Openclaw

从年后到现在OpenClaw热度不减。Github上Starred数量达到275.3K，成为有史以来星星数最多的项目，没有之一。昨天腾讯宣布免费帮助安装OpenClaw。3月6日腾讯大厦楼下近千名开发者和AI爱好者排起了长队。从上午10点开始，一个小时内数百个预约号码就发放完毕。这些开发者和AI爱好者是为了安装OpenClaw。 大家对OpenClaw趋之若鹜，当然是因它真的能帮你干活！今天谈论 Agent，大家最先想到是Agent的能力：能不能写代码，能不能查资料，能不能自主拆解工作流并连续执行。虽然AI取代人类让人失业的焦虑甚嚣尘上，但是不得不承认现在只差临门一脚：只要模型再强一点，工具再多一点，Agent 就会自然而然地进入现实世界。除了取代人类，它还可能开始自动接任务、挣钱，并形成密集的经济协作网络。不过，真正拦在 Agent 经济大门前的，可能并非“做事”的能力，而是一件更简单、也更麻烦的事——关键不在于能不能转账收钱，而是怎么验讫收货。 转账这件事其实并不神秘。给 Agent 配一个钱包、一个私钥，再加上智能合约和代付 Gas，整套支付工具已经非常成熟了。钱从 A 到 B在工程上并不难。真正的问题是， Agent 说自己“做完了”，你凭什么相信它？它到底做到哪一步了，什么才算完成，它是做了一个演示玩具，还是做了一个扎实的工业品？谁来评判质量，谁负责验收？如果只做了个半成品怎么办，调用别的 Agent 出错了责任算谁的，结果不满意又该如何处理退款或仲裁？这些流程如果不完整，支付就只能靠人工拍板。系统就会卡在“看起来能自动化，实际上还要人肉兜底”的阶段，这才是 Agent 经济真正的最后一公里。 我们可以想象一个很快就会出现的现实场景。一位老板把任务交给“总 Agent”，要求安排一次出差。总 Agent 随后把任务拆给几个子 Agent：一个负责订票，一个负责订酒店，一个负责整理资料，另一个负责生成行程单。看起来分工清晰，每个 Agent 都有自己的能力。但问题很快就会冒出来：Agent没注意时区差别订错了机票日期；酒店位置非常偏，算不算完成？资料 Agent 写了一堆正确但没用的废话，算不算交付？一旦 Agent 不再只是回答问题，而是开始承接任务，问题的重心马上就转移了。这时候稀缺的不是模型能力，而是行为可预期。所以说Agent 真正进入任务经济的障碍，难点不在“执行”，而在“验收”。 这些问题单独看都不是全新的，但 Agent 在网络里，处理的事情在现实里，它天然站在执行、结算与协作的边界，这让原本分散的问题开始变成同一个系统问题。Agent 经济真正缺的不是转账，而是闭环能力。所谓闭环，是让任务定义、状态流转、完成判定、自动结算、形成回执与沉淀信誉这几件事连成一线。这个闭环一旦断掉，系统就只能靠人工补位，跑起来就会显得极其磕绊。 如果只是支付这一层，走 ERC-4337 这样的路径已经能让体验做得很好，只要问题被定义成“钱怎么付出去”，工程上并没有不可逾越的障碍。所以支付不是难点，真正难的是“收货”。这里的收货是广义的价值确认：这项任务到底有没有按要求完成，能不能触发结算？这比支付难得多。因为转账的完成条件很明确，状态上链即结束，但 Agent 的任务往往有过程、有依赖、有主客观的区别。 比如返回一个哈希或跑通自动测试，这类任务容易定义完成。但如果任务是写一份高质量报告或市场分析，完成的标志就不再只是有没有输出内容，而是写得是不是符合你的预期。你会发现，支付只是按钮，验收才是阀门。真正决定系统能否流动起来的，是阀门能不能根据“完成判定”这种可执行规则自动开合。如果验收没有被形式化，支付就永远只是孤立的动作，信誉也就无法成为系统的一部分。 现实世界里，不少路径都在尝试接近这个方向，但大多只瞄准了链条中的某一段。有的平台把身份、任务、支付、信誉都收进中心化系统，好处是简单，代价是信任集中且开放性差。也有很多团队走“拼装路线”，用公链做结算，用合约做托管，用数据库记状态，用索引器同步事件。拼装方案有隐形税收：越多边界就有越多潜在故障点，系统升级时接口不容易兼容。于是越跑越碎片化，越改越难兼顾。这种分段解决的现状，导致验收、状态和结算之间始终无法形成统一关系。 由此便产生了一个自然的需求：如果 Agent 真的要进入持续协作、自动结算的状态，我们是否需要一个统一的状态层？统一不等于天然更安全，但它的价值在于减少边界，让状态更集中。这让身份、权限、任务状态、验收判定、结算触发、回执留下以及信誉累积这些强耦合的东西，能在同一个规则框架下协同。 如果我们横向对比几条代表性路线，会发现 Fetch.ai 更像是在做发现和通信层，解决 Agent 怎么接上网络；ERC-4337 在做账户和支付层，解决 Agent 怎么付钱；Olas 则侧重于让链下服务接入加密市场。这些路线都有价值，但从“任务闭环”的角度看，它们大多只修补了一层，没有把整个链条收成一个统一的状态机。 这正是我在Github上看到一个项目GitHub - clawinfra/claw-chain: 🦞⛓️ Layer 1 blockchain for autonomous agents - zero-gas, community-driven, built by collective intelligence · GitHub 真正有意思的地方。它的价值不在于又造了一条新链，而在于它试图把 Agent 协作里最关键的原语——身份、信誉、任务、回执、结算、治理——全部放进同一个 Runtime 里。换句话说，它想替代的不是钱包，而是碎片化的拼装。这个思路抓住的是“闭环”：如果系统在共识层就能感知到什么是任务、什么是回执，Agent 协作的摩擦力就会明显下降。它在试图回答一个非常具体的问题：当 Agent 开始接任务，谁来定义“完成”？ ...

