開源自主 AI 代理 平台

OpenClaw 是一套免費、開源、本地優先（local-first）的自主 AI 代理平台。傳統 chatbot 等待使用者在瀏覽器視窗輸入問題後才回應。OpenClaw 則持續在機器、伺服器或 VPS 上運行，主動使用工具執行任務、管理檔案、代為下指令。

定位為執行型代理（an agent that actually does things）。它能跑背景排程（cron、提醒、任務），可自行託管，不需要雲端即可在 Mac mini 或一般筆電上運行。核心特徵是把裝置控制權授予代理，讓它代為操作機器，包含對螢幕、檔案與系統的讀取與存取能力。

使用者回報的常見任務是排程工作：研究報告、撰寫郵件草稿、旅遊更新與規劃、軟體更新、內容產製、費用報帳。設定完成後代理自主執行，使用者事後檢查並微調指令。

OpenClaw 在三個月內改了兩次名字，作者後來加入了 OpenAI。了解這段歷史，有助於在 GitHub、Reddit、Discord 上看到 Clawdbot / Moltbot / Molty 這些舊名時辨認出它們指的是同一個專案。

安裝前，需先了解 OpenClaw 如何與電腦互動。平台以「兩層系統」運作。Tools 是代理的基礎動作能力，Skills 是教代理如何組合 Tools 完成特定任務的指令集。

The HandsTools（工具）= 核心能力

Tools 是代理的基礎動作能力：

• read / write — 讀寫檔案。
• exec — 執行系統 shell 指令（風險最高的能力）。
• web_search / browser — 上網搜尋、讀頁面、與網頁元素互動。

The TextbooksSkills（技能）= 任務指令集

Skills 是教代理「如何組合 Tools 來完成特定任務」的指令。OpenClaw 內建超過 50 個 Skills：

• gog skill — 教它操作 Google Workspace（Gmail、行事曆）。
• github skill — 教它讀取與管理倉庫。

Skills 的主要社群庫位於 clawhub.ai 與 GitHub 上的 VoltAgent/awesome-openclaw-skills。Skills 就是把 OpenClaw 接上 Gmail、GitHub、Notion、Stripe、智慧家庭 API 等萬物的「轉接頭」。

OpenClaw 需要 Node.js v22 或更新版本。可直接在主力機器（macOS / Windows / Linux）上執行，但多數人偏好部署在 VPS（如 DigitalOcean、Hostinger）或 Docker 容器中，以獲得更好的安全隔離。需要 24/7 不間斷運行的任務（晨間簡報、監控、排程報告）建議放 VPS，Mac mini 會離線，VPS 不會。

Step 1安裝 CLI

# 官方安裝腳本
curl -fsSL https://openclaw.ai/install.sh | bash

Step 2跑 Onboarding 精靈

openclaw onboard

精靈會帶你做幾個關鍵選擇：

• AI 供應商（你的「大腦」）：可接雲端供應商如 OpenAI、Anthropic，或在硬體夠力時跑本地模型如 Llama 3、Mistral。
• 聊天平台整合：OpenClaw 可連接 Telegram、WhatsApp、Discord、Slack 等通訊 App，不限於終端機使用。
• 使用者介面：可透過終端機介面（TUI）或網頁版 Control UI 儀表板管理設定。

OpenClaw 可透過聊天 App 存取，設定完成後可隨時用手機對代理下指令。以下說明接上 Telegram 的流程。

1. 在 Telegram 搜尋官方 @BotFather，傳送 /newbot 產生一組 API Token。（Slack / Discord 則到各自的開發者後台建立 app。）
2. 在 OpenClaw 終端機被詢問頻道設定時，貼上這組 Token。
3. 裝置配對（Device Pairing）：為防止未授權存取，OpenClaw 要求配對裝置。系統會提供一組配對碼，或需在 Control UI 核准 user ID，以建立受信任的連線。

