说实话,现在的AI圈子里,"病毒式传播"这个词都快被用烂了。
但这一次,事情有点不一样。
过去几周,奥地利开发者Peter Steinberger的开源AI助手OpenClaw火得一塌糊涂。企业疯抢,独立开发者狂热,原因很简单:这玩意儿太强了。
你只需要一句自然语言指令,它就能在你的电脑、手机,甚至整个业务系统里召唤出一群AI代理,自主干活。
自2025年11月发布以来,它横扫市场,搞定了50多个模块和广泛集成。
但在这场狂欢背后,很多开发者和安全团队却吓出了一身冷汗。
因为OpenClaw太自由了,它的"无许可"架构,就像把一把上了膛的枪交给了AI。
就在大家纠结要不要用的时候,一个叫NanoClaw的项目横空出世。
1月31日,它带着MIT开源协议上线,短短一周就在GitHub上斩获了7000多星。
它的卖点很粗暴:更轻、更安全,而且,它只有500行代码。
一个"叛逆者"的反击
NanoClaw的幕后推手是Gavriel Cohen。
这哥们是个老手,在网站建站巨头Wix干了七年工程师。他和兄弟Lazer不仅是Qwibit这家AI原生营销机构的联合创始人,还在Concrete Media这家公关公司分别担任VP和CEO。
Gavriel Cohen, creator of NanoClaw, VP of Concrete Media and co-founder of Qwibit. Credit: Concrete Media
他做NanoClaw的初衷很简单:解决那些复杂、非沙盒化代理框架带来的"安全噩梦"。
说实话,我看他的技术方案时,觉得这简直是在给AI戴"手铐"。
NanoClaw做了一个硬核的转向:操作系统级隔离。
它把每一个AI代理都扔进了独立的Linux容器里。在macOS上用的是Apple Containers,Linux环境就用Docker。
这就创造了一个严格的"沙盒"环境。AI老老实实待在用户明确挂载的目录里,哪儿也去不了。
市面上其他框架都在搞什么内部"安全护栏"或者应用级白名单,想靠软件层面的限制来阻挡某些命令。
但Gavriel觉得这玩意儿本质上就很脆弱。
"我不会在我的机器上运行那个东西,然后让一个代理到处乱跑," Cohen在最近的一次技术采访里说得很直接,"如果你直接在宿主机上运行,总会有办法溜出去的。在NanoClaw里,潜在的提示注入攻击的'爆炸半径'被严格限制在容器及其特定的通信通道内。"
40万行 vs 500行
这可能是整个故事里最戏剧性的对比。
当Cohen第一次去评估OpenClaw(那时候还叫Clawbot)时,他差点被吓跑。
代码库接近40万行,还有几百个依赖关系。
在AI这种快节奏的赛道里,这种复杂度不仅是工程障碍,简直就是一颗定时炸弹。
"作为开发者,我们在代码库里每加一个开源依赖,都要去审查。看它有多少星,维护者是谁,流程是不是正规," Cohen说,"当你有一个50万行代码的代码库时,根本没人去审查那玩意儿。这打破了人们对开源的信任基础。"
NanoClaw的做法很极端:把核心逻辑砍到了大约500行TypeScript。
这种极简主义意味着什么?意味着整个系统——从状态管理到代理调用——人类或者另一个AI大概8分钟就能审计完。
它没有那些花里胡哨的分布式消息代理,而是用了一个单进程Node.js协调器,配合SQLite做轻量级持久化,还有基于文件系统的IPC。
这设计是有意为之:用最简单的原语,保证系统透明、可复现。
有意思的是,这种隔离不仅仅是为了文件系统。
NanoClaw原生支持通过Anthropic Agent SDK实现"代理群"。在这个模式下,每个子代理都有自己的特定内存上下文,防止敏感数据在不同的聊天群组或业务功能之间乱窜。
不做瑞士军刀,要做定制匕首
NanoClaw最激进的改变,可能是它拒绝了传统的"功能丰富"软件模型。
