OpenClaw最近因各种原因引发关注,有好的也有坏的。我看到有人通过Telegram重建整个网站,运营"AI办公室",还有一个案例是某个智能体因为提示注入而删除了数千封邮件。这让我停下脚步,不再只看演示,而是实际研究其架构。
实际上,它的底层比大多数人预期的要简单。
OpenClaw在你的机器上作为一个持久的Node.js进程运行。有一个单一的网关绑定到本地主机,同时管理所有消息平台:WhatsApp、Telegram、Slack、Discord。每一条消息都流经这一个进程。它处理认证、路由、会话加载,然后才将控制权传递给智能体循环。响应则沿着相同的路径返回。
它之所以感觉与ChatGPT风格的工具不同,在于其持久性。它不会重置。对话历史、指令、工具,甚至长期记忆都只是存储在~/.openclaw/目录下的文件中。用的是Markdown文件,没有数据库。你可以打开它们、进行版本控制、比较差异、回滚更改。智能体每次运行时都会重新加载这个状态,这就是为什么它能记得你上周告诉它的内容。
心跳机制是其中的有趣部分。一个定时任务会定期唤醒它,首先运行成本低廉的检查(邮件、警报、API),只有当实际情况发生变化时才会调用LLM。这种设计在使其能够主动行动的同时,也控制了成本。它不需要等你来询问。
安全模型是设计变得务实的地方。该系统假定LLM可能被操纵。因此,强制措施在网关层面执行:允许列表、范围限定的权限、沙箱模式、对风险操作的批准门槛。但如果你授予它完全的shell和文件系统访问权限,你仍然是在将一个概率模型置于具有实际控制权的位置。该架构限制了潜在的损害范围,但并未完全消除风险。
让我印象深刻的是,OpenClaw在技术上并没有什么革命性的东西。其组成部分都很基础:WebSocket、Markdown文件、cron任务、LLM调用。它的强大之处在于如何将这些组件组合成一个在本地运行的、持久的、可检查的智能体循环。
它更像是一个"将LLM粘合到带有内存和工具的长期运行进程上",而非"神奇的AI系统"。
