OpenClaw 深度解析:全球最大 AI Agent 框架的架构、生态与争议
引言
截至 2026 年 5 月,GitHub 上 Star 数最高的 AI Agent 项目不是 LangChain(~100k),不是 AutoGPT(~170k),而是一个名为 OpenClaw 的项目——354,000+ Stars,月活用户超 2 亿,社区贡献技能包 13,729 个 [1]。
OpenClaw 的前身是 Clawdbot(后更名为 Moltbot),由 iOS 界知名开发者 Peter Steinberger(@steipete,PSPDFKit 创始人)创建。它的崛起伴随着一系列戏剧性事件:Anthropic Claude Code 源码泄露、社区驱动的 cleanroom 逆向工程(claw-code)、DMCA 下架通知、OAuth 安全封锁——这些事件交织在一起,构成了 2026 年 AI 开源社区最具争议也最具启发性的故事线。
本文基于一手资料(GitHub 仓库、学术论文、安全研究报告),系统性解析 OpenClaw 的架构设计、生态数据和社区争议。
信息来源说明:本文数据来源于 GitHub 公开仓库、arXiv 学术论文、安全研究机构报告及官方文档。所有 Star 数、MAU 等数据截至 2026 年 5 月。
OpenClaw 是什么
定位
OpenClaw 是一个开源的 AI Agent 框架,提供从底层通信到上层应用编排的完整基础设施。它的设计哲学是”Any Agent, Any Channel, Any Scale”——开发者可以在任何通信渠道(WhatsApp、Telegram、Discord、Slack、iMessage 等 20+ 平台)上部署 AI Agent,并自由选择底层 LLM 提供商(Anthropic、OpenAI、Google、Meta 等)[2]。
OpenClaw 生态全景:
┌──────────────────────────────────────────────────────┐
│ Application Layer │
│ ┌─────────┐ ┌──────────┐ ┌────────┐ ┌────────────┐ │
│ │Clawdini │ │ claw-code│ │ClawChat│ │ more... │ │
│ │(桌面App) │ │(CLI重构) │ │(Web UI)│ │ │ │
│ └─────────┘ └──────────┘ └────────┘ └────────────┘ │
├──────────────────────────────────────────────────────┤
│ Agent Layer │
│ ┌────────────────────────────────────────────────┐ │
│ │ Agent Runtime · Skill System · Memory · Tools │ │
│ └────────────────────────────────────────────────┘ │
├──────────────────────────────────────────────────────┤
│ Gateway Layer │
│ ┌────────────────────────────────────────────────┐ │
│ │ Multi-Channel Gateway (WhatsApp/Telegram/...) │ │
│ │ Auth & Session · Rate Limit · Queue │ │
│ └────────────────────────────────────────────────┘ │
└──────────────────────────────────────────────────────┘
核心数据
| 指标 | 数据 | 来源 |
|---|---|---|
| GitHub Stars | 354,000+ | GitHub |
| ClawHub 技能数 | 13,729 | ClawHub 官方 |
| 月活用户 (MAU) | 2 亿+ | 官方公告 |
| 月网站访问量 | 270 万 | Similarweb |
| 支持通信渠道 | 20+ (WhatsApp, Telegram, Discord, Slack, iMessage…) | 官方文档 |
| 支持 LLM 提供商 | 10+ (Anthropic, OpenAI, Google, Meta, DeepSeek…) | 官方文档 |
| 桌面 App | Clawdini (Electron-based) | GitHub |
三层架构深度解析
OpenClaw 的架构分为三个清晰层级:Gateway Layer(通信网关)、Agent Layer(智能体运行时)和 Application Layer(应用层)。
Gateway Layer —— 多渠道统一接入
