# OpenClaw 完整攻略:從必設參數到超好用 Skills,一篇搞懂這個 199k Stars 的 AI Agent
你大概是這兩個禮拜才第一次聽到「OpenClaw」這個名字。打開 GitHub Trending,一隻龍蝦佔據了榜首。199k stars。35k forks。然後你查了一下 — 這東西才三個月大。
更魔幻的是,創辦人 Peter Steinberger 在 2 月 14 日宣布加入 OpenAI,而 [CrowdStrike](https://www.crowdstrike.com/en-us/blog/what-security-teams-need-to-know-about-openclaw-ai-super-agent/)%E3%80%81[Snyk](https://snyk.io/blog/openclaw-skills-credential-leaks-research/)%E3%80%81[1Password](https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface)%E3%80%81JFrog%E3%80%81Semgrep 五家安全公司同時對它發出警告。一個專案同時吸引了矽谷和資安圈的全部注意力,這種事不常見。
我花了一整個週末把 OpenClaw 從頭到尾拆開來看。這篇文章把我學到的東西整理成一份實用指南:哪些參數非設不可、哪些 Skills 真的好用、以及怎麼在享受便利的同時不把自己的 API keys 送給全世界。
---
## OpenClaw 三句話講清楚
OpenClaw 是一個開源(MIT)的 AI Agent 框架,跑在你自己的機器上。你透過 WhatsApp、Telegram 或 Discord 跟它對話,它可以幫你讀信、排日程、跑測試、控制瀏覽器 — 而且它不等你開口,每 30 分鐘自己醒來一次檢查有沒有事該做。
記憶全部存成 Markdown 檔在本機,不上雲端。這是它跟 ChatGPT、Claude.ai 最根本的差異。
技術上它有三個特徵讓它跟其他 AI Agent 不同:**local-first**(資料在你手上)、**always-on**(heartbeat daemon 持續運行)、**conversation-first**(用聊天 app 當介面,不是又一個 web dashboard)。
---
## 裝好之後第一件事:Gateway 安全三件套
OpenClaw 裝完後會在本機啟動一個 Gateway 服務(預設 port 18789)。這是整個系統的控制平面。你的所有設定都在 `~/.openclaw/openclaw.json` 這個檔案裡。
[JFrog 的安全研究](https://jfrog.com/blog/giving-openclaw-the-keys-to-your-kingdom-read-this-first/)揭露了一個令人頭皮發麻的事實:大量用戶的 Gateway 直接暴露在公網上,沒有任何認證。攻擊者可以直接操控你的 Agent,讀取你的檔案、郵件、WhatsApp 對話和 API keys。
所以,裝完後第一件事不是配模型,是鎖門:
```json
{
"gateway": {
"port": 18789,
"mode": "local",
"bind": "loopback",
"auth": {
"mode": "token",
"token": "你的隨機強密碼"
}
}
}
```
三個必設參數,缺一不可:
| 參數 | 設定值 | 為什麼 |
|------|--------|--------|
| `bind` | `"loopback"` | 只允許 localhost 連接,不暴露到網路 |
| `auth.token` | 隨機強密碼 | 沒有它,任何人都能操控你的 Agent |
| `mode` | `"local"` | 本地模式,不透過雲端中繼 |
想遠端存取?用 Tailscale,不要開放 port。
---
## 六個 Markdown 檔:你 Agent 的靈魂
OpenClaw 最有趣的設計是用 Markdown 檔來定義 Agent 的一切行為。這些檔案住在 `~/.openclaw/workspace/` 裡:
```
workspace/
├── SOUL.md # Agent 是誰(個性)
├── USER.md # Agent 服務誰(你的資訊)
├── AGENTS.md # Agent 做什麼(操作規則)
├── TOOLS.md # Agent 怎麼用工具
├── HEARTBEAT.md # Agent 自主監控什麼
└── MEMORY.md # Agent 記得什麼
```
每次開啟新 session,Agent 會按順序讀取:SOUL.md → USER.md → 最近的 memory → AGENTS.md。這個順序很重要,因為它決定了 context 的優先級。
### SOUL.md — 別寫「我很友善」
SOUL.md 是最容易寫爛的一個。[aaronjmars 的 soul.md 專案](https://github.com/aaronjmars/soul.md)給了一個很好的判斷標準:**讀者看完你的 SOUL.md,應該能預測你的 Agent 對任何新話題的反應。**做不到,就是太模糊。
```markdown
# 我的 AI 助理
## 核心原則
- 主動行動,事後回報
- 回應直接有力,不囉唆
- 遇到不確定的事先問再做
## 溝通風格
- 繁體中文為主,技術用語保留英文
- 不用敬語,直接對話
```
好的 SOUL.md 長這樣:「我預設先反對,再鋼人論證」。壞的長這樣:「我喜歡考慮多元觀點」。前者有立場可以執行,後者只是空話。
### HEARTBEAT.md — 讓 Agent 主動幫你
這是 OpenClaw 最殺手級的功能。每 30 分鐘(可設定),Agent 會自己醒來,讀取 HEARTBEAT.md 裡的清單,決定該不該做點什麼:
```markdown
# Heartbeat checklist
- 掃描收件箱是否有緊急郵件
- 檢查未來 2 小時的日曆事件
- 審查待處理任務
- 閒置超過 8 小時就發個簡短問候
```
配合 `openclaw.json` 裡的設定:
```json
{
"agents": {
"defaults": {
"heartbeat": {
"every": "30m",
"target": "last",
"activeHours": { "start": "08:00", "end": "22:00" }
}
}
}
}
```
