1、OpenClawOpenClaw 运行机制与安全威胁研究运行机制与安全威胁研究一、一、引言与研究背景引言与研究背景OpenClaw 是 2025 年末开源、2026 年初在 GitHub 上爆炸式走红的本地优先（local first）AI 智能体（Agent）与自动化平台，由开发者 Peter Steinberger 发起，短短数月即累计二十多万 Star，成为 GitHub 史上增长最快的开源项目之一。它的核心理念是让大模型从“对话式顾问”变成“真正能在本地动手干活的数字员工”，通过深度控制操作系统、调用外部工具和在线服务，自动执行复杂任务。OpenClaw 因图标是红色龙虾，被广泛昵称为

2、“龙虾”或“小龙虾”，同时受到产业界和广大用户广泛关注并积极实践应用，引发关于“养龙虾是否安全”的广泛讨论。工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）已发布专门预警，提示 OpenClaw 在不安全部署方式下存在较高安全风险，容易引发网络攻击和信息泄露。在这种背景下，有必要从体系结构与运行机理出发，系统梳理 OpenClaw 的工作流程、Skill 机制与大模型交互特点，并对其已披露漏洞和系统性安全威胁进行分析，以为后续防护与治理提供技术依据。二、二、OpenClawOpenClaw 的架构原理与运行流程的架构原理与运行流程整体来看，OpenClaw 以“本地常驻、模块化扩展、闭

3、环执行”为核心特征，从消息接入、决策规划、工具执行到记忆沉淀形成完整链路。各模块分工明确、协同运转，使其区别于传统对话式 AI，成为能够长期运行、自主完成复杂任务的通用 Agent 基础设施。2.12.1 整体架构与设计理念整体架构与设计理念OpenClaw 是一个既可以在个人 PC、NAS 或家庭服务器上运行，也可以部署在云端或托管平台上，目标是构建一个可扩展的通用 Agent 基础设施。其底层架构通常被拆解为四个核心模块：渠道适配层：通过网关对接 WhatsApp、Telegram、Slack、Discord 等聊天平台，并可扩展到飞书、企业微信、邮件等，让用户在熟悉的沟通工具里直接和 A

4、gent 交互。智能决策与模型编排层：对接不同大语言模型（LLM），负责会话管理、工具调用决策、多步任务规划等，是“Agent 大脑”。技能（Skills）与工具层：通过 Skill 插件和 MCP 工具扩展能力，实现浏览器自动化、代码执行、文件操作、第三方 SaaS 集成等“动手能力”。记忆与状态管理层：利用 Markdown 文件和向量存储构建双层记忆系统（按天日志+长期记忆），支撑长期个性化与复杂任务上下文管理。整体上，OpenClaw 通过“多通道接入+多模型编排+技能插件+本地记忆”构成一个可长期运行的常驻智能体，区别于传统只在浏览器里对话、没有持续状态的聊天机器人。2.22.2 部

5、署模式：本地与服务器部署模式：本地与服务器/云端云端OpenClaw 官方定位为“你可以在自己设备上运行的个人 AI 助手”，支持在 macOS、Linux、Windows 桌面系统、树莓派等 ARM 设备及各类服务器上自托管部署。主流部署方式包括：个人电脑部署：通过 npm 或一键安装脚本在本地安装 OpenClaw CLI，并将Gateway 注册为系统服务（macOS 使用 launchd，Linux 使用 systemd，Windows 一般通过 WSL2 下的 systemd），作为常驻后台网关进程运行。Docker/容器化部署：使用官方或社区提供的 Docker 镜像，映射容器内的

6、/.openclaw 目录以持久化配置和记忆，同时暴露 18789 等端口用于 GatewayWeb 控制台和 API 访问。家庭服务器/NAS 部署：在家用服务器或 NAS 上运行 OpenClaw，通过内网或穿透工具（如 Localtonet）实现远程访问，也可以在多台设备上分别部署 Gateway，由不同节点承担不同类型的任务。从安全视角看，本地部署的优势在于数据安全：对话记录、文件内容、API 凭证等敏感信息都保存在用户自己的机器上，不必上传到第三方云平台。但相应地，系统加固、访问控制、备份和更新等责任也全部落在用户或运维团队自身身上，一旦配置不当反而更容易暴露于互联网攻击面。2.32