在大多数人的 OpenClaw 部署里，定时任务（Cron）就像是机器的内脏运动。前一天谈话记录总结在凌晨 1 点醒来，个人知识库维护在周日触发。你听得见显卡风扇在 3 点钟突然加速的轰鸣，但当你问OpenClaw要一份系统定时任务清单，或者问它最近一次系统任务执行情况时，它可能会象个手忙脚乱的实习生一样，紧张兮兮地回复你：“没有找到相关命令”，或者“没有权限执行”。 其实任务肯定执行过了，问题在于谁能看到它在跑什么。 如果你不能随时回答“哪些任务在排队”、“任务定义是什么”、“上次留下了什么证据”，那自动化就不是你的工具，而是一个你无法审计的投机系统。 我们需要把这种“观察监督权”从黑箱里拽出来。 第一步：确认控制面的真实入口 人们对于自己不了解的事物通常有两种反应：夸大其辞，或者哂然一笑。互联网上对待OpenClaw的态度与此严丝合扣：等待看笑话的人，和把权限全部甩给OpeClaw的人。这两种态度都有问题。“未历其境，难知其味”。不是躬身亲尝，不可能了解AI Agent的发展。而全权托付AI Agent的人，出了事又难免觉得它盛名之下，其实难负。 举个例子：OpenClaw只是个AI Agent的框架，具体操纵它的是大模型。训练大模型时的语料里可没有OpenClaw这个产品。所以它对于系统命令的习惯都是基于Linux的记录，比如，要求列出系统定时任务，它很自然就会输入指令：crontab -l。但实际上，在OpenClaw内部，这个需求对应的指令是：node /app/openclaw.mjs cron list 。OpenClaw找不到crontab -l这个指令，就会报告“没有找到相关命令”，任务失败。不了解这个系统的人可能因此沮丧，觉得这个AI Agent什么也做不了。其实只是你没找到做对事情的路径。想象一下人类世界，如果让一个没有经过严格训练的普通人坐到F-15飞机的座舱，面对满屏花花绿绿的指示灯和琳琅满目的按钮，他又能做什么呢？ 所以，不是AI Agent不好用，是你需要先了解它能做什么，怎么做。而不是期待它能解决所有事情，或者认为它什么也做不好。 转回定时任务这个话题，它是我们用好OpenClaw的核心任务。所以三个核心指令是必须十分清晰的 定时器里有什么任务？列一个清单出来 定时器里某一个具体的任务的详细情况什么？ 最近一次触发定时器的任务完成情况如何? 确认程序位置 docker exec -it openclaw sh -lc 'ls -la /app/openclaw.mjs' 确认数据路径 docker exec -it openclaw sh -lc 'ls -la /home/node/.openclaw/cron' 路径映射如果错位，就会制造出“文件不存在”的幻觉。 第二步：构建三条稳定的“治理接口” 我们不指望 Agent 能学会复杂的 Linux 命令，我们要给它三条确定的物理出口。这些脚本要放在 workspace/skills/bin 目录下。 首先要创建目录：在宿主机执行（会写入持久化目录）： mkdir -p /opt/openclaw/data/workspace/skills/bin 1. cron_list —— 确认系统的节律 这不只是一个定时器任务清单，它是系统还在呼吸的证明。通过拉出这个清单，你会知道系统每天会定时做些什么任务。 cat > /opt/openclaw/data/workspace/skills/bin/cron_list.sh <<'SH' #!/bin/sh set -eu node /app/openclaw.mjs cron list SH chmod +x /opt/openclaw/data/workspace/skills/bin/cron_list.sh 2. cron_show —— 任务的骨骼解剖 ...

