OpenClaw和NemoClaw的技术分析报告

1OpenClaw 项目详细介绍

1.1 发展历程

1.2 技术架构

OpenClaw是一个TypeScript monorepo，由pnpm管理，包含core、gateway、agent、cli、sdk、ui等核心包和21个通道扩展^[5]（WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、iMessage等25+平台）。整个运行时是一个单进程Node.js Gateway——所有通道适配器、会话管理、工具执行、记忆系统都在同一个进程内共享内存运行，没有操作系统级别的隔离。

1.3 语言构成

OpenClaw是100% TypeScript项目。Gateway进程通过tsx直接运行TypeScript源码，构建后产出dist/目录供Node.js运行。没有任何Rust、Go或C组件参与核心运行时。所有安全边界（如Skill执行沙箱）依赖Docker容器，但该功能默认关闭。

1.4 已知安全问题

OpenClaw的安全记录是引发NemoClaw诞生的直接原因。主要安全事件包括：

• CVE-2026-25253（CVSS 8.8）^[2]：一键远程代码执行漏洞，即使是绑定localhost的实例也可利用。已在v2026.1.29修复，但发现时有17,500个暴露实例存在该漏洞。
• ClawHavoc供应链攻击^[3]：ClawHub Skill注册表中发现800+恶意Skill（占总注册表约20%），其中335个来自名为”ClawHavoc”的协同攻击活动，主要投递Atomic macOS Stealer（AMOS）。
• 135,000+公网暴露实例^[4]：SecurityScorecard STRIKE团队发现跨82国的暴露实例，93.4%存在认证绕过条件。默认配置下认证关闭、WebSocket接受无来源验证连接。
• 6个额外CVE^[6]：命令注入、SSRF、认证绕过、路径穿越等，每个都提供不同的攻击入口。

Cisco^[7]、Microsoft^[8]、CrowdStrike^[9]、Kaspersky^[10]、Bitsight^[4]等安全巨头均发布了专题分析报告，将OpenClaw列为”AI Agent安全噩梦”的典型案例。

2NemoClaw 项目详细介绍

2.1 发展历程与定位

NemoClaw是NVIDIA于GTC 2026大会（2026年3月16日）发布的开源项目^[11]，定位为OpenClaw的”企业级安全分发版”。独立分析师的精确类比^[12]：”如果OpenClaw是Linux内核，那NemoClaw就是Red Hat Enterprise Linux——内核不变，但包裹在企业级安全、审计和管控能力中。”

NemoClaw的核心价值主张是：通过NVIDIA OpenShell安全运行时^[13]，将OpenClaw Agent隔离在内核级沙箱（Landlock + seccomp + 网络命名空间）中运行，实现进程外策略执行——即使Agent被攻陷，安全策略也不可被绕过。

2.2 七层技术架构

2.3 语言构成

2.4 关键指标

3Issue 采样与分类分析

3.1 NemoClaw Issue采样（首页12条 · 2026.05.05快照）

3.2 OpenClaw Issue采样（首页12条 · 2026.04.30快照）

3.3 Issue三论分类对比统计

3.4 NemoClaw Issue分类统计（243个Open Issues全量估算）

4语言选型分析：结构性缺陷的基因密码

4.1 同类工具语言对比

在所有同类安全/容器/沙箱基础设施工具中，OpenClaw和NemoClaw是唯一使用脚本语言作为主语言的项目。

4.2 NemoClaw的控制力断崖

NemoClaw CLI与OpenShell二进制之间隔着一道由进程边界、权限边界、语言边界构成的鸿沟。它对OpenShell的所有”控制”本质上是字符串拼接命令行：

5信息论维度分析（Shannon）

5.1 NemoClaw：信道容量 vs 信源熵率

Shannon的信道编码定理（Channel Coding Theorem）指出：当信道容量C低于信源熵率H时，可靠通信不可能实现。NemoClaw的exec()调用信道容量约为1 bit（成功/失败），而sandbox生命周期的状态熵率超过5 bits。C < H → 错误诊断必然不准确。

5.2 NemoClaw：七层信号衰减

NemoClaw的用户意图通过7层传递到最终执行层，每层引入序列化/反序列化噪声。”sandbox not found”这一个错误字符串可能对应至少五种完全不同的底层故障：gRPC元数据未传播、k3s Pod未就绪、containerd镜像拉取失败、Docker网络不可达、或OpenShell注册表不一致。信息被压缩到无法诊断的程度。

5.3 NemoClaw：命名空间熵坍缩

NemoClaw CLI的参数空间和sandbox名称空间共享同一个符号域（命令行第一个参数）。用户将sandbox命名为”status”时，nemoclaw status connect被解析为全局命令而非sandbox操作。任何学过编译原理的人都知道，词法分析的第一步是让不同语义类别占据不重叠的token空间。NemoClaw甚至没做这一步。