Cohen把它定义为"AI原生"软件——这东西主要是靠AI交互来管理和扩展的,而不是靠人去手动配置配置文件。
这项目甚至明确劝退 contributors:别往主分支提交那些加Slack或者Discord支持的功能。
相反,他们鼓励大家贡献"技能"(Skills)。
这些是存放在.claude/skills/里的模块化指令,用来教你的本地AI助手怎么改代码。
"如果你想要Telegram,就把WhatsApp剔除,换成Telegram," Cohen说,"每个人都应该只拥有运行他的代理所需要的代码。这不是瑞士军刀,这是一个你可以通过和Claude Code对话来定制的安全挽具。"
这种"技能胜过功能"的模式,意味着你可以跑个命令比如/add-telegram或者/add-gmail,AI就会自动重写你的本地安装来集成新功能,同时保持代码库精简。
换句话说,如果你只需要一个WhatsApp助手,你就没必要被迫继承另外50个没用模块的安全漏洞。
这点我个人很认同,现在的软件确实太臃肿了。
兄弟俩的"Andy"实验
这可不是什么纯理论实验。
Cohen兄弟俩的新公司Qwibit,就在用NanoClaw跑内部运营。他们给这个实例起了个名字叫"Andy"。
"Andy帮我们管理销售漏斗。我根本不直接碰那个销售漏斗," Cohen解释道。
这个代理每天早上9点(周日到周五)会发一份简报,详细说明线索状态,并给团队分配任务。
它的实用性在于数据的无摩擦捕获。
白天,Lazer和Gavriel随手把乱七八糟的WhatsApp笔记或者邮件线程转发到他们的管理群里。
Concrete Media CEO Lazer Cohen, co-founder of Qwibit. Credit: Concrete Media
Andy负责解析这些输入,更新Obsidian知识库或者SQLite数据库里的相关文件,并设置自动跟进提醒。
因为代理能访问代码库,它还能处理一些周期性的技术活儿,比如检查git历史记录里的"文档漂移",或者重构自己的函数,让以后的代理用起来更顺手。
谁才是真正的赢家?
时间来到2026年初,技术决策者面临着经典的两难:要便利还是要控制。
对于专注于快速部署的AI工程师来说,NanoClaw提供了一个蓝图,Cohen称之为给"最好的模型"配上的"最好的挽具"。
它基于Claude Agent SDK构建,让那些精干的工程团队能真正维护和优化系统,还能用上像Opus 4.6这种最先进的模型。
从编排工程师的角度看,简单就是NanoClaw最大的资产。
那些臃肿的传统框架,靠复杂的微服务和消息队列,只会烧干你的预算。
NanoClaw这种"容器优先"的思路,让你在引入资源限制和技术债务的情况下,也能实现高级AI技术——比如自主代理群。
最关键的是,对于安全老大们来说,NanoClaw解决了事件响应和组织保护这"双重责任"。
在提示注入和数据窃取手段日新月异的环境里,一个500行、可审计的核心,绝对比那些试图支持所有用例的通用系统要安全得多。
"我建议你把仓库链接发给你的安全团队,让他们审计一下," Cohen建议道,"他们一个下午就能看完——不光是读代码,还能在白板上画出整个系统,标出攻击向量,验证它是安全的。"
说到底,NanoClaw代表了AI开发者心态的一种转变。
它提出了一个观点:随着AI变得越来越强大,承载它的软件应该变得越来越简单。
在这场企业自动化的竞赛里,赢家可能不是那些功能最多的人,而是那些基础最透明、最安全的人。
如果你的安全团队一个下午就能看懂你的AI系统,你会睡得更安稳吗?
参考链接:
https://venturebeat.com/orchestration/nanoclaw-solves-one-of-openclaws-biggest-security-issues-and-its-already