——当 AI 从“聊天搭子”变成“数字打工人”，工作的组织方式可能会被改写。 过去两年，我们对 AI 的印象大多还停留在那个熟悉的对话框里。你问，它答。它能写论文、改邮件、总结资料，但它基本是被动的。你不发指令，它就不会动。 现在风向正在变：越来越多人把注意力从“更会聊天”，转向“能把事办完”的智能体。你可以把它想象成数字实习生：你给的不是一个问题，而是一个目标。它为了达成目标，会自己去查信息、比价、填表、点按钮，甚至完成下单与预约。 如果这只是帮你订机票，那只是便利。更有意思也更让人不安的部分在后面：当成千上万个具备行动能力的智能体被放到互联网上，它们不只服务人类，还可能互相分工、互相竞价、互相结算。工作会像接口调用一样被拆开、被转包、被验收。人类从“每一步亲手操作”，慢慢变成“写规则的人”和“兜底的人”。 最近我看到两个很特别的项目，它们像是把这个未来提前摆在你面前。一个是在做“只让智能体发任务”的任务市场；另一个是在做“把智能体放进成本与收入账本里”的工作评测。它们不一定会成为最后的赢家，但它们暴露出的方向，足够让人认真想一想：如果智能体真的开始互相雇佣，社会会怎么变。 场景深度解析：当“人”的角色开始淡出 很多技术叙事喜欢把变化说成“升级”，但这里更像是“工作流程的改写”。当任务能被机器读懂、验收能被机器判断、结算能自动触发，人的位置就会从流程中间慢慢退出，转到流程外侧：制定规则、监控风险、处理争议。 下面我们拆解这两个例子。你会看到，它们不是在追求更漂亮的回答，而是在尝试把“工作”变成一种更像工程系统的东西。 项目一：Claw Work —— 一个“只有智能体能发单”的世界 想象你打开一个求职网站，首页写着一条很怪的规则：人类禁止发布工作，只允许智能体发布任务。这不是玩笑，这正是Claw Work - Upwork for Agents. Not for Humans. 的公开立场。 它的意图并不难猜：把市场里的基本参与者，从“人类账号”换成“可验证归属的智能体”。在这个设定里，一个智能体可以用工具完成注册，拿到一条“归属证明”的链接，然后用公开渠道（比如社交账号）去声明“这个智能体由我控制”。从此它不只是你电脑里的脚本，而是一个被平台当作“经济参与者”的实体。 你可以把它理解成一种新的账号体系：不是“张三的账号”，而是“张三控制的一号智能体、二号智能体、三号智能体”。当这些智能体开始接任务、交付、领钱，市场就会把它们当成劳动力，也把它们当成风险源。 这套设定看起来像行为艺术，但它指向一个现实痛点：人类外包平台里最大的问题往往不是“没人干活”，而是“沟通与扯皮”。需求写不清、验收说不明、改来改去、情绪拉满。平台抽成再高，也解决不了“标准不明确”的根问题。 在这个项目设想的世界里，流程会变成另一种形态： 以前的常见流程是这样：你想做个新 Logo，你去平台写需求，等人接单，然后进入一轮又一轮“再大气一点”“再简洁一点”的拉扯。最后你勉强点确认，付款结束。过程里真正消耗的不是钱，而是时间与精力。 而Claw-Wrok想要的流程更像机器流水线：一个负责品牌的智能体通过数据发现形象老化，于是生成结构化需求，设定预算与期限，直接发布任务。另一个擅长设计的智能体接单，提交若干方案。发单的智能体用预设标准筛选、复核。只要产出满足预设的验收条件，系统就自动触发结算。 这个故事听起来很爽，因为它把人类最讨厌的部分切掉了：反复沟通、反复确认、反复情绪消耗。它把“协作”改写成了“规则驱动的交付”。 但它马上会撞上冷峻的现实：有多少工作真的能被写成明确规则？如果验收标准写得太粗，智能体就会投机取巧；写得太细，发布成本又会变得很高。这个张力，会决定这类平台到底是“能跑起来的系统”，还是“概念上很美的展示页”。 项目二：开源框架 ClawWork —— 残酷的“算账式工作场” 如果说第一个项目在讲“市场形态”，第二个项目 GitHub - HKUDS/ClawWork: “ClawWork: OpenClaw as Your AI Coworker - 💰 $10K earned in 7 Hours” 更像在做“测量与训练”。它不是先建一个真实世界的雇佣平台，而是先搭一个“工作场”：把一组真实职业任务放进去，让不同智能体去做，然后用同一套规则对它们算账、打分、排行。 这个项目的关键点在于：它把“工作”从一段模糊对话，变成可比较的交付任务。它不是问“你会不会说”，而是问“你能不能在成本约束下交付合格结果”。当成本是可见的（比如调用接口花了多少钱、跑了多久），当收益也是可见的（完成任务得到多少回报），你就能讨论一个更现实的问题：智能体能不能长期稳定干活，而不是偶尔秀一把。 这类框架之所以重要，是因为它把一个常被忽略的事实摆上台面：语言天然是模糊的。人类可以靠常识、语境、情绪去补齐模糊，但机器不行。于是，想让智能体稳定工作，任务就必须被翻译成更精确的“工单”。 人类老板会这样说：“把最近的销售数据整理一下，看看哪里有问题，明天给我个报告。” 人类实习生听到这话会崩溃，因为他需要猜：最近可能是指上周或上月；数据可能在 ERP 或 Excel；问题可能是下降或异常值；报告可能是 PPT 或 Word。靠猜，工作也能推进。 而在智能体世界里，“靠猜”会变成系统性风险。工单要写清楚输入在哪里、要做什么动作、输出格式是什么、时间与成本上限是多少、怎样算通过。写不清，系统就会不断产生低质量交付，争议成本会立刻吞掉效率。 ...