5.4 NemoClaw：环境变量编码冲突

社区用户发现NemoClaw中同一语义（sandbox名称）在不同组件中使用三种不同的环境变量名和默认值^[21]：Telegram bridge读SANDBOX_NAME（默认”default”）、start脚本读NEMOCLAW_SANDBOX（默认”nemoclaw”）、OpenShell读内部注册表。同一信源的三种编码在传输中产生不可调和的冲突。

5.5 OpenClaw：信息论缺陷分析

OpenClaw的信息论问题与NemoClaw不同——不是跨层信号衰减，而是单进程内部的信息混乱。具体表现为三类：

• 分布式跟踪标识丢失（#75174）：OpenTelemetry诊断span未共享traceId，导致Cloud Logging中出现孤儿根链路。traceId是Shannon意义上的信道标识符——它的丢失意味着跨模块请求的因果关系完全断裂，运维人员无法关联同一用户请求的完整生命周期。
• 模型标识编码不一致（#75163）：TUI中途切换模型时传递原始别名（”claude”）而非解析后的全限定ID（”anthropic/claude-opus-4-6″）。同一实体在系统不同层级使用不同编码，缺乏统一信源编码标准——这与NemoClaw的环境变量命名冲突是同构问题。
• 会话状态映射错误（#75151）：Context overflow重置后，sessionFile被映射到不存在的transcript文件，导致真实会话历史被孤立。这是信息论中”指针悬空”的应用层表达——状态引用和状态实体之间的映射关系在异常路径中断裂。

6控制论维度分析（Wiener）

6.1 NemoClaw：控制论指标评估

6.2 NemoClaw：开环控制的必然后果

NemoClaw的onboard流程是7个步骤的串行管线，每步执行完就认为成功，不等被控系统确认。Step 3/7报告”Sandbox created”后毫秒级间隔内Step 7/7就开始应用策略——但gRPC元数据传播可能需要100-500ms。这等价于一个没有温度传感器的恒温器，或一个发射后不跟踪的导弹制导系统。

6.3 NemoClaw：违反Ashby必要多样性定律

Ashby的必要多样性定律（Law of Requisite Variety）要求：控制器的状态空间必须大于或等于被控系统的状态空间。NemoClaw的TypeScript CLI运行在Node.js用户态，GC暂停不可预测、事件循环单线程、无法直接操控kernel namespace。它的”控制多样性”远低于Landlock+seccomp+netns目标的状态空间。NemoClaw不是”控制器”——它是”遥控器”。

6.4 NemoClaw：观测器碎片化

观测NemoClaw系统状态需要四个不同命令在四个不同抽象层运行：nemoclaw status（CLI层）、openshell sandbox list（沙箱层）、kubectl get pods -A（k3s层）、docker logs（容器层）。没有统一的观测面板，TypeScript层甚至无法直接查询k3s内部状态。

6.5 NemoClaw：升级的不可逆性

NemoClaw的升级脚本无条件调用openshell gateway destroy然后重建。社区用户在WSL2上花费数小时手动修复的环境（手动导入镜像、创建TLS证书）被升级操作全部摧毁。控制论要求状态变更操作必须有逆操作或前置条件检查——NemoClaw两者都没有。

6.6 OpenClaw：控制论缺陷分析

OpenClaw的控制论问题不是”控制不了底层系统”（它没有底层系统要控制），而是缺乏对自身运行状态的闭环管理。具体表现为：

• 升级无接口契约保护（#75171）：升级后createReplyPrefixContext函数消失导致TypeError崩溃。TypeScript的动态导入不会在编译期校验第三方包的函数签名变更——这是开环升级的必然后果。Go/Rust的编译期接口检查可以在构建阶段拦截此类错误。
• 通道无控制接口（#75153）：社区请求暴露channels.start/stop/restart CLI命令，因为当前一个卡死的通道（wedged channel）只能通过重启整个容器或重新配对来恢复——没有细粒度的控制手段。
• Conversation history无限堆叠：OpenClaw持续叠加所有对话历史到上下文窗口中，没有自适应的压缩或截断反馈机制。这导致高频用户必然触发API的TPM（Tokens Per Minute）速率限制或产生高额账单——系统不会根据Token消耗率自我调节，是典型的无负反馈发散系统。

7系统论维度分析（Bertalanffy）

7.1 NemoClaw：涌现性失效

NemoClaw在WSL2环境的四层虚拟化嵌套^[14]（Windows → WSL2 VM → Docker → k3s → containerd）产生了典型的涌现性故障：最外层Docker可以拉取镜像，但最内层containerd不行——DNS解析和路由在第四层虚拟化中断裂。每个组件的设计者都没有测试过这种嵌套深度，故障行为无法从单一组件的文档中预测。

7.2 NemoClaw：k3s层的不必要性

系统论的分层必要性原则要求：每一层的存在必须解决上一层无法解决的问题。NemoClaw在Docker容器内运行完整k3s集群（含etcd、kube-scheduler、kube-proxy、coredns、metrics-server），但只调度一个sandbox Pod。Kubernetes的设计目标是编排数百个Pod——用它调度单个Pod就像用航空母舰运一条鱼。一个docker run --security-opt seccomp --cap-drop ALL命令就能实现的隔离被架成了7层塔。

