今年AI圈打招呼的方式变了“你养龙虾了吗”“龙虾”并非水产而是开源本地自主智能体框架OpenClaw——2025年11月由奥地利iOS工程师Peter Steinberger发起2026年1月30日正式定名。截至2026年初这个项目在GitHub上已狂揽25万Star。作为一个写代码的人我对“养虾”这件事的关注点不在概念包装而在技术实现。这篇文章我们不聊虚的直接扒开OpenClaw的源码外衣从架构设计、执行链路、安全漏洞到国产“xxClaw”军团的技术路线逐一拆解。一、OpenClaw核心架构三层解耦各司其职OpenClaw异于传统Agent框架如LangChain的地方在于它是一个“云端大脑本地肢体”的结构。Orchestrator大脑通常部署在GPU集群或云端负责LLM推理和任务拆解。Gateway协议桥负责鉴权、流量整形以及将LLM生成的JSON指令翻译成特定环境的指令集。Gateway本质上是一个HTTP和WebSocket服务启动时与注册的Channel如Telegram机器人建立WebSocket长连接。核心实现位于src/gateway/server.ts通过route_to_executor装饰器做上下文压缩Context Pruning。Gateway通过系统服务管理保持24×7运行bash 代码解读 复制代码 # macOS launchctl load ~/Library/LaunchAgents/ai.openclaw.gateway.plist # Linux systemctl --user enable --now openclaw-gateway.servicePi-embedded执行端运行在Mac/Linux或树莓派上真正执行Python脚本、截图或点按鼠标。这是OpenClaw最硬核的部分——进入packages/pi-embedded/runtime你会发现它并没有直接调用系统的subprocess而是实现了一套名为“Cell Isolation”的沙箱机制。核心执行引擎包含两个模块Environment Snapshot执行前先快照当前环境变量Skill Loader动态加载.ocskill文件工程避坑点Pi-embedded默认在独立的venv中运行。自定义Skill找不到第三方库时需要在claws.yaml中明确定义dependencies由执行端在启动时自动静默安装。另外Gateway默认使用Redis维护节点心跳如果Redis挂了或网络延迟大指令会在Gateway堆积。完整调用链以“查CPU温度并生成图表”为例javascript 代码解读 复制代码 Orchestrator → 识别System_Monitor技能生成JSON指令 Gateway → 验证签名查找在线Pi节点封装Protobuf通过WebSocket发送 Pi-embedded Receiver → 解包 Sandbox → 启动临时Python进程挂载传感器权限 Skill Execution → 执行get_temp.py Callback → 结果图片二进制流沿原路返回二、Skills技能系统教AI“如何做事”Skills是OpenClaw的核心扩展机制。每个技能都是一个目录包含一个带有YAML frontmatter和Markdown指令的SKILL.md文件。Skills采用“渐进式披露”设计原则——元数据、核心指令和资源文件分层加载在保证功能完整性的同时节省上下文空间使OpenClaw能同时支持数十个技能而不影响响应质量。与传统插件系统的关键差异特性传统插件系统OpenClaw Skills加载机制启动时全量加载按需动态加载配置复杂度需要注册表、依赖注入仅需SKILL.md文件上下文占用常驻内存按需加载调试方式需要重启服务热更新即时生效技能按功能可分为工具型命令行/API封装、数据型数据库/文件处理、AI型NLP/图像识别等。开发建议Skills官方文档强调两条原则——“保持精简”指示模型要做什么而不是如何当AI和“安全优先”如果技能使用exec确保提示不允许来自不受信输入的任意命令注入。三、安全漏洞CVE清单与攻击面分析OpenClaw的安全问题不是概念性的而是有实打实的CVE编号和PoC的。