AI Agent 不是一个模板化的工具，它应该成为独一无二的、属于你的数字伙伴。

说完了 OpenClaw 的亮点，现在说说它的问题。

2025 年 12 月至 2026 年 2 月，OpenClaw 遭遇了多维度安全挑战：

编号	CVSS 评分	描述
CVE-2026-25253	8.8（高危）	一键 RCE，通过 WebSocket 来源验证绕过 + Token 泄露
CVE-2026-29610	高	不安全的 PATH 处理导致命令执行
CVE-2026-28462	中高	浏览器控制 API 路径遍历写文件

CVE-2026-25253（ClawJacked） 最为严重——这是一个即使你把 OpenClaw 严格绑定在 localhost 都无法防护的漏洞。攻击者通过恶意网页就能触发 RCE，直接在你的机器上执行任意代码。

OpenClaw 的沙箱隔离是可选的、默认关闭的。

如果沙箱模式关闭，exec 工具直接在你的网关主机上运行。更糟糕的是，即使你开了沙箱，经过认证的 /tools/invoke HTTP 端点在构建工具列表时并没有正确应用沙箱策略——这意味着一个被沙箱限制的会话可以调用本不应该有权限的工具。

还记得前面说的 13,729 个 ClawHub 技能吗？

其中大约 800+ 个被确认为恶意技能。它们伪装成”股市分析”或”工作流自动化工具”，实际上夹带了 AMOS（Atomic macOS Stealer）等木马，专门瞄准浏览器 Cookie、密码和加密货币钱包。

这就是所谓的 ClawHavoc 攻击活动。

2026 年 1 月至 2 月，全球范围内暴露在公网上的 OpenClaw 实例高达 42,000 余个。

每一个都是潜在的攻击入口。

总结一句话：OpenClaw 给了 Agent 操作系统级别的权限，但安全防护还停留在”相信用户会自己配好”的阶段。

理解 OpenClaw 的定位，需要把它放到 AI Agent 框架的全景图中：

维度	OpenClaw	AutoGPT	LangChain
定位	装好的机器人	概念验证实验	零件工具箱
安装到可用	~10 分钟	~30 分钟	2 周（含学习）
架构理念	配置驱动，非代码	目标分解自动执行	开发者自由组装
内存系统	双层 RAG + Markdown	基础上下文	需自行实现
社区生态	13,000+ 技能	有限	庞大但分散
消息通道	全平台原生支持	无	需自行对接
适合人群	所有人	研究者	开发者

如果说 LangChain 给你的是一箱零件和一本说明书，AutoGPT 给你的是一个实验室原型机，那 OpenClaw 给你的就是一个开箱即用的管家。

它做了一个在技术圈很少见的选择：牺牲灵活性，换取可及性。

这也是为什么它能在两周内获得 18 万 Stars——因为 99% 的人想要的不是”自己造一个 Agent”，而是”拥有一个 Agent”。

深入代码和文档后，我提炼出 OpenClaw 遵循的六条核心设计原则：

默认串行，显式并行 —— 用吞吐量换正确性
本地优先 —— 所有数据存在 /.openclaw/，没有云端依赖
单进程架构 —— 不搞微服务、消息队列、分布式锁
无状态 API 调用 + 有状态本地存储 —— 解耦外部依赖和内部状态
关注点分离 —— Channel Adapter 消化平台差异，Gateway 做路由，Runner 做组装，Loop 做执行
纯文本即配置 —— Markdown 文件驱动一切行为

这六条原则的共同点是什么？都在做减法。

Peter Steinberger 在 Lex Fridman 的播客中说过一句话：

“你很难跟一个纯粹为了好玩的人竞争。”

他不是在造一个企业级产品，他是在造一个他自己想用的东西。这种”为自己造工具”的心态，反而让他做出了最接近用户需求的决策。

OpenClaw 的影响力还蔓延到了加密货币领域。

在 Base 区块链上，出现了一个名为 OPENCLAW 的社区代币：

总供应量：999.92M
在 Uniswap V4（Base）上交易
FDV（完全稀释估值）约 14 万美元

需要强调的是：这个代币与 OpenClaw 官方团队没有任何关系。它是社区自发创建的 Meme 币，更多是对”龙虾文化”的一种社交表达。

但围绕 OpenClaw 的区块链生态确实在生长。ClawFi 提供了 OpenClaw Agent 的支付基础设施，BankrBot 等运行时环境让 Agent 可以与区块链交互、发布社交内容、处理经济活动。