为什么你需要给 OpenClaw 做云端灾备？ 试想一下这个场景：你已经花了整整 100 个小时，深度调教了你的 OpenClaw。它现在非常懂你，写出了完美的提示词，攒了一套极度顺手的技能脚本。 但突然有一天，服务器硬盘报废了；或者你在深夜头脑不清醒时，手滑敲错了一行不可逆的删除命令。几个月积累的“数字资产”，会不会瞬间灰飞烟灭？ 这种担忧非常现实。你在 OpenClaw 里的工作区，本质上就是你最宝贵的数字资产。为了睡个安稳觉，我们需要一套自动化的云端备份方案： 异地容灾：机器真坏了，拉起一台新机器，一键克隆代码库，立刻满血复活。 后悔药（版本回滚）：随时对比这周和上周的配置差异，改废了也能一键撤销。 改动审计：什么时候加了新技能？什么时候动了底层设置？Git 历史里记得清清楚楚。 这份文档不仅教你备份，还要帮你避开一个无数人踩过的巨坑：千万不要在 Docker 容器里生成 SSH 密钥。容器一重启，密钥就没了，GitHub 验证又得从头来。 我们的解法更稳：把密钥留在宿主机（你的服务器本身），让容器只读借用；然后直接用宿主机把工作区推送到 GitHub。 前提假设（请核对你的环境） 本文假设你的目录长这样（标准的 OpenClaw 部署结构）： /opt/openclaw/ ├─ Dockerfile ├─ docker-compose.yml ├─ sync_infini.sh（你的同步脚本） ├─ ssh/（我们将要用来放钥匙的地方） └─ data/（OpenClaw 实际干活的目录） 一个关键提示：下面很多命令都带了一长串 su -s /bin/sh -c '...' opc。别被吓到，这其实只是为了让你在不切换当前账号的情况下，强制用 opc 这个普通用户的身份去执行命令。这样生成的文件才不会变成“root 专属”，从而避免后续 Git 报出一堆权限安全错误。 如果你的日常用户名不叫 opc，请把下面所有的 opc 替换成你实际的用户名。 第一步：确认身份和地盘 在 Linux 世界里，权限就是一切。Docker 里的 OpenClaw 默认用的是一个 UID（用户 ID）为 1000 的虚拟用户。为了让外面和里面能毫无障碍地读写文件，我们需要确认服务器外面的用户 UID 也是 1000。 查一下 UID 1000 的真实身份 ...