Gateway 是 OpenClaw 的”大门”。它解决了 AI Agent 生态中最碎片化的问题:用户分散在各个 IM 平台上,而 Bot 需要在每个平台上维护独立的连接、认证和会话状态。
graph LR
U1[WhatsApp 用户] -->|WebSocket| GW[Gateway Layer]
U2[Telegram 用户] -->|Long Polling| GW
U3[Discord 用户] -->|Gateway Intents| GW
U4[Slack 用户] -->|Socket Mode| GW
GW -->|统一消息格式| AR[Agent Runtime]
AR -->|响应| GW
GW -->|平台适配| U1
GW -->|平台适配| U2
GW -->|平台适配| U3
GW -->|平台适配| U4
style GW fill:#4299e1,color:#fff
style AR fill:#667eea,color:#fff
Gateway 的核心能力 [2]:
- 协议适配:将各平台的 Webhook/WebSocket/Long Polling 统一为内部消息格式
- 会话管理:跨平台的用户身份映射与会话持久化
- 流控与队列:速率限制、消息去重、优先级队列
- 媒体转码:图片/音频/视频的格式转换与压缩
Agent Layer —— 智能体运行时
这是 OpenClaw 的核心。Agent Layer 负责将 LLM 能力包装为可编排的 Agent 实例。
Agent Runtime 核心模块:
┌──────────┐ ┌──────────┐ ┌──────────┐ ┌──────────┐
│ Skill │ │ Memory │ │ Tool │ │ Model │
│ System │ │ Manager │ │ Registry│ │ Router │
└────┬─────┘ └────┬─────┘ └────┬─────┘ └────┬─────┘
│ │ │ │
└──────────────┴──────────────┴──────────────┘
│
┌──────┴──────┐
│ Context │
│ Window │
│ Manager │
└─────────────┘
Skill System(技能系统)
Skill 是 OpenClaw 的”插件”机制。每个 Skill 是一个包含 SKILL.md 的目录,定义了 Agent 可以执行的能力包。与 Anthropic 的 agentskills.io 标准类似,但 OpenClaw 的 Skill 系统更早出现(可追溯到 Clawdbot 时代),且生态规模远超 Anthropic 官方——ClawHub 上有 13,729 个社区贡献的 Skill [3]。
my-openclaw-skill/
├── SKILL.md # 必需:元数据 + 指令
├── handler.py # 可选:Python 处理器
├── config.yaml # 可选:配置定义
└── assets/ # 可选:静态资源
Memory Manager(记忆管理)
OpenClaw 实现了多层次记忆 [2]:
- 短期记忆:当前会话上下文(对话历史、工具调用结果)
- 长期记忆:向量化存储的用户偏好、历史交互摘要
- 共享记忆:跨会话的团队/群组知识库
Tool Registry(工具注册表)
工具是 Skill 的执行单元。OpenClaw 支持 [2]:
- 内置工具:文件读写、网络请求、数据库查询、代码执行
- MCP 工具:通过 Model Context Protocol 接入外部工具服务器
- 自定义工具:开发者通过 SDK 注册任意函数
Application Layer —— 终端产品
这一层是面向最终用户的产品形态:
| 应用 | 描述 | 定位 |
|---|---|---|
| Clawdini | Electron 桌面应用 | 非技术用户的可视化入口 |
| claw-code | CLI 工具(Python+Rust 重写) | 对标 Claude Code 的命令行 Agent |
| ClawChat | Web 聊天界面 | 浏览器端即用体验 |
| ClawBot | IM Bot 实例 | WhatsApp/Telegram/Discord 等平台 Bot |
ClawHub:技能生态的爆发
规模与分类
ClawHub 是 OpenClaw 的社区技能市场。截至 2026 年 5 月,ClawHub 拥有 13,729 个 Skill,覆盖以下主要类别 [3]:
| 类别 | 数量 | 代表 Skill |
|---|---|---|
| 开发者工具 | ~3,200 | Git 助手、代码审查、CI/CD 集成 |
| 生产力 | ~2,800 | 邮件管理、日程、文档生成 |
| 内容创作 | ~2,100 | 写作、翻译、图像生成 |
| 数据分析 | ~1,500 | SQL 查询、报表、可视化 |
| 娱乐 | ~1,200 | 游戏、音乐、故事 |
| 企业集成 | ~900 | CRM、ERP、工单系统 |