已公开的CVE漏洞CVE-2026-53826CVSS 4.2OpenClaw 2026.4.25及之前版本存在信息泄露漏洞可远程触发CVE-2026-53810CVSS 7.4/8.8OpenClaw 2026.5.17及之前版本存在权限提升漏洞CWE-829可远程攻击CVE-2026-44113CVSS 7.7OpenShell中的TOCTOU竞态条件允许攻击者将安全文件路径替换为符号链接绕过沙箱读取挂载根目录以外的文件CNVD-2026-18601OpenClaw远程代码执行漏洞Active Memory Write Scope权限提升OpenClaw 2026.5.6之前版本Gateway operators可通过operator.write权限修改全局配置三大攻击路径国家资通安全研究院实测报告间接提示词注入攻击者在正常网页中以零尺寸span元素和HashJack URL fragment隐藏恶意指令。OpenClaw读取后即被劫持可列目录、读凭证、删日志、外泄数据。Telegram的Link Preview机制会形成二次外泄管道伪装技能攻击者将恶意指令写入技能包如伪装的“天气查询”技能安装和执行全程不触发任何安全警告。用户查询天气的同时Gateway Auth Token已在后台被窃取长时间运行导致安全守则遗忘OpenClaw在长时间运行后可能丢失初始安全约束此外FreeBuf的研究指出提示词注入在整个行业内基本仍未解决且没有任何标准规定消息对象在到达LLM前应如何序列化。攻击者可以在图像底部嵌入与背景色几乎一致的指令文字受害者分享图片给AI后即可触发。四、国产“xxClaw”军团技术路线横向对比基于2026年3月的权威测评数据国产AI智能体已形成清晰的技术分化。第一类大模型厂商——模型Agent一体化StepClaw阶跃AI采用“桌面端云端”混合架构技术架构分三层感知层集成多模态编码器支持文本/图像/语音联合理解决策层强化学习驱动的任务规划模块执行层5000可组合技能模块AutoClaw智谱深度集成专为Agent优化的Pony-Alpha-2模型集成AutoGLM Browser-Use能力实现长链路自动化。架构围绕LLM大脑 Agent智能体 Skills技能模板 MCP万能插头四大概念展开。KimiClaw月之暗面三层架构——K2.5模型做推理大脑 OpenClaw负责指令执行 ClawHub技能市场5000技能。提供40GB免费云存储。第二类互联网大厂——生态入口争夺QClaw腾讯五层架构——交互层微信/桌面端、理解层LLM多模型路由、规划层任务分解与编排、执行层5000 Skills、记忆层本地持续记忆。逻辑上分为用户交互层、理解层、规划层、执行层四层。CoPaw阿里Apache 2.0开源。核心架构模块化重构——Prompt、Hooks、Tools、Memory等组件解耦开发者可独立替换或扩展任意模块。原生支持钉钉、飞书、QQ等。三条命令完成本地部署兼容Ollama、DeepSeek等国产模型。ArkClaw字节/火山引擎基于Agent Mesh架构的企业多智能体治理方案。底层搭载字节自研DPU通过硬件加速将响应延迟控制在200ms以内。第三类开源平替LobsterAI网易有道MIT协议基于ElectronReactTypeScript构建。采用进程隔离架构——主进程负责窗口管理、SQLite持久化、Claude Agent SDK执行引擎、IM网关。支持本地模式或QEMUAlpine Linux沙箱隔离运行。兼容OpenClaw的5000技能。五、开发者视角技术趋势与工程启示趋势一架构从单体走向分层解耦。OpenClaw的Orchestrator-Gateway-Pi三层架构已成行业模板国产方案在此基础上各自演化——StepClaw走云端推理本地执行混合路线miclaw走端侧原生路线。趋势二安全从“可选项”变成“必选项”。CNCERT的预警、工信部的《龙虾安全养殖手册》、一连串CVE的公开都在倒逼安全机制升级。NemoClaw的OpenShell默认拒绝Deny-by-default白名单网络策略代表了一种方向——零信任架构才是Agent落地的必要条件。趋势三技能生态从“开放”走向“可控”。ClawHub匿名社区模式在国内企服市场大概率行不通会被“官方审核商店”取代。从工程角度看技能包的签名验证、沙箱隔离、行为审计是接下来每个“xxClaw”团队必须解决的技术债。趋势四Token优化成为核心竞争力。miclaw通过多级提示词设计优化节省50%-90% Token开销这正是黄仁勋在GTC 2026上所说“智能体创造的价值必须大于它消耗的算力成本”的工程落地。写在最后养龙虾这件事今天看是极客玩法明天看可能是办公标配后天看或许就是操作系统的原生能力了。但作为一个开发者我的建议是别只当“养虾人”要当“造虾人”。OpenClaw的源码在那里packages/pi-embedded/runtime里的Cell Isolation机制、src/gateway/server.ts里的上下文压缩逻辑、Skills系统的热更新机制每一行都是值得研究的工程样本。蜕壳才刚刚开始。而每一次蜕壳都是代码重构的机会。