`target: "last"` 會把通知發到你最近使用的 channel。`activeHours` 確保凌晨不會被打擾。有個 Reddit 用戶的評價很到位:「It's like having a coworker who never gets tired.」
注意:不要在 HEARTBEAT.md 裡放任何機密資訊(API keys、電話號碼),因為整個檔案會進入 prompt context。
---
## 模型不是越貴越好:$45-50/月的成本學
很多人裝完 OpenClaw 第一天就燒掉 $20,因為他們把 Opus 放在 `primary` slot。這是最常見的錯誤。
[社群分享的設定範例](https://gist.github.com/digitalknk/4169b59d01658e20002a093d544eb391)給出了一個黃金法則 — **Coordinator vs Worker 模式**:
```json
{
"agents": {
"defaults": {
"model": {
"primary": "claude-sonnet-4.5",
"fallbacks": ["claude-opus-4.5"]
}
}
}
}
```
邏輯很簡單:日常對話用便宜的 Sonnet,遇到複雜任務自動升級到 Opus。Heartbeat 用最便宜的模型就好,反正只是跑個 checklist。
| 用途 | 推薦模型 | 原因 |
|------|----------|------|
| 日常對話 | Claude Sonnet 4.5 | 性價比最高 |
| 複雜推理 | Claude Opus 4.5 | 放在 fallbacks |
| Heartbeat | Haiku / GPT-3.5 | 簡單檢查,成本最低 |
| 免費備援 | GLM 4.7 / Kimi K2.5 | 透過 Synthetic provider,完全免費 |
多 Provider 策略也很關鍵:Anthropic 主力、OpenRouter 備援、Synthetic 提供免費的 GLM 和 Kimi 模型。這樣即使某家 quota 用完,Agent 不會停擺。
[Semgrep 的安全報告](https://semgrep.dev/blog/2026/openclaw-security-engineers-cheat-sheet)特別提到:**有工具權限的 Agent 務必用最強模型。**弱模型更容易被 prompt injection 攻擊。Haiku 只適合用在 chat-only、沒有工具存取權限的場景。
---
## Skills:3,984 個擴充功能,你該裝哪些?
OpenClaw 的 Skill 系統基於 [AgentSkills 規範](https://docs.openclaw.ai/tools/clawhub)(Anthropic 原創,現在 Claude Code、Cursor、VS Code、Gemini CLI 都支援)。每個 Skill 就是一個資料夾加一個 SKILL.md。分發平台叫 [ClawHub](https://clawhub.ai),目前有 3,984+ 個社群 skills。
安裝很簡單:
```bash
npm i -g clawhub
clawhub search "calendar"
clawhub install skill-name
```
但問題在於:[Snyk 掃描了整個 ClawHub,發現 7.1%(283 個)的 skills 有安全漏洞](https://snyk.io/blog/openclaw-skills-credential-leaks-research/)。所以你第一批要裝的不是生產力工具,而是安全工具。
### 最優先:安全三件套
| Skill | 幹什麼 |
|-------|--------|
| `clawscan` | 掃描 ClawHub skills 的安全性 |
| `skill-vetting` | 安裝前自動審查 skill 代碼 |
| `soul-guardian` | 監控 workspace 檔案是否被竄改 |
```bash
clawhub install clawscan && clawhub install skill-vetting && clawhub install soul-guardian
```
裝完這三個,之後安裝任何 skill 前都先讓它們掃一遍。
### 開發者黃金五件套
[Reddit 社群](https://www.reddit.com/r/AI_Agents/comments/1r2u356/best_openclaw_skills_you_should_install_from/)投票出的日常組合:
| Skill | 功能 | 安裝 |
|-------|------|------|
| `github` | OAuth 整合,處理 repos/issues/PRs | `clawhub install github` |
| `agentmail` | 收發郵件自動化 | `clawhub install agentmail` |
| `linear` | 專案管理整合 | `clawhub install linear` |
| `playwright-mcp` | 瀏覽器自動化測試 | `clawhub install playwright-mcp` |
| `obsidian-direct` | Obsidian 筆記庫搜尋 | `clawhub install obsidian-direct` |
這五個覆蓋了開發、郵件、專案管理、瀏覽器和知識管理。一個開發者的日常工作流基本上齊了。
### 其他值得關注的
**瀏覽器控制**:`smooth-browser` 是社群首選,比 `stagehand-browser-cli` 更穩定。
**自動化**:`clawlist` 是多步驟任務管理的必裝品;`smart-auto-updater` 會用 AI 判斷更新的影響再決定要不要自動更新。
**開發輔助**:`multi-coding-agent` 讓你的 OpenClaw 能同時操控 Claude Code、Codex、OpenCode 多個編碼工具。`test-runner` 支援跨語言跨框架的測試執行。
### 自建 Skill 只需要三步
```bash
mkdir -p ~/.openclaw/workspace/skills/my-skill
```
寫一個 SKILL.md:
```markdown
---
name: daily-standup
description: 每天早上自動產生 standup 報告
---
# Instructions
When user asks for "standup" or during morning heartbeat:
