OpenClaw 完整攻略:從必設參數到超好用 Skills,一篇搞懂這個 199k Stars 的 AI Agent
OpenClaw 完整攻略:從必設參數到超好用 Skills,一篇搞懂這個 199k Stars 的 AI Agent
你大概是這兩個禮拜才第一次聽到「OpenClaw」這個名字。打開 GitHub Trending,一隻龍蝦佔據了榜首。199k stars。35k forks。然後你查了一下 — 這東西才三個月大。
更魔幻的是,創辦人 Peter Steinberger 在 2 月 14 日宣布加入 OpenAI,而 CrowdStrike%E3%80%81Snyk%E3%80%811Password%E3%80%81JFrog%E3%80%81Semgrep 五家安全公司同時對它發出警告。一個專案同時吸引了矽谷和資安圈的全部注意力,這種事不常見。
我花了一整個週末把 OpenClaw 從頭到尾拆開來看。這篇文章把我學到的東西整理成一份實用指南:哪些參數非設不可、哪些 Skills 真的好用、以及怎麼在享受便利的同時不把自己的 API keys 送給全世界。
OpenClaw 三句話講清楚
OpenClaw 是一個開源(MIT)的 AI Agent 框架,跑在你自己的機器上。你透過 WhatsApp、Telegram 或 Discord 跟它對話,它可以幫你讀信、排日程、跑測試、控制瀏覽器 — 而且它不等你開口,每 30 分鐘自己醒來一次檢查有沒有事該做。
記憶全部存成 Markdown 檔在本機,不上雲端。這是它跟 ChatGPT、Claude.ai 最根本的差異。
技術上它有三個特徵讓它跟其他 AI Agent 不同:local-first(資料在你手上)、always-on(heartbeat daemon 持續運行)、conversation-first(用聊天 app 當介面,不是又一個 web dashboard)。
裝好之後第一件事:Gateway 安全三件套
OpenClaw 裝完後會在本機啟動一個 Gateway 服務(預設 port 18789)。這是整個系統的控制平面。你的所有設定都在 <sub>/.openclaw/openclaw.json 這個檔案裡。
JFrog 的安全研究揭露了一個令人頭皮發麻的事實:大量用戶的 Gateway 直接暴露在公網上,沒有任何認證。攻擊者可以直接操控你的 Agent,讀取你的檔案、郵件、WhatsApp 對話和 API keys。
所以,裝完後第一件事不是配模型,是鎖門:
{
"gateway": {
"port": 18789,
"mode": "local",
"bind": "loopback",
"auth": {
"mode": "token",
"token": "你的隨機強密碼"
}
}
}
三個必設參數,缺一不可:
| 參數 | 設定值 | 為什麼 |
|---|---|---|
bind |
"loopback" |
只允許 localhost 連接,不暴露到網路 |
auth.token |
隨機強密碼 | 沒有它,任何人都能操控你的 Agent |
mode |
"local" |
本地模式,不透過雲端中繼 |
想遠端存取?用 Tailscale,不要開放 port。
六個 Markdown 檔:你 Agent 的靈魂
OpenClaw 最有趣的設計是用 Markdown 檔來定義 Agent 的一切行為。這些檔案住在 </sub>/.openclaw/workspace/ 裡:
workspace/
├── SOUL.md # Agent 是誰(個性)
├── USER.md # Agent 服務誰(你的資訊)
├── AGENTS.md # Agent 做什麼(操作規則)
├── TOOLS.md # Agent 怎麼用工具
├── HEARTBEAT.md # Agent 自主監控什麼
└── MEMORY.md # Agent 記得什麼
每次開啟新 session,Agent 會按順序讀取:SOUL.md → USER.md → 最近的 memory → AGENTS.md。這個順序很重要,因為它決定了 context 的優先級。
SOUL.md — 別寫「我很友善」
SOUL.md 是最容易寫爛的一個。aaronjmars 的 soul.md 專案給了一個很好的判斷標準:**讀者看完你的 SOUL.md,應該能預測你的 Agent 對任何新話題的反應。**做不到,就是太模糊。
# 我的 AI 助理
## 核心原則
- 主動行動,事後回報
- 回應直接有力,不囉唆
- 遇到不確定的事先問再做
## 溝通風格
- 繁體中文為主,技術用語保留英文
- 不用敬語,直接對話
好的 SOUL.md 長這樣:「我預設先反對,再鋼人論證」。壞的長這樣:「我喜歡考慮多元觀點」。前者有立場可以執行,後者只是空話。
HEARTBEAT.md — 讓 Agent 主動幫你
這是 OpenClaw 最殺手級的功能。每 30 分鐘(可設定),Agent 會自己醒來,讀取 HEARTBEAT.md 裡的清單,決定該不該做點什麼:
# Heartbeat checklist
- 掃描收件箱是否有緊急郵件
- 檢查未來 2 小時的日曆事件
- 審查待處理任務