將執行程式碼與讀取檔案的能力授予 AI 代理，本質上是高風險的設定。OpenClaw 的彈性來自最小化預設限制，但這也使代理有機會洩漏資料、執行非預期指令，或遭攻擊者挾持。本章列出最低安全設定，不是建議，是部署前的底線。

Threat 1Prompt Injection（提示注入）

這是 OpenClaw 生態中記錄最多的風險類型，且無法透過工程手段徹底消除。攻擊者把惡意指令藏在代理會讀到的內容裡，例如一封 email、一份共享文件、一個網頁，或一則 Reddit 貼文。語言模型可能將這些指令當成使用者下的合法命令執行。由於 OpenClaw 在正常運作下持續處理外來訊息、瀏覽網站、讀取檔案，它等於持續處理「不可信輸入」。

• Cisco 的 AI 安全研究團隊測試一個第三方 OpenClaw skill，發現它能在使用者毫不知情下完成資料外洩與提示注入。
• 有 VC（Array VC）的 OpenClaw 實例曾遭遇約 8,000 次攻擊嘗試。
• Archestra AI 的執行長只花 5 分鐘，僅透過 email 與代理對話，就成功從一個 OpenClaw 實例萃取出私鑰（SSH keys）。

Threat 2社群庫裡的惡意 Skills

根據 1Password 的調查，OpenClaw 技能市集 ClawHub 上下載量最高的一個 skill竟內含監控使用者的惡意程式，且並非單一個案。Snyk 也在 OpenClaw 與 skills.sh 市集發現可運作的提示注入攻擊。安裝任何第三方 skill 前，務必審視原始碼。

Threat 3暴露的憑證與失控的成本

設定不當會把 API keys、tokens 甚至整份設定檔暴露出去。一位開發者回報：OpenClaw 在他睡覺時「僅僅是反覆查時間」，就燒掉了價值 20 美元的 Anthropic API tokens。安全疏漏與帳單失控可能同時發生。

Hardening最低安全姿態檢查清單

設定完成後，OpenClaw 不需要寫程式就能自動化多步驟流程。以下兩個是社群回報中使用門檻低且實際效益明確的入門用法。

Killer App #1自動晨間簡報

直接在聊天 App 裡設一個 cron job。傳給你的 bot：

每天早上 7:00，查天氣、查我行事曆的當日會議，
然後彙整成一份晨間簡報傳給我。

此用法將「早上要開 5～6 個 App」濃縮成一則推送到慣用通訊軟體的訊息。設定約 30 分鐘，每天省 5～10 分鐘。進階做法：在 prompt 中加入「今天最重要的是什麼」，強迫 AI 排序而非只條列資訊。

Killer App #2郵件分流與摘要

設定 OpenClaw 每天掃描收件匣兩次，依緊急程度分類，再把「需要立刻處理」的項目做成簡短的 Slack / Telegram 摘要推送。社群回報中，email 自動化是使用率最高的類型，可清空積壓、管理收件流，每週省下數小時。

OpenClaw 可用於編排「代理群（Agent Swarm）」，讓它擔任協調層，負責喚醒並管理多個專精程式代理，透過 Telegram 下達高階指令即可協調一支分散式開發流程。

Layer 1編排層：OpenClaw 如何喚醒群體

當你（例如透過 Telegram）丟出一個功能需求時，OpenClaw 不會自己硬寫，而是用 exec 工具準備隔離環境並「喚醒」專精代理：建立一個新的 git worktree（隔離分支，避免新程式碼弄壞主專案）→ 開一個 detached tmux session → 在該 session 內啟動專精程式代理，把商業脈絡與具體 prompt 直接餵進去。

Layer 2在隔離中喚起 Codex 與 Claude Code

# 建立隔離 worktree
git worktree add ../feat-custom-templates -b feat/custom-templates origin/main
cd ../feat-custom-templates

# 在 detached tmux session 內開一個 Codex 代理
tmux new-session -d -s codex-agent-01 \
  'codex --model gpt-5.3-codex -c "model_reasoning_effort=high" \
   --dangerously-bypass-approvals-and-sandbox "Build custom email templates"'