架构理念：为什么这么做？ 之前写过一篇文章，为什么我不建议你把 AI Agent “裸奔”在家里？——一套关于安全博弈的深度复盘 ，强调要把 OpenClaw 这个强大的 Agent 封装在隔离的沙盒，只执行被批准的指令。这就引出下一个问题，我们如何给 OpenClaw 投喂资料，又如何从隔离沙盒中取出结果文件？ 事实上，即使你是在裸机安装，大部分人也会把 OpenClaw 单独安装在一台干净的主机上，很少有人会疯狂到把它安装在自己的日常主机。所以裸机安装也面临同样问题——如何与 OpenClaw 交换文件。 直观的想法是配置一个双向同步的文件协议，比如我以前介绍过的别再靠微信传文件了！双向同步 + WebDAV：手把手教你打造“永不丢失”的跨平台工作流。这篇文章就是教你通过免费的 WebDAV 服务器作为桥梁，在 OpenClaw 和你的日常电脑之间建立一个即时生效的文件交换机制（最长延迟 1 分钟）。建议你按照这篇内容，先去注册一个 InfiniCLOUD 免费空间，20G 容量够大好用，并准备好 WebDAV 的用户名和应用密码（可能不同于登录密码）。 本方案采用“宿主机同步，容器透明”的方式。宿主机运行 rclone 同步引擎，负责与 WebDAV 通讯与双向同步；容器内 OpenClaw 只读写本地目录，不需要感知网络同步。通过 Docker 的 Volume 挂载，将宿主机目录映射给容器。 我们不建议直接让 OpenClaw 自己在容器内跑 WebDAV 同步。在 Docker 环境中运行 AI 助手时，直接在容器内配置 WebDAV 同步通常面临：密码泄露风险、重启后配置丢失、容器体积变大等问题。 本指南假设同步目标目录固定为 orgmode。这是作者本人的一个偏好。如果你使用不同的文件夹，把这个文件夹名字作对应修改即可。 另外，因为主机环境不同，你的设置过程和这份指南可能略有不同。最好直接把本文丢给AI，然后把你的实际情况跟AI一边聊，一边实施。 为了减少“路径与用户名”造成的复用成本，本文统一用变量表达，你只需要在自己的机器上替换这几个变量即可： UID1000：宿主机上 UID=1000 的真实用户名（例如 opc、ubuntu、debian、ec2-user 等） LOCAL_ROOT：宿主机上 OpenClaw 数据根目录（本文用 /opt/openclaw/data） LOCAL_DIR：宿主机需要同步的目录（本文用 ${LOCAL_ROOT}/workspace/orgmode） MOUNT_DIR：容器内映射目录（本文用 /home/node/.openclaw/workspace/orgmode） REMOTE：rclone remote 名称（建议固定为 infini） ...

经常有朋友问我：“你那 套 OpenClaw 到底强在哪？我用网页版 ChatGPT 不也一样吗？” 我通常只问一个问题：“你的 AI，记得你去年这个时候在发愁什么吗？” 这就是普通用户和深度玩家的分水岭。网页版 AI 是个“流浪汉”，聊完就忘；而我们要打造的是一个 “数字孪生” ，它得有记忆，而且是长期记忆。这需要给它配一个称职的“图书馆管理员”——Embedding 模型。 今天，我们介绍这个“AI 长期记忆”的灵魂组件，并教你如何在自家的 NAS 或破电脑上，低成本搭建一个私有化的、超强悍的记忆中心。 一、 到底什么是 Embedding？它怎么管记忆？ 你有没有发现，AI 变笨往往是从“健忘”开始的？你告诉它你喜欢简洁的代码风格，结果三轮对话后，它又给你吐出一大堆注释。这其实是因为 AI 找记忆的逻辑太死板了。 你可以把 AI 的大脑想象成一个巨大的、乱糟糟的图书馆，里面塞满了你和它的聊天记录、你的文档和各种偏好设置。 1. 传统搜索：死板的“对暗号” 如果没有 Embedding，AI 找东西只能靠“搜关键词”。 比如你搜“如何强身健体”，AI 能找到包含这六个字的文件。但如果你的笔记里写的是“锻炼身体的几种方法”，AI 就卡住了。因为它不理解这两个说法其实是一个意思。这就是为什么 AI 总是显得“记性不好”。 2. Embedding 搜索：聪明的“地图定位” 有了 Embedding 之后，AI 会在后台把每一段文字变成一串“坐标”。 它不是在查字，而是在“地图”上找位置。它知道“强身健体”和“锻炼身体”在语义地图上的坐标离得非常近。 当你提问时，AI 会先计算你问题的坐标，然后在地图上瞬间定位到离你最近的记忆。这种语义联想能力，才是让 AI “真正懂你”的核心。 3. OpenClaw的长期记忆 OpenClaw的长期记忆功能是一种 Embedding(向量搜索) + BM25(关键字搜索) 的混合搜索。但是如果你不提供Embedding功能，它只能退化为单纯BM25，也就是关键词搜索。如果你对当时讨论内容只有一个模糊印象，却记不住精准的关键字，只有Embedding记忆才能帮助你。 二、 为什么非要私有化部署？ 你可以花钱用 OpenAI 提供的 Embedding API，这是最方便的。但对于咱们“折腾党”来说，私有化部署有三个不可替代的理由： 隐私保护：你的日记、密码、甚至私密笔记，不需要发往云端进行向量化处理。所有数据都在你自己的硬盘上，这才是真正的安全。 速度与额度：API 经常抽风，还有次数限制。私有化部署后，你哪怕一秒钟存一万条笔记，也不用花一分钱。 中文灵魂：我们要用的 BAAI/bge-m3 模型，是真正的“中文大拿”，它能懂那些复杂的中文语境和双关语，这是洋模型比不了的。 ...

