OpenClaw Machines: 企业级安全 AI Agent 基础设施

OpenClaw Machines: 企业级安全 AI Agent 基础设施

OpenClaw Machines 提供了一种安全、自托管的基础设施,用于大规模部署 OpenClaw AI agent。通过利用 Firecracker microVMs,该平台确保每个 agent 都在其独立的硬件隔离沙箱中运行,使企业能够在避免与托管式按实例计费服务相关的线性成本的同时,保持对数据、密钥和计算硬件的完全主权。

硬件隔离的 Agent 沙箱

OpenClaw Machines 用硬件级边界取代了进程级或基于容器的隔离。每个 AI agent 都部署在 Firecracker microVMs 中,它利用其自身的 guest kernel 和 KVM 硬件边界,将不受信任或由 agent 生成的代码与宿主机系统隔离。

为了确保安全访问,该平台实施了双层身份验证策略:

  • Edge Authentication: Cloudflare 数据平面作为入口,为每台机器提供位于边缘身份验证之后的唯一子域名。
  • In-VM Authentication: 流量通过 Cloudflare Tunnel 路由,该 Tunnel 直接在 microVM 内部终止,这意味着不会为用户到 VM 的流量暴露任何宿主机端口。

系统架构与组件

该平台组织成一个五层堆栈,由 React UI、Cloudflare edge、Go 控制平面、宿主机 agent 和 Firecracker sandboxes 组成。

控制平面 (The Control Plane)

控制平面使用 Go 编写并由 Postgres 支持,负责管理操作的“大脑”,包括:

  • Account and Team Management: 内置支持多用户账户和团队结构。
  • Orchestration: 处理机器生命周期、放置策略和宿主机注册。
  • Durable Workflows: 通过 DBOS 实现备份、快照和持久化工作流。

宿主机 Agent 与 LLM Proxy

每个注册的 Linux 宿主机运行一个 ocm-agent,负责监督 Firecracker microVMs 的启动和回收。此外,每个宿主机配备一个 LLM proxy(由 LiteLLM 提供支持),集中管理模型密钥并支持“自带密钥”(BYOK),允许将 agent 路由到第三方 API 或宿主机自身 GPU 上运行的本地模型,从而降低 token 成本。

运行时与浏览器集成

每台机器都包含一个 OpenClaw runtime,具有 web-chat gateway 和 live terminal 功能。对于 Web 自动化,平台部署了运行 headful Chromium 的独立 Browser VMs;这些 VM 由 agent 通过 Chrome DevTools Protocol (CDP) 驱动,并提供可观看的实时视图。

工作区集成与 MCP

OpenClaw Machines 通过原生的 Model Context Protocol (MCP) 门面简化了工具集成。外部工具——包括 GitHub、Google Workspace、OpenAPI 和 GraphQL——只需在每个工作区配置一次。控制平面随后通过 ocm.search_toolsocm.call_tool 将这些工具暴露给 agent,从而消除了为每个单独的 agent 进行逐个集成的需求。

部署与成本比较

OpenClaw Machines 被定位为本地、VPS 或托管部署的高效率替代方案。虽然像 KiloClaw 这样的托管服务提供了最低的设置成本,但它们通常按实例计费。OpenClaw Machines 允许用户租用单台裸金属服务器并以固定的服务器成本运行硬件隔离的 agent 数量,只要硬件能够支持。

| Feature | Local Hardware | VPS | Managed (KiloClaw) | OpenClaw Machines | | :--- | :--- | :--- | :--- | :--- | | | Isolation | 进程级 | 共享内核 | 按实例 | 硬件级 (Firecracker) | | Multi-user/Teams | 无 | 手动 | 视情况而定 | 内置 | | Cost Model | 自有硬件 | 按 VPS 计费 | 按实例计费 | 按服务器计费 (固定) | | Data Sovereignty | 完全 | 部分 | 无 | 完全 |

社区观点与批判性反馈

虽然技术架构解决了隔离和扩展问题,但 Hacker News 上的社区讨论突出了对 agentic 系统在企业环境中可靠性的显著怀疑。

可靠性与质量问题

一些用户报告称,AI agent 经常产生“混乱不堪的代码” (tangled messes),需要大量人工干预才能修复,导致一些团队完全放弃了该技术。

"Any tasks they assigned to the Claw systems would turn into tangled messes often requiring significant time investment to understand, and mostly ending in the team scraping the code changes over quality concerns."

安全与信任

批评者认为,沙箱化仅解决了基础设施风险,而不是一个不可靠的 agent 在代表用户执行错误操作或泄露敏感数据方面的运营风险。

"The danger with OpenClaw IMO is not so much that your local machine gets hacked... the danger is giving sensitive data to something horribly unreliable that can leak it or take actions on your behalf that are very dumb."

代码库稳定性

一些开发者指出,原始 OpenClaw 仓库中存在大量未解决的 bug,这表明代码库可能对于业务关键型应用而言过于不稳定。

Sources