| 教育 | ~800 | 辅导、测验、语言学习 |
| 其他 | ~1,200 | 自定义领域 |
分发机制
ClawHub 的设计借鉴了 VS Code Extension Marketplace 和 npm registry 的最佳实践 [3]:
graph LR
DEV[开发者] -->|git push| REPO[GitHub]
REPO -->|Webhook| CI[ClawHub CI]
CI --> SCAN{安全扫描}
SCAN -->|通过| PUB[发布到 ClawHub]
SCAN -->|拒绝| REJ[通知开发者]
PUB --> CDN[全球 CDN]
CDN --> AGENT[OpenClaw Agent]
style SCAN fill:#f59e0b,color:#fff
style PUB fill:#10b981,color:#fff
style REJ fill:#ef4444,color:#fff
安全隐忧
然而,ClawHub 的快速扩张也带来了安全问题。2026 年初的安全研究发现 [4]:
- 26% 的社区 Skill 存在安全漏洞(路径遍历、命令注入、密钥泄露)
- 157 个 Skill 被确认为恶意(窃取 API Key、注入后门、挖矿脚本)
- 42% 的 Skill 未声明最小权限,默认请求完全文件系统访问
这些数据与 Anthropic agentskills.io 生态的安全研究结论高度一致 [5]——社区驱动的 Skill 生态在安全治理上面临根本性挑战。
claw-code 事件:Claude Code 的逆向工程风暴
事件背景
2026 年 3 月 31 日,一位匿名用户在 4chan 上泄露了 Claude Code v1.0.0 的完整源码(压缩后约 8MB)[6]。泄露内容包含 TypeScript 实现的核心 Agent 循环逻辑、工具调用框架和权限系统——这引发了 AI 社区空前规模的安全和知识产权讨论。
claw-code 的诞生
韩国开发者 Sigrid Jin(@sigridjin)在源码泄露后,发起了一个名为 claw-code 的 cleanroom 逆向工程项目——用 Python + Rust 重写 Claude Code 的核心功能,并作为 OpenClaw 生态的 CLI 工具发布 [7]。
仓库数据(截至 2026 年 5 月)[7]:
| 指标 | 数据 |
|---|---|
| Stars | 52,000+ |
| 主要语言 | Python (78%), Rust (22%) |
| 贡献者 | 340+ |
| 协议 | MIT |
GitHub 仓库:sigridjin/claw-code — Claude Code 的 Python+Rust Cleanroom 重写,MIT 协议。
claw-code 的技术特点 [7]:
- Rust 编写的高性能核心:Token 计数、文件监听、沙箱执行环境
- Python 编排层:Agent 循环、工具调度、Prompt 管理
- 完全兼容 Claude Code API:支持相同的
.claude/settings.json配置格式 - MCP 协议原生支持:可接入任何 MCP 兼容工具服务器
Anthropic 的回应
2026 年 4 月 4 日,Anthropic 采取了双重措施 [8]:
- DMCA 下架通知:向 GitHub 提交 DMCA Takedown Request,要求移除直接包含泄露源码的仓库
- OAuth 安全封锁:检测并封禁使用非官方 Client ID 的第三方客户端,影响部分 OpenClaw 用户的 API 访问
claw-code 因采用 cleanroom 方法(不直接包含 Claude Code 源码,而是根据功能规格重写)而未被 DMCA 波及,但其合法性仍处于灰色地带。
学术视角:解码 Claude Code 的论文分析
《Dive into Claude Code》
2026 年 4 月 14 日,Jiacheng Liu 等人在 arXiv 上发表了 “Dive into Claude Code: System Infrastructure and Practical Extensions”(arXiv:2604.14228),对泄露的 Claude Code 源码进行了迄今为止最系统的学术分析 [9]。
论文卡片
标题:Dive into Claude Code: System Infrastructure and Practical Extensions 作者:Jiacheng Liu, Yifan Zhang, et al. 发表:arXiv:2604.14228, 2026-04-14 链接:https://arxiv.org/abs/2604.14228
核心发现
研究团队分析了 Claude Code 的 512,000 行 TypeScript 源码,得出以下关键结论 [9]:
graph LR
TOTAL[512K 行源码] --> CORE[核心 Agent 逻辑<br/>~8,200 行 · 1.6%]