# 複雜重構與深層架構邏輯交給 Claude Code
tmux new-session -d -s claude-agent-01 \
  'claude --model claude-opus-4.5 --dangerously-skip-permissions \
   -p "Refactor the authentication middleware"'

Layer 3低成本的確定性監控

讓 AI 模型互相輪詢狀態會快速燒爆 token。改用標準的確定性 shell 腳本：寫一個每 10 分鐘跑一次的 .clawdbot/check-agents.sh cron job，檢查 tmux session 是否存活、呼叫 gh cli 驗證 CI/CD 結果、並在節點卡住時自動重啟（上限 3 次）。

Layer 4嚴格的「完成定義」

高速運作時你無法逐行審查程式碼，群體需要自動化守門員。設定 OpenClaw 狀態檔，要求多重自動檢查全部通過後，PR 才會被標記為可合併：

{
  "status": "done",
  "pr": 341,
  "checks": {
    "prCreated": true,
    "ciPassed": true,
    "claudeReviewPassed": true,
    "uiScreenshotsIncluded": true
  }
}

在這套設定下，標準 CI 測試必須通過，且次級 AI 模型必須審查並核可 PR，OpenClaw 才會發通知告訴你「可以進行人工審查了」。社群中有人讓一個名為「Patch」的監督代理，透過 Telegram 協調 5～20 個並行的 Claude Code 實例，全程從手機下高階指令。

社群已累積 75+ 個可複製貼上的用例，散落在 Reddit、Discord、Hacker News 與各家電子報。以下按類型歸納，供參考。

官方文件說明安裝流程，但 Reddit、Hacker News 與長期使用者的部落格記錄了安裝後常見的問題與對策。以下整理社群反覆提及的幾條經驗。

Hack 01Markdown-first：拒絕被綁死

一位用了 50 天的重度使用者最關鍵的決定：一切都用純文字 / Markdown 存（例如 Obsidian），不碰 SQLite、向量庫、自訂 schema。任何人都讀得懂、任何程式都處理得了；等下一個比 OpenClaw 更好的東西出現，你的資料 5 秒就能搬走，零鎖定。

Hack 02模型路由，省 ~70% 成本

進階玩家依任務複雜度分流：簡單請求丟便宜模型、難題才叫貴模型。ClawRouter skill 能自動做這件事，社群回報可省下約 70% 成本。光是「換對模型」這一步，就有人把月費從 600 美元壓到 150～300 美元區間。

Hack 03需要 24/7 就上 VPS

晨間簡報、監控、排程報告這類「必須一直在」的任務，務必託管在 VPS。Mac mini 雖可跑，但會離線；VPS 不會。新手可從 Oracle Cloud 免費層或 DigitalOcean 起步。

Lesson 01它真的會在你睡覺時燒錢

Lesson 02把不可信內容當成攻擊面

提示注入可以藏在任何第三方能張貼內容的地方，例如烹飪網站、Reddit 討論串、一封信。建議：不要讓代理在無人監督下處理高風險的外來內容，並將存取權限縮到實際需要的最小集合。有研究在 Reddit 類社群中辨識出 506 次針對 AI 讀者的提示注入攻擊。

Lesson 03第五週你會撞牆

同一位 50 天使用者記錄了典型進程：第一週是上手期，第三週開始建自動化，第五週撞牆。所有東西都擠在同一個對話裡，研究混著書籤、分析混著日常任務。建議提早規劃分流與分檔策略，避免使用習慣固化後再整理。

OpenClaw 的帳單失控，幾乎都源自「不懂 token 計費機制」與「預設設定下的隱形消耗」。先理解規模，再動手優化。

3 個 5 分鐘速效立刻能做的事

1. 換模型：把預設的旗艦模型換成性價比款，日常任務不需要最貴的腦。
2. 開快取：透過支援 prompt caching 的管道，重複的上下文不必每次全額計費。
3. 設節流與排程：限制輪詢頻率與背景任務，避免「查個時間就燒 20 鎂」這種事。