7.3 NemoClaw：零自愈能力（无稳态）

健康系统应具备稳态（Homeostasis）——受扰后自动回归正常。NemoClaw完全没有这个能力：sandbox创建失败不自动重试；升级破坏配置不自动回滚；gateway死亡后残留Docker volume阻塞下次创建且无清理机制。每次故障都需要人工穿越四层状态清理。TypeScript/Shell缺乏构建自愈循环的原语——没有Erlang式supervisor tree、没有Kubernetes式readiness probe（讽刺的是NemoClaw自己用的就是k3s）、没有circuit breaker。

7.4 NemoClaw：安全子系统与功能子系统的边界矛盾

NemoClaw的Sandbox网络命名空间要求”所有出站流量必须经过代理”，但Node.js的ws库（Slack/Discord的WebSocket SDK依赖）不读取HTTPS_PROXY环境变量。REST调用走代理成功，WebSocket直连被阻断。NemoClaw的安全设计和功能需求的边界假设互斥——这是系统论中”边界渗透性矛盾”的教科书案例。

7.5 OpenClaw：系统论缺陷分析

OpenClaw的系统论问题与NemoClaw截然不同——不是”层级过多导致涌现失效”，而是“零层级导致隔离缺失”。整个运行时是单进程Node.js Gateway，所有组件在共享内存中运行，系统论的边界概念完全不存在。具体表现为：

• 错误处理器自身崩溃导致级联故障（#75168）：Gateway在处理通道错误时崩溃，原因是错误处理路径中log变量未初始化。保护机制本身存在未初始化依赖——系统论中”安全阀失效导致全系统停机”的典型案例。在单进程架构中，一个通道的错误处理崩溃会导致所有25+通道同时停止服务。
• TUI忙循环消耗99% CPU（#75137）：Node.js单线程事件循环模型下，TUI进程在空闲时不是挂起等待而是持续轮询——这是脚本语言做长驻系统进程的固有反模式。Go/Rust的异步运行时可以在事件到来前真正休眠，CPU开销趋近于零。
• 媒体Provider跨通道泄漏（#75166）：图片/视频Provider的工具输出泄漏到Discord群组通道中，用户可见不该出现的内部数据。这是系统论”边界泄漏”问题——单进程共享内存架构中，一个子系统的输出可以无意间污染另一个子系统的数据路径，因为没有进程级别的隔离屏障。
• 430,000行单进程的不可审计性：整个代码库在一个Node.js进程中运行，FrankClaw作者的安全审计发现了7个严重漏洞^[17]，但他同时指出”超过一百万行TypeScript，分布在29个包中”使得完整审计在人力上不可行。系统论要求大型系统必须可分解（decomposable），OpenClaw的单进程单内存架构违反了这一原则。

8三论融合诊断与乘性灾难定理

8.1 Issue归因统计

8.2 因果对齐验证

8.3 乘性灾难定理

9史诗级Bug速率横向排名

OpenClaw 5个月做到了Kubernetes 11年的1.5倍Issue总量（78,205 vs ~53,000）。OpenClaw的Issue生成速度是Kubernetes的43倍，是React的104倍。NemoClaw归一化后的Bug密度（每万Star的Open Issue数）高达120.9——是Kubernetes（14.7）的8.2倍，是React（4.7）的25.7倍。

10社区反应与全网认知差距

10.1 六个独立重写项目

OpenClaw发布后8周内，社区涌现了至少6个独立重写项目^[15]，总计吸引约11.6万Stars：

10.2 全网认知深度梯度

11结论与范式启示

11.1 诊断结论

OpenClaw和NemoClaw的低成熟度是语言选型 × 架构设计 × 时间压力三重叠加的结构性必然结果。TypeScript+Shell作为主语言是前三个根因的乘数因子。如果用Go/Rust重写核心编排层：信息论上可用gRPC双向流替代exec()调用（信道容量×10）；控制论上可内嵌readiness probe和health check（闭环控制）；系统论上可构建supervisor tree实现自愈（稳态恢复）。

11.2 不可逆性判断

当修复所需的变更范围（重写语言 + 重构架构）等于或超过系统本身的规模时，”修复”失去意义。NemoClaw作为代码库已结构性死亡。OpenClaw的TypeScript内核在走向同一终局——表现为慢性腐烂。两者的Bug增长速率均已超越人工修复速率上限^[20]，构成热力学意义上的不可逆过程。

11.3 范式启示：从”开源代码”到”开源架构”

与上述两个项目形成对比的是LiteClaw项目^[19]提出的”Open Architecture”范式——开源Markdown格式的架构蓝图和SOP流程图，让AI在用户本地从零生成代码。L0-L8八层严格单向依赖、零循环依赖的架构在控制论上是纯前馈系统，在系统论上具备最小耦合度。5,000行/42文件的体量可被完整审计。零Issue的记录证明：当架构设计先于代码实现时，Bug在设计阶段就被消灭，而不是在运行时堆积成山。