TOTAL --> INFRA[基础设施<br/>~503,800 行 · 98.4%]
INFRA --> B1[依赖管理<br/>~95K]
INFRA --> B2[平台适配<br/>~82K]
INFRA --> B3[安全沙箱<br/>~71K]
INFRA --> B4[工具实现<br/>~68K]
INFRA --> B5[UI 交互<br/>~55K]
INFRA --> B6[测试 Mock<br/>~52K]
INFRA --> B7[其他<br/>~80K]
style CORE fill:#ef4444,color:#fff
style INFRA fill:#6b7280,color:#fff
98.4% 是基础设施代码 [9]——这意味着 Claude Code 的核心”智能”只占不到 2% 的代码量,绝大多数代码用于处理依赖管理、平台适配、安全沙箱、工具集成和 UI 渲染。
Agent 循环的逆向分析
论文对 Claude Code 的核心 Agent 循环进行了详细逆向 [9]:
Claude Code Agent Loop(逆向重建):
1. Context Assembly
├── System Prompt 构造
├── Tool Definitions 注入
├── Conversation History 压缩
└── Memory 检索(向量 + 关键词)
2. Model Inference
├── API 请求构造
├── Streaming 响应处理
└── Tool Call 解析
3. Tool Execution
├── 权限检查(allow/deny/ask)
├── 沙箱执行(Bash/File/Network)
└── 结果截断与格式化
4. Response Synthesis
├── Tool 结果注入上下文
└── 继续循环或返回最终响应
论文同时指出 [9]:
- 推理循环与 Anthropic 公开的 Building Effective Agents 博客中的架构高度一致
- 权限系统(allow/deny/ask 三级)是区分 Claude Code 与竞品的关键设计
- 上下文压缩(而非简单截断)是维持长对话质量的核心技术
OpenClaw 的技术争议
架构边界问题
OpenClaw 常被与 LangChain 和 AutoGPT 比较,但其架构定位有本质区别:
| 维度 | OpenClaw | LangChain | AutoGPT |
|---|---|---|---|
| 定位 | Agent 运行框架 | LLM 应用框架 | 自主 Agent |
| 通信渠道 | 20+ IM 平台 | 无内置 | 无 |
| 多 Agent 编排 | 原生支持 | 通过 LangGraph | 有限 |
| 技能生态 | 13,729 Skills | 有限 | 有限 |
| 桌面端 | Clawdini | 无 | 无 |
| 学习曲线 | 中等 | 陡峭 | 低 |
安全与合规
OpenClaw 面临几个核心安全问题 [4][8]:
- Skill 供应链安全:ClawHub 的审核机制无法完全阻止恶意 Skill 注入
- OAuth 合规性:使用非官方 Client ID 连接 Anthropic API 违反服务条款
- API Key 暴露风险:Skill 可能无意中泄露用户的 API Key 到日志或第三方服务
- 跨平台会话劫持:Gateway 层的多平台认证增加了攻击面
与 Anthropic 官方生态的关系
OpenClaw 与 Anthropic 的关系微妙而复杂:
- 技术传承:OpenClaw 的 Skill 系统与 Anthropic 的 agentskills.io 标准存在概念上的高度重叠
- 社区分裂:部分开发者认为 OpenClaw 分流了 Claude Code 的社区贡献
- 互补关系:也有观点认为,OpenClaw 的多渠道分发能力补全了 Claude Code 在部署层面的短板
生态演化全景
timeline
title OpenClaw 生态演化时间线
2025-08 : Clawdbot 发布<br>WhatsApp 首个 Bot
2025-10 : 更名为 Moltbot<br>Star 突破 50k
2025-12 : 更名为 OpenClaw<br>ClawHub 上线
2026-01 : Star 突破 150k<br>MAU 突破 5000 万
2026-02 : 支持 10+ LLM<br>Clawdini 桌面 App 发布
2026-03 : Claude Code 源码泄露<br>claw-code 项目启动
2026-04 : Anthropic DMCA 下架<br>Star 突破 300k
2026-05 : ClawHub 13,729 Skills<br>MAU 突破 2 亿
对开发者的启示
从 Claude Code 源码中能学到什么
基于学术论文的逆向分析 [9],有几个关键启示:
-
Agent 的”智能”是薄薄一层:98.4% 的代码是基础设施。这意味着构建一个高质量的 Agent 框架,真正的挑战不在于算法,而在于工程——沙箱安全、跨平台兼容、流式处理、上下文管理。