- 閒置超過 8 小時就發個簡短問候
配合 openclaw.json 裡的設定:
{
"agents": {
"defaults": {
"heartbeat": {
"every": "30m",
"target": "last",
"activeHours": { "start": "08:00", "end": "22:00" }
}
}
}
}
target: "last" 會把通知發到你最近使用的 channel。activeHours 確保凌晨不會被打擾。有個 Reddit 用戶的評價很到位:「It's like having a coworker who never gets tired.」
注意:不要在 HEARTBEAT.md 裡放任何機密資訊(API keys、電話號碼),因為整個檔案會進入 prompt context。
模型不是越貴越好:$45-50/月的成本學
很多人裝完 OpenClaw 第一天就燒掉 $20,因為他們把 Opus 放在 primary slot。這是最常見的錯誤。
社群分享的設定範例給出了一個黃金法則 — Coordinator vs Worker 模式:
{
"agents": {
"defaults": {
"model": {
"primary": "claude-sonnet-4.5",
"fallbacks": ["claude-opus-4.5"]
}
}
}
}
邏輯很簡單:日常對話用便宜的 Sonnet,遇到複雜任務自動升級到 Opus。Heartbeat 用最便宜的模型就好,反正只是跑個 checklist。
| 用途 | 推薦模型 | 原因 |
|---|---|---|
| 日常對話 | Claude Sonnet 4.5 | 性價比最高 |
| 複雜推理 | Claude Opus 4.5 | 放在 fallbacks |
| Heartbeat | Haiku / GPT-3.5 | 簡單檢查,成本最低 |
| 免費備援 | GLM 4.7 / Kimi K2.5 | 透過 Synthetic provider,完全免費 |
多 Provider 策略也很關鍵:Anthropic 主力、OpenRouter 備援、Synthetic 提供免費的 GLM 和 Kimi 模型。這樣即使某家 quota 用完,Agent 不會停擺。
Semgrep 的安全報告特別提到:**有工具權限的 Agent 務必用最強模型。**弱模型更容易被 prompt injection 攻擊。Haiku 只適合用在 chat-only、沒有工具存取權限的場景。
Skills:3,984 個擴充功能,你該裝哪些?
OpenClaw 的 Skill 系統基於 AgentSkills 規範(Anthropic 原創,現在 Claude Code、Cursor、VS Code、Gemini CLI 都支援)。每個 Skill 就是一個資料夾加一個 SKILL.md。分發平台叫 ClawHub,目前有 3,984+ 個社群 skills。
安裝很簡單:
npm i -g clawhub
clawhub search "calendar"
clawhub install skill-name
但問題在於:Snyk 掃描了整個 ClawHub,發現 7.1%(283 個)的 skills 有安全漏洞。所以你第一批要裝的不是生產力工具,而是安全工具。
最優先:安全三件套
| Skill | 幹什麼 |
|---|---|
clawscan |
掃描 ClawHub skills 的安全性 |
skill-vetting |
安裝前自動審查 skill 代碼 |
soul-guardian |
監控 workspace 檔案是否被竄改 |
clawhub install clawscan && clawhub install skill-vetting && clawhub install soul-guardian
裝完這三個,之後安裝任何 skill 前都先讓它們掃一遍。
開發者黃金五件套
Reddit 社群投票出的日常組合:
| Skill | 功能 | 安裝 |
|---|---|---|
github |
OAuth 整合,處理 repos/issues/PRs | clawhub install github |
agentmail |
收發郵件自動化 | clawhub install agentmail |
linear |
專案管理整合 | clawhub install linear |
playwright-mcp |
瀏覽器自動化測試 | clawhub install playwright-mcp |
obsidian-direct |
Obsidian 筆記庫搜尋 | clawhub install obsidian-direct |
這五個覆蓋了開發、郵件、專案管理、瀏覽器和知識管理。一個開發者的日常工作流基本上齊了。
其他值得關注的
瀏覽器控制:smooth-browser 是社群首選,比 stagehand-browser-cli 更穩定。
自動化:clawlist 是多步驟任務管理的必裝品;smart-auto-updater 會用 AI 判斷更新的影響再決定要不要自動更新。