進階用 Failover 鏈做自動路由

核心思想是「對的任務用對的模型」：簡單任務走便宜模型、複雜任務才喚起強模型，由 OpenClaw 自動選擇。最直接的做法是設定一條 failover chain，或直接套用 ClawRouter 這類 skill。

代理的輸出品質很大程度取決於 prompt 結構。結構不清的 prompt 會讓代理漫無目的地燒 token，結構良好的 prompt 則能讓代理成為可靠的排程助理。以下提供一個可直接套用的晨間簡報 prompt 範本及其預期輸出。

設計原則好的代理 Prompt 有四個骨架

• 角色與時機：明確說明它是誰、何時觸發（cron）。
• 資料來源：列出要查哪些工具／skill，避免它自己亂猜。
• 輸出格式：規定段落、長度、排序邏輯（強迫排序而非條列）。
• 邊界條件：不確定時怎麼辦、什麼不要做、成本上限。

範本可複製貼上的 Prompt

角色：你是我的個人晨間幕僚。
觸發：每天 07:00（Asia/Taipei）自動執行，結果傳到 Telegram。

請依序完成：
1. 用 gog skill 讀今天的行事曆，列出所有會議（時間 + 對象 + 主題）。
2. 用 web_search 查台北今日天氣與降雨機率。
3. 用 gog skill 掃描收件匣，只挑出「需要我今天回覆」的信，最多 5 封。
4. 從以上資訊，產出一段「今天最重要的一件事」並說明理由。

輸出格式：
- 繁體中文，總長不超過 200 字。
- 用四個小標：☀ 天氣 / 📅 行程 / 📨 待回信件 / 🎯 今日重點。
- 行程依時間排序；信件依緊急度排序。

邊界：
- 任何一項查不到就標註「（無資料）」，不要編造。
- 不要替我回信或刪信，只做摘要。
- 本任務單次 token 預算上限約 8,000，超出就精簡輸出。

輸出代理應產生的樣子

OpenClaw 和 ChatGPT、Claude 這種聊天機器人差在哪？

聊天機器人是被動的「建議者」，給出答案後由使用者手動執行。OpenClaw 是主動的「執行者」，能寄信、跑 shell 指令、開 PR、控制燈光、在背景執行 cron。差別在於代理是否直接執行動作。

免費嗎？需要付什麼錢？

軟體本身是 MIT 授權、免費開源。主要成本來自底層模型的 API 費用（除非跑本地模型）與 VPS 租金。未優化下每月常見 300～600 美元，請參閱成本章節做模型路由。

新手該從哪裡開始？

最短路徑：VPS + Telegram + 一個便宜模型 + 一個用例（晨間簡報）。先把這條跑順，再擴張。切記「深度勝過廣度」。

它安全嗎？我該擔心什麼？

預設設定下風險很高：沒有沙箱、提示注入無法根除、社群 skill 可能含惡意程式。請至少做到綁定 loopback、DM 設 pairing、exec 開核准、用 VM／容器隔離，並只給最小權限。詳見第 6 章。

本地模型可以嗎？

可以，若硬體夠力（如 Llama 3、Mistral）。好處是資料不出本機、無 API 費；代價是效能與「抗提示注入能力」通常不如最新一代旗艦雲端模型。

• 官方倉庫：github.com/openclaw/openclaw　·　官網 openclaw.ai
• Skills 市集：clawhub.ai　·　VoltAgent/awesome-openclaw-skills
• 用例集：hesamsheikh/awesome-openclaw-usecases（社群維護的用例大全）
• 安全強化：搜尋各家的 SECURITY_HARDENING 指南、MAESTRO 威脅模型分析、Auth0 / Intruder 的安全文章
• 社群：Reddit r/openclaw、官方 Discord、Hacker News 討論串