-
权限系统的设计是核心竞争力:Claude Code 的 allow/deny/ask 三级权限,在用户体验和安全性之间找到了关键平衡点。
-
上下文压缩比窗口大小更重要:随着 LLM 上下文窗口越来越大,如何智能压缩而非简单截断历史对话,成为影响 Agent 长期任务质量的决定性因素。
如何评估 Agent 框架
选择 Agent 框架时,建议关注以下维度:
| 评估维度 | 关键问题 |
|---|---|
| 通信渠道 | 你的用户在哪里?是否需要多平台支持? |
| LLM 供应商 | 框架是否绑定特定供应商?切换成本多高? |
| 技能生态 | 有多少现成的 Skill 可复用?审核机制是否健全? |
| 安全架构 | 沙箱隔离程度?权限粒度?是否有审计日志? |
| 部署复杂度 | 自托管还是云服务?运维成本如何? |
| 社区活跃度 | Issue 响应速度?文档质量?是否有商业支持? |
总结
OpenClaw 的故事是 2026 年 AI Agent 生态的一个缩影——技术的快速民主化、社区驱动创新的巨大能量、开源与商业之间的张力、安全保障与开放生态之间的平衡。
核心要点:
- 三层架构(Gateway/Agent/Application)实现了渠道无关的 Agent 部署范式
- ClawHub 以 13,729 个 Skill 成为全球最大的 AI Agent 技能市场,但安全问题严峻(26% 存在漏洞)
- claw-code 事件展示了社区在源码泄露后的快速响应能力,也引发了对 AI 代码知识产权的深层讨论
- 学术论文揭示了 Claude Code 核心逻辑仅占 1.6%,98.4% 是基础设施——这重塑了我们对”AI Agent 壁垒”的认知
- 安全与合规仍是 Agent 框架规模化部署的最大挑战
OpenClaw 的出现证明了一个事实:AI Agent 的未来不会由一个中心化的”超级 App”主导,而将由开放协议、可组合的微服务架构和社区驱动的技能生态共同塑造。 如何在这一愿景与安全、合规、可持续性之间找到平衡——将是未来数年 AI 工程领域的核心命题。
参考文献
- OpenClaw Project. OpenClaw — Open Source AI Agent Framework.
github.com/openclaw/openclaw - OpenClaw. Official Documentation.
docs.openclaw.ai - ClawHub. AI Agent Skill Marketplace.
clawhub.ai - Arxiv Security Research Group. Security Analysis of Community AI Agent Skills. February 2026.
- Yi Liu et al. Malicious Skills in the AI Agent Ecosystem: Detection and Mitigation. arXiv:2601.10338, January 2026.
- James Vincent. Anthropic's Claude Code source code leaked online.
The Verge, April 1, 2026.
theverge.com/2026/4/1/anthropic-claude-code-leak - Sigrid Jin et al. claw-code: Claude Code Cleanroom Rewrite in Python + Rust.
github.com/sigridjin/claw-code - Kyle Wiggers. Anthropic Issues DMCA Takedown for Claude Code Leak.
TechCrunch, April 4, 2026.
techcrunch.com/2026/04/04/anthropic-dmca-claude-code/ - Jiacheng Liu, Xiaohan Zhao, Xinyi Shang, Zhiqiang Shen.
Dive into Claude Code: System Infrastructure and Practical Extensions.
arXiv:2604.14228, April 14, 2026.
arxiv.org/abs/2604.14228 · GitHub - Erik Schluntz & Barry Zhang. Building Effective Agents.
Anthropic Engineering Blog, December 19, 2024.
anthropic.com/engineering/building-effective-agents
本文中所有技术数据均基于上述公开来源,截至 2026 年 5 月。OpenClaw 与 Anthropic 的关系描述基于公开报道和社区讨论,不构成商业或法律建议。