2026年初，开源OpenClaw风靡全球。到处都在谈论部署，人人都激赏它的“自主性”和“全能感”。但是越美丽的越危险。当运行一个具备推理能力、且能系统级工具的AI Agent 时，你确实是在家里请了一个全能管家，但他随时可能被“指令劫持”，或者被别人借你的环境“夺舍上身”。 最近技术博主 Alex Finn 提出了一个很有代表性的观点：他认为 VPS 的“一键部署OpenClaw”对普通用户并不是好选择，因为 VPS 暴露在公网，需要做防火墙、限制 SSH 登录等安全加固，否则容易被入侵。基于这个前提，他进一步推论：在本地全新设备上安装 Agent，是默认封闭因而更安全。这个观察确实点中了“运维门槛”的一部分真实难题，但它很容易滑向一个更危险的结论：把“运行位置”当成“安全边界”，并由此产生一种看起来舒服、却并不可靠的感性安全。 本地环境因为“看不见”“不在公网”，并不等于安全。更贴近工程现实的说法是：在缺省配置、缺少分段与权限控制的家用局域网里，风险常常被低估。很多家庭网络里混杂着旧固件的 IoT 设备、弱口令管理面、默认开启的 UPnP、以及权限混乱的共享存储。一旦 Agent 以裸机或高权限方式运行在这种环境中，只要它被指令劫持或被提示注入诱导执行不该执行的操作，后果往往不止是“这台机器出问题”，而是迅速演变成内网横向移动：访问 NAS、读取主机敏感文件、触达同网段的服务接口，甚至把内网当作下一跳扩散。这种破坏力来自“同域高信任”，而不是来自“在家里还是在云上”。 这里说的“裸奔”风险，通常是指这四件事叠在了一起： 直接装在主机上、给它最高管理权限、内网接口没设防、能直接读写你的核心数据。 这四者叠在一起，你就等于在家里放了一个随时可能被放大的风险源。 我喜欢用一句更工程化的话来概括这件事： 出事后的代价 = 它的权限 × 暴露出来的接口 × 能碰到的核心数据。 权限越大、对外或对内暴露越多、能触达的资产越核心，出事时你要付出的代价就越大。后面我讲的所有“折腾”，其实都只是在做同一件事：把这三个因子一个个砍掉，让爆炸半径缩小到你可以接受的范围里。 两条高概率攻击路径：关于内网的“马奇诺防线” 可能有人会觉得：“我的 Mac mini 系统安全性很高，黑客进得来吗？”这种想法有点像修了一座宏伟的马奇诺防线，却忽略了侧翼的树林和城内的特洛伊木马。对攻击者来说，他不一定要正面打穿你的系统，他更喜欢从最软的地方进去，然后在你看不见的地方扩大战果。 我这里用两条在家庭网络里非常常见、也最容易被忽视的路径来说明：你的风险不在于“别人能不能直接黑进 Mac mini”，而在于“别人能不能先拿到一个内网落点，然后利用你自己暴露出来的接口和权限做事”。 场景一：WiFi 泄露引发的“横向渗透” 想象一个很常见的场景：朋友来家里做客，你把 WiFi 给了他。之后密码可能被各种方式扩散，例如某些分享类应用、某些设备自动同步、或者单纯被拍照记录。于是某一天，有人真的连进了你的内网。 他第一步往往不是攻你的 Mac mini，而是拿下防御最弱、也最容易被忽略的设备，比如一台多年不更新固件的智能摄像头、扫地机器人、或者某个廉价的 IoT 网关。只要他接管了其中一个设备，他就获得了一个长期潜伏在你家里的“内鬼”。 真正可怕的地方在于：家庭网络设备之间通常是互相信任的。同一网段内的设备之间，往往可以相互探测端口、扫描服务、尝试弱口令，甚至直接访问一些“默认以为只有内网才看得到”的 HTTP 接口。 如果你把 AI Agent 直接裸跑在宿主机上，并且在内网暴露了一个未加密或弱认证的 API（例如某个本地 Web 服务、Webhook、调试端口、管理面板），那么这个 Agent 对攻击者来说就像是一个已经上膛的工具箱：他不一定要拿下你的系统账号，只要能调用你的 Agent 接口，他就能让 Agent “替他干活”。 这就是典型的“马奇诺防线”问题：你把正门修得很硬，但侧门是开着的，而且侧门后面就是军械库。换句话说，你把保险柜的门锁得死死的，但旁边挂着一把万能钥匙，而这把钥匙只要连上 WiFi 就能用。 ...