開發輔助:multi-coding-agent 讓你的 OpenClaw 能同時操控 Claude Code、Codex、OpenCode 多個編碼工具。test-runner 支援跨語言跨框架的測試執行。
自建 Skill 只需要三步
mkdir -p ~/.openclaw/workspace/skills/my-skill
寫一個 SKILL.md:
---
name: daily-standup
description: 每天早上自動產生 standup 報告
---
# Instructions
When user asks for "standup" or during morning heartbeat:
1. Check git log for yesterday's commits
2. Check Linear for in-progress tasks
3. Format as a brief standup update
在 openclaw.json 裡啟用:
{ "skills": { "entries": { "my-skill": { "enabled": true } } } }
完成。Agent 會自動在 intent matching 時找到這個 skill。想分享給社群就 clawhub publish。
五家安全公司都在警告你
這不是危言聳聽。2026 年 2 月的頭兩週,五家頂級安全公司幾乎同時發表了 OpenClaw 的安全研究:
| 機構 | 發現 |
|---|---|
| Snyk | 掃描 3,984 skills,283 個有安全漏洞(7.1%) — 不是惡意軟體,是設計上就把 API keys 以明文傳遞 |
| 1Password | 偽裝成 "Twitter" 的 skill 要求安裝假依賴,實際植入 Atomic Stealer 竊取瀏覽器憑證 |
| CrowdStrike | 企業環境中的 OpenClaw 可被攻擊者利用為 AI 後門 |
| JFrog | Gateway 暴露風險,無認證端點被攻擊者操控 |
| Semgrep | Skills 本質上是可執行代碼,但以 Markdown 偽裝讓人放下戒心 |
Semgrep 的報告說得最直白:「Popularity metrics in the OpenClaw ecosystem are gamed. Don't assume downloads = safety.」
十大安全實踐
給認真想用 OpenClaw 的人一份 checklist:
- 在獨立機器或 VPS 上運行 — 用全新帳號、全新環境,別在你的主力開發機上裸跑
- Gateway 三件套 —
bind: "loopback"+auth.token+mode: "local" - 啟用 sandbox —
sandbox.mode: "non-main"讓非主 session 都跑在沙箱裡 - 安裝前掃描 — 每個 skill 用
clawscan掃過再啟用 - 定期審計 —
openclaw security audit --deep - 不連接核心系統 — 你的 production database、真正的 AWS root key,別讓 Agent 碰
- 容器化部署 — Docker/Podman +
--cap-drop=ALL+ read-only filesystem - Credential brokering — 用 LiteLLM 當中間層,Agent 永遠不直接接觸真實 API key
- 設定 tool policies — 允許讀取郵件但要求批准才能發送
- 每次改 config 都重新審計
OpenClaw 值得投入嗎?
回到最初的問題。OpenClaw 解決了一個真實的痛點:**讓 LLM 不只是回答問題,而是持續運行、主動幫你做事。**Heartbeat + Skills + 本地記憶的組合,是目前市場上獨一無二的。
但它也很年輕。三個月大的專案、剛經歷創辦人離開、安全體系還在建設中。你需要清楚知道自己在做什麼。
我的建議:
- 想玩想學:在一台獨立機器上裝起來,連 Telegram,體驗 heartbeat 的魔力
- 想用在工作上:等一等。至少等安全工具鏈成熟、社群 skills 的審核機制完善
- 想開發 Skills:現在正是好時機。生態系還早期,好的 skill 很容易被看到
不管你怎麼決定,記住 Semgrep 那句話:「Do NOT connect OpenClaw to crown jewels systems or data.」
延伸閱讀
- OpenClaw 官方文檔 — 最權威的設定參考
- OpenClaw GitHub — 199k stars 的原始碼
- ClawHub — Skills 市集
- Awesome OpenClaw Skills — 社群精選 skills 列表
- DataCamp OpenClaw Tutorial — 最完整的入門教學
- Semgrep Security Cheat Sheet — 安全工程師必讀
- Milvus Complete Guide — 架構深度解析
本文最初發布於 HackMD @BASHCAT。
留言
張貼留言