OpenClaw 的 Agent 框架正在成为 Web3 世界的”操作系统”——定义 Agent 如何被创建、如何维持状态、如何与外部世界交互。

OpenClaw 没有用任何花哨的技术。TypeScript、Node.js、SQLite、Markdown——这些都是最平凡的技术栈。但它把每一个组件都用到了恰到好处的位置。

真正的架构能力不是把简单的事情做复杂，而是把复杂的事情做简单。

AutoGPT 在技术上并不比 OpenClaw 差，LangChain 的生态甚至更大。但 OpenClaw 赢了。

它赢在了产品定位：不做面向开发者的框架，而是面向所有人的个人 AI 助手。10 分钟安装，Markdown 配置，聊天就是界面。

OpenClaw 的安全问题是一个警示。当你给 AI Agent 操作系统级别的权限——可以执行 Shell 命令、读写文件、控制浏览器——安全就必须是架构设计的第一优先级，而不是”之后再补”。

42,000 个暴露在公网的实例、800+ 个恶意技能、一键 RCE 漏洞——这些代价告诉我们，AI Agent 的安全模型需要被彻底重新思考。

回到文章标题——OpenClaw 的架构其实没那么神，但它做对了一件事。

它做对的这件事是：用最朴素的工程方案，把 AI Agent 从极客玩具变成了大众工具。

Gateway 模式不是它发明的，ReAct 循环不是它发明的，Markdown 配置不是它发明的，RAG 记忆不是它发明的。但把这些东西用”npm install”一条命令打包在一起、用聊天软件作为界面、用纯文本文件驱动所有行为——这个整合本身就是创新。

Peter Steinberger 说这是他自 2009 年以来完成的第 44 个 AI 项目。前 43 个都没火。

有时候成功不是因为你做了什么不一样的事情，而是因为你在对的时间做了对的整合。

OpenClaw 证明了一件事：在 AI Agent 的世界里，”好用”比”先进”重要一万倍。

Inside OpenClaw: How the World’s Fastest-Growing AI Agent Actually Works Under the Hood - DEV Community
OpenClaw Architecture Guide | High-Reliability AI Agent Framework - Vertu
OpenClaw (Open Claw) — The Complete 2026 Guide - AlphaTechFinance
How OpenClaw Works: Understanding AI Agents Through a Real Architecture - Medium
OpenClaw Explained: How the Hottest Agent Framework Works - Medium
OpenClaw 2026: 234K Stars, OpenAI & Security Deep Dive - Serenities AI
Lessons from OpenClaw’s Architecture for Agent Builders - DEV Community
You Could’ve Invented OpenClaw - GitHub Gist
OpenClaw - Wikipedia
The creator of Clawd: “I ship code I don’t read” - Pragmatic Engineer
Who is OpenClaw creator Peter Steinberger? - Fortune
Escaping the Agent: On Ways to Bypass OpenClaw’s Security Sandbox - Snyk Labs
Critical OpenClaw Vulnerability Exposes AI Agent Risks - Dark Reading
OpenClaw vs AutoGPT vs CrewAI: Which AI Agent Framework Should You Use - DEV Community
OpenClaw Deconstructed: A Visual Architecture Guide - Global Builders Club

深度拆解 OpenClaw：一个开源 AI Agent 框架的工程哲学 - 知乎
目前最详细的 OpenClaw 工作原理解析，附应用生态及相关资源 - 知乎
一文彻底搞懂 OpenClaw 的架构设计与运行原理（万字图文） - 知乎
深度解析：一张图拆解 OpenClaw 的 Agent 核心设计 - CSDN
OpenClaw 生态全解析：四个开源 AI Agent 框架的架构深度对决 - 知乎
OpenClaw 官方军火库：13,729 个 skills - 知乎
陈巍：”龙虾”们颠覆软件世界？——OpenClaw 超深度分析 - 知乎
深入研究 OpenClaw - 系统提示词解析 - 知乎
“龙虾”狂热：OpenClaw 是极客狂欢，还是 AI”肉身” - 36氪
Openclaw 之父，AI 时代的第一个”超级个体” - 36氪
OpenClaw 近期生态安全事件解读：从 RCE 漏洞到 Skill 供应链投毒分析 - 知乎
OpenClaw 多 Agent 协作深度指南：架构设计、实操配置与进阶模式 - 技术博客
OpenClaw 的灵魂设计：SOUL.md 如何让 AI Agent 拥有人格 - VerySmallWoods
拆解 OpenClaw 的系统提示词，设计的太妙了 - 技术博客
硅谷在封，中国在抢：OpenClaw 到底改变了什么？ - 36氪

(文章结束)

2026年OpenClaw 的架构其实没那么神，但它做对了一件事

相关推荐