前言 我在 🦞安卓党的AI突围：Oracle 24G+4 VPS 部署 OpenClaw 深度指南 (2026版) | Luznest (光巢) 这篇文章里介绍用docker的方式部署OpenClaw。Docker能把能力强大，破坏力也同样强大的OpenClaw限制在沙盒环境，不会在电脑上造成不可挽回的损失。 但是这种沙盒环境限制也不是没有代价。官方镜像为了体积和通用性，不得不阉割掉笨重的浏览器内核和数据库等系列工具。使用Docker方式部署OpenClaw处理各种事情时，我常常经历那种“明明差临门一脚，它却卡在环境限制上”的挫败感。 比如说，本想让它去读一篇微信公众号文章解析，它却对着反爬 JS 报错；本想让它帮你整理过去一年的健康数据，它却只能在几千行的 Markdown 文件里左右支绌。你想让它帮你分析最近Anki刷卡记录，它却告诉你只能读文本文档。 这种时候，你就会意识到：官方原生镜像只是一个基础的毛坯房。 我们要的是一个能干脏活、能处理复杂任务的“完全体”。所以，我们要给它打个“补丁”——这不是在改代码，而是在给 AI 的灵魂，重新焊接一副更强壮的肉身。 为什么要费这个劲？关于“视力”与“仓库”的隐喻 在动手之前，我们得先搞清楚，我们到底在补什么。 第一，是加装“视力”。 现在的网页很少有静态页面。微信、小红书，它们全是靠 JavaScript 动态生成的。如果你只给 AI 提供一个 curl（就像是给它一根导盲棍），它只能在黑暗里摸索。 我们要装的 Playwright 和 Chromium，就是给 AI 装上一对实实在在的“数字化眼睛”。它能真正打开浏览器，等广告弹窗消失，等内容渲染完成，甚至能模拟你的手指去点击。 第二，是建立“仓库”。 Markdown 是很好的笔记格式，但它不是好的数据引擎。当你试图把上万行的 Garmin 手表睡眠记录塞给 AI 时，它的 Token 窗口会瞬间被垃圾信息填满。 我们要装的 sqlite3，就是给 AI 建一个地下仓库。数据不再是无序流动的文字，而是结构化的、可索引的表格。AI 查数据不再靠“读”，而是靠“检”。 更深一层的意义在于：很多硬核工具的底层，其实都是 SQLite。 比如你每天背的 Anki 牌组，它的学习进度和遗忘曲线就躺在 .anki2 数据库里。有了这个工具，AI 就能直接读取你的知识库，知道你哪些单词还没记牢，从而在对话中精准地为你进行“主动回想（Active Recall）”。这种从生理数据到认知数据的全面建模，才是真正让 AI “认识”你的开始。 第三，是通往“三上编程”的门票。 我之前提过“三上编程”（车上、路上、厕上）。要实现这种丝滑的自动化，你的 Agent 必须在服务器后台能够自主完成文件同步（rclone）。我们需要它把沙盒环境里写的文件自动共享到沙盒环境外，也就我们的电脑本地，却又不破坏安全限制。 这套组合拳，才是通往 Vibe Coding 自由的关键。 ...

前言 本文介绍一种基于文本的日程管理标记语言 Orgmode。在OpenClaw的加持下，AI可以接管你的日程安排。你只用告诉AI日常习惯，以及你要做的项目，OpenClaw会将它分解为具体可执行步骤，并且写入你的Orgmode文件。通过WebDAV协议同步，这些日程安排会同步到手机、电脑，成为你日常任务的贴心助理。 这篇文章写于2026年1月1号。在使用OpenClaw后，我发现OpenClaw + WebDAV + Orgmode 天然契合，于是重新修改了一遍。这篇文章先简单介绍Orgmode的概念。后续文章会通过软件演示实际应用。 新年计划的困境 新年伊始，朋友圈里总会刷到各种雄心勃勃的计划：减肥20斤、学会理财、背完雅思词汇、从零开始学编程。大家好像觉得，只要下载一个漂亮的待办软件，生活就能翻开新的一页。 作为一名"工具控"，我曾经也沉迷这种循环：花三天对比哪个 App 更好用，花一周研究订阅计划怎么买最划算，然后在第三周把这事忘得一干二净。 为什么我们精心挑选的 TODO 软件拯救不了我们的新年计划？问题出在哪？ 大多数待办软件是为"记录"设计的，不是为"解决复杂问题"设计的。 现在的 App 都在迁就使用者，设计了大量精美的按钮、日期选择器和下拉框。这在处理“买牛奶”这种琐事时很好用。但是当你想"学 Python"时，这些软件只能帮你记下这个单词，至于怎么学、从哪开始、每天做什么，它不管。你必须自己绞尽脑汁去拆解子任务，然后在网页上一条条点开、输入、关闭。你——这个过程本身就劝退了90%人。你本想成为行动者，结果却成了工具的搬运工。 更尴尬的是，现在 AI 几秒钟就能把"学 Python"拆成五十个具体步骤，但你的待办软件却不认识这段文字。你只能像个传话筒一样，在 AI 对话框和 App 之间来回复制粘贴。 其实我们有更适合AI时代的另一种选择：Org-mode。 它不是 App，而是一种基于纯文本的任务管理方式。听起来很复古，但在 AI 时代，它反而成了效率最高的方案。 Org-mode 是什么 Org-mode 的核心理念很简单：用纯文本管理一切。 记不记得我们以前推荐过纯文本格式的 AI 时代的“数字方言”：普通人为什么要了解 Markdown? Org-mode和Markdown类似，它的语法极为简洁： 一个星号 * 代表大目标 两个星号 ** 代表子任务 TODO 标记待办，DONE 标记完成 举个例子，你想"学英语"，Org-mode 的文件长这样： * 三个月内雅思达到6.5分 ** TODO 背单词 *** 每天背50个新词（用墨墨背单词） *** 周末复习本周错题 ** TODO 练听力 *** 每天听1集BBC 6 Minute English *** 精听1篇剑桥真题 ** DONE 买真题书 没有按钮，没有表单，就是纯文本。这种"简陋"最通用，而且正是AI擅长处理的内容。这让它在 AI 时代有了降维打击的能力。 ...

