Clawdbot：自托管个人AI助手的崛起之路

最近 AI Agent 圈子里最火的项目之一就是 Clawdbot（小爪机器人，吉祥物是一只太空龙虾 🦞），由知名开发者 Peter Steinberger（@steipete，前 PSPDFKit 创始人）个人搞出来的开源项目。

从 2025 年 11 月 24 日第一个 commit，到现在 2026 年 1 月 27 日，GitHub 已经冲到 51k stars、6.1k forks，开发非常活跃（最近一周几乎每天都有 commit）。它为什么这么火？简单一句话：它让大模型真正”干活”了，而不是只聊天。

今天我们来完整拆解这个项目，帮大家快速了解 Clawdbot 的来龙去脉、核心架构、为什么爆火，以及随之而来的”甜蜜的烦恼”。

它到底解决了什么问题？

现在的 AI 助手大概分两类：

• 云端聊天型（ChatGPT、Gemini、Claude 网页版）：推理很强，但没法持久记忆，也很难真正操作你的电脑和账号
• 手机/电脑原生助手（Siri、小爱、Google Assistant）：能做点事，但模型弱、生态封闭、隐私堪忧

Clawdbot 把两者优点合起来了：用最强的前沿模型（推荐 Claude Opus 4.5、GPT 系列、Ollama 本地模型），给你完整工具链，能操作你的真实电脑和账号，而且全部自托管、本地优先，数据不离设备。

最杀手级的体验是：你直接在 Telegram、WhatsApp、Discord、Slack、Signal、iMessage 等你本来就在用的聊天软件里跟它对话。不用额外打开新 App。

核心架构一目了然

Clawdbot 采用非常清晰的模块化设计：

Gateway（网关）

唯一控制中枢，默认绑定本地回环 ws://127.0.0.1:18789，负责：

• 所有客户端的 WebSocket 连接
• 各种聊天渠道的接入
• 工具调用分发
• 会话管理、记忆、定时任务、Webhook
• Canvas 可视化工作区（http://...:18793/__clawdbot__/canvas/）

Node（节点）

平台专属运行时，负责需要本地权限的操作，比如 macOS 的屏幕录制、摄像头、通知、shell 命令等。

Channels（渠道）

输入输出的桥梁，目前支持 50+ 平台，包括 WhatsApp（扫码登录)、Telegram（Bot Token）、Discord、Slack、Signal、iMessage（仅 macOS）、Matrix、Zalo 等。

Tools & Skills（工具与技能）

真正干活的部分：

• 内置：浏览器自动化（专用 Chrome CDP）、Canvas 视觉工作区、系统操作、定时任务等
• 可扩展：通过 ClawdHub（社区技能中心）安装别人写的技能，还支持 AI 自己生成技能并热加载
• 安全隔离：主会话（你自己）有完整主机权限；群聊/陌生人会话强制走 Docker sandbox（严格的白名单/黑名单）

模型支持

Anthropic（强烈推荐 Opus 4.5）、OpenAI、本地 Ollama 等，支持路由、故障转移。

工作流程

整个流程超级优雅：

你 → 在ChatBox发消息 → Channel → Gateway → AI 思考 + 工具调用 → 执行（主机或沙箱） → 回复到你ChatBox

快速上手

# 需要 Node.js ≥ 22
npm install -g clawdbot@latest

# 启动向导，安装成系统服务
clawdbot onboard --install-daemon

向导会一步步带你：

1. 配置模型 API Key
2. 登录聊天渠道（扫码或输入 Token）
3. 授予 macOS 必要权限（屏幕录制等）
4. 创建第一个工作空间

几分钟后，你就可以在任意绑定的聊天软件里 @ 它了。

为什么这么快就火了？又为什么会出问题？

火的原因

• 一行命令安装 + 真能干活（清邮箱、航班值机、浏览器操作、日历管理）
• “未来 Siri” 的感觉：主动、语音唤醒、多渠道、实时画布
• Peter 本人影响力 + 公开用 Claude 快速开发的开发日志
• 社区爆发：Discord 几千人、ClawdHub 技能市场、各种教程

经典开源困境

但火得太快也带来了问题：

• 非技术用户：看到推文/视频觉得很酷 → 冲动安装 → 遇到配置复杂、bug、权限问题 → 各种吐槽
• 安全研究者：看到 50k+ star 的热门项目 → 扫描漏洞 → 发现有人误配 Tailscale/端口转发暴露 Gateway → 报告并要 bug bounty
• 期望错位：很多人把它当成熟商业产品用，却忽略这是个不到 3 个月的 beta 项目，主要由 Peter 一人维护（加社区 PR），赞助勉强够买个 Mac Mini

Peter 最近发推吐槽：免费兴趣项目被当成大厂产品伺候，收到一堆企业级需求和安全报告。私信和邮件压力很大。

社区反应很暖：公开回复几乎全是鼓励”继续搞”“屏蔽噪音”“有人愿意赞助硬件”。

官方安全提醒

来自文档和最近的 commit：

• Gateway 默认只绑本地回环，严禁直接公网绑定
• 远程访问用 Tailscale + 密码认证
• 陌生人 DM 默认”配对模式”，需要手动批准
• 非主会话强制 Docker sandbox
• 运行 clawdbot doctor 检查风险配置

给 2026 年开源 AI 项目的几点启示

1. 病毒式增长是双刃剑：带来海量用户，也带来海量支持压力
2. 能力越强，风险越大：全系统权限很爽，但一旦配置出错后果严重
3. 文档警告再醒目，很多人还是会忽略（尤其是 demo 太炫）
4. 单人维护者 burnout 风险极高：社区贡献、安全审计、明确标注”beta、非技术用户慎装”能缓解，但治标不治本

想玩的同学（建议有技术背景）

• 仓库：https://github.com/clawdbot/clawdbot
• 文档：https://docs.clawd.bot
• Discord 社区：https://discord.gg/clawd（非常活跃）

推荐在干净机器上先试，优先用 Anthropic Opus 4.5。先读安全页。遇到问题请友好提 issue 或 PR。

这只龙虾还年轻，但已经让很多人重新思考”个人 AI 助手应该长什么样”。

你会愿意跑一个有完整主机权限的本地 Agent 吗？还是更倾向严格沙箱？欢迎留言交流～ 🦞