1. Check git log for yesterday's commits
2. Check Linear for in-progress tasks
3. Format as a brief standup update
```
在 `openclaw.json` 裡啟用:
```json
{ "skills": { "entries": { "my-skill": { "enabled": true } } } }
```
完成。Agent 會自動在 intent matching 時找到這個 skill。想分享給社群就 `clawhub publish`。
---
## 五家安全公司都在警告你
這不是危言聳聽。2026 年 2 月的頭兩週,五家頂級安全公司幾乎同時發表了 OpenClaw 的安全研究:
| 機構 | 發現 |
|------|------|
| **Snyk** | 掃描 3,984 skills,[283 個有安全漏洞(7.1%)](https://snyk.io/blog/openclaw-skills-credential-leaks-research/) — 不是惡意軟體,是設計上就把 API keys 以明文傳遞 |
| **1Password** | [偽裝成 "Twitter" 的 skill](https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface) 要求安裝假依賴,實際植入 Atomic Stealer 竊取瀏覽器憑證 |
| **CrowdStrike** | [企業環境中的 OpenClaw 可被攻擊者利用為 AI 後門](https://www.crowdstrike.com/en-us/blog/what-security-teams-need-to-know-about-openclaw-ai-super-agent/) |
| **JFrog** | Gateway 暴露風險,[無認證端點被攻擊者操控](https://jfrog.com/blog/giving-openclaw-the-keys-to-your-kingdom-read-this-first/) |
| **Semgrep** | Skills 本質上是[可執行代碼](https://semgrep.dev/blog/2026/openclaw-security-engineers-cheat-sheet),但以 Markdown 偽裝讓人放下戒心 |
Semgrep 的報告說得最直白:「Popularity metrics in the OpenClaw ecosystem are gamed. Don't assume downloads = safety.」
### 十大安全實踐
給認真想用 OpenClaw 的人一份 checklist:
1. **在獨立機器或 VPS 上運行** — 用全新帳號、全新環境,別在你的主力開發機上裸跑
2. **Gateway 三件套** — `bind: "loopback"` + `auth.token` + `mode: "local"`
3. **啟用 sandbox** — `sandbox.mode: "non-main"` 讓非主 session 都跑在沙箱裡
4. **安裝前掃描** — 每個 skill 用 `clawscan` 掃過再啟用
5. **定期審計** — `openclaw security audit --deep`
6. **不連接核心系統** — 你的 production database、真正的 AWS root key,別讓 Agent 碰
7. **容器化部署** — Docker/Podman + `--cap-drop=ALL` + read-only filesystem
8. **Credential brokering** — 用 [LiteLLM](https://docs.litellm.ai/) 當中間層,Agent 永遠不直接接觸真實 API key
9. **設定 tool policies** — 允許讀取郵件但要求批准才能發送
10. **每次改 config 都重新審計**
---
## OpenClaw 值得投入嗎?
回到最初的問題。OpenClaw 解決了一個真實的痛點:**讓 LLM 不只是回答問題,而是持續運行、主動幫你做事。**Heartbeat + Skills + 本地記憶的組合,是目前市場上獨一無二的。
但它也很年輕。三個月大的專案、剛經歷創辦人離開、安全體系還在建設中。你需要清楚知道自己在做什麼。
我的建議:
- **想玩想學**:在一台獨立機器上裝起來,連 Telegram,體驗 heartbeat 的魔力
- **想用在工作上**:等一等。至少等安全工具鏈成熟、社群 skills 的審核機制完善
- **想開發 Skills**:現在正是好時機。生態系還早期,好的 skill 很容易被看到
不管你怎麼決定,記住 Semgrep 那句話:**「Do NOT connect OpenClaw to crown jewels systems or data.」**
---
## 延伸閱讀
- [OpenClaw 官方文檔](https://docs.openclaw.ai/) — 最權威的設定參考
- [OpenClaw GitHub](https://github.com/openclaw/openclaw) — 199k stars 的原始碼
- [ClawHub](https://clawhub.ai) — Skills 市集
- [Awesome OpenClaw Skills](https://github.com/VoltAgent/awesome-openclaw-skills) — 社群精選 skills 列表
- [DataCamp OpenClaw Tutorial](https://www.datacamp.com/tutorial/moltbot-clawdbot-tutorial) — 最完整的入門教學
- [Semgrep Security Cheat Sheet](https://semgrep.dev/blog/2026/openclaw-security-engineers-cheat-sheet) — 安全工程師必讀
- [Milvus Complete Guide](https://milvus.io/blog/openclaw-formerly-clawdbot-moltbot-explained-a-complete-guide-to-the-autonomous-ai-agent.md) — 架構深度解析
Sign in with Wallet
Connect another wallet