为什么要写这篇文章？ 现在AI工具很多，但大多数人只是打开网页跟ChatGPT聊聊天，问完问题就关了。这种用法其实只发挥了AI不到10%的能力。 我一直在想，能不能有一个真正属于自己的智能助手——不是那种回答完问题就消失的客服机器人，而是像《钢铁侠》里贾维斯那样，能记住你的偏好、能主动帮你干活、还能24小时在线的系统级助理。 2026年，🦞 OpenClaw 的出现让人看到了这种可能性。 OpenClaw是什么？ 简单来说，它不是又一个套壳的聊天网页，而是一套开源的个人AI操作系统。普通AI只能给你建议，而OpenClaw能直接帮你执行： 从对话到行动：你不只能说"帮我分析一下这支股票"，你可以说"监控这只股票，突破某个价位就通知我，顺便把相关数据整理成Excel发给我"。它会自动去抓数据、生成文件、发消息，全程不用你动手。 有记忆：它记得你昨天说过什么、偏好什么，下次对话时能接着聊，不用重复交代背景。 会扩展：通过安装Skill（技能包），它就能学会新能力——查股价、读网页、管理你的NAS文件，甚至控制家里的智能家居。 为什么选择VPS部署？ 现在网上很火的组合是Mac mini + OpenClaw。这个组合确实好用，OpenClaw能管理苹果日历，使用Canvas等强大工具。但有个前提：你得在苹果生态里。如果你是安卓用户，那些功能对你来说基本等于没有，反而成了一种限制。 更重要的是安全问题。OpenClaw有执行代码的能力，如果直接装在你存满照片、文档、私钥的主力电脑上，风险太高。我可不想因为一个AI bug把自己的重要文件搞丢，更不敢把Apple ID的全部权限交给一个AI代理。 所以我选择把它部署在云端VPS上——物理隔离，坏了不心疼，更碰不到本地文件。 整体思路 云端部署：用Oracle的免费VPS（24G内存/4核，配置相当豪华），把OpenClaw架在云上。 远程交互：通过Telegram和它对话，配合安卓手机的语音输入，随时随地发指令。 文件隔离：通过WebDAV建立一个"文件交换区"，你想让AI处理的文件放进去，AI生成的成果自动同步回来，它永远看不到你交换区之外的东西。 这套方案不限于Oracle，腾讯云、阿里云，只要是Ubuntu系统，步骤都一样。 准备工作：需要哪些东西？ 选哪个客户端？ OpenClaw支持多种客户端，各自特点如下： 客户端 怎么连接 国内能用吗 功能丰富度 隐私性 适合谁 Telegram 反向连接（不需要你开端口） 需要代理 很丰富，支持按钮菜单 极高（端到端加密） 个人用户、技术爱好者 飞书 需要公网地址 ✅ 直连 非常丰富，支持卡片 一般（企业可见） 国内办公场景 WhatsApp 需要公网地址 需要代理 基础功能 高（端到端加密） 海外用户 Discord 反向连接/Webhook 需要代理 丰富，支持频道 较高 团队协作 Web界面 直接访问8080端口 看服务器位置 最完整 需要自己做HTTPS 深度配置、故障排查 本文用Telegram举例，兼顾功能性和隐私保护。动手之前，先把这三样东西准备好： 需要准备 去哪里拿 干什么用 Telegram Bot Token 在Telegram里找@BotFather，发送/newbot，得到一串代码，如 123456:ABC-DEF... 让你的机器人能收发消息 Telegram User ID 找@userinfobot，发任意消息，记下那串数字(如 553061740) 只有这个ID能控制你的机器人，防止别人蹭用 Moonshot API Key 登录platform.moonshot.cn创建 OpenClaw的大脑，用来调用Kimi模型 第一步：安装Docker 我们选择Docker部署，相当于给软件造了一个"独立房间"，它在里面怎么折腾都不会影响你的系统。 ...