基于 OpenClaw、带隐私保护的端云协同个人 AI 智能体 EdgeClaw 来了！

EdgeClaw 于 2026 年 2 月 12 日正式发布，是一款端云协同个人 AI 助手，代表了 AI Agent 隐私保护领域的重要技术突破。该系统由清华大学自然语言处理实验室（THUNLP）、中国人民大学、AI9Stars、ModelBest（面壁智能）与 OpenBMB 联合开发，基于开源 AI Agent 框架 OpenClaw 构建。其核心创新在于提出了三层安全协议（S1/S2/S3

叶庭云

2166人浏览 · 2026-02-14 23:28:43

叶庭云 · 2026-02-14 23:28:43 发布

基于 🦞 OpenClaw、带隐私保护的端云协同个人 AI 智能体 🤖 EdgeClaw 来了！

关键发现摘要

EdgeClaw 于 2026 年 2 月 12 日正式发布，是一款端云协同个人 AI 助手，代表了 AI Agent 隐私保护领域的重要技术突破。该系统由清华大学自然语言处理实验室（THUNLP）、中国人民大学、AI9Stars、ModelBest（面壁智能）与 OpenBMB 联合开发，基于开源 AI Agent 框架 OpenClaw 构建。其核心创新在于提出了 三层安全协议（S1/S2/S3） 与 GuardAgent 协议，实现了 “公开数据上云，隐私数据留本地” 的智能路由机制。

系统采用 TypeScript（83.3%）、Swift（12.7%）和 Kotlin（1.8%）开发，以 MIT 许可证开源。然而，其基础平台 OpenClaw 之前已暴露出严重的安全隐患：2 个高危 CVE 漏洞（CVE-2026-25253、CVE-2026-25157）及其他高危安全漏洞，以及 Skills 插件生态中约 10.8% 的恶意投毒样本。这为端云协同 AI 的大规模部署敲响了安全警钟。

从技术架构来看，EdgeClaw 通过六阶段生命周期钩子（message_received、resolve_model、before_tool_call、after_tool_call、tool_result_persist、session_end）实现对敏感数据的全流程管控。系统采用双会话 / 双记忆机制（full / 完整历史与 clean / 脱敏历史并行维护），确保云端模型无法接触深度隐私数据。这一技术路线与面壁智能发布的 MiniCPM-o 4.5 全模态大模型（9B 参数、全双工实时流机制）形成了端侧 AI 的技术协同。

在产业层面，中国已发布《端云协同人工智能服务用户数据保护要求》（T/TAF 316—2025）行业标准，标志着端云协同 AI 正从实验室走向规范化应用。截至 2026 年 2 月中旬，全球 OpenClaw 在野部署实例已达数万个规模。中国以约 1.4 万实例反超美国，位居全球首位，这种快速扩张也带来了显著的安全治理挑战。

第一章 EdgeClaw 的诞生背景与技术定位

1.1 AI Agent 隐私泄露危机催生端云协同需求

人工智能智能体（AI Agent）正从简单的对话助手演进为能自主执行复杂任务的数字员工，这种能力跃升带来了严峻的隐私安全挑战。当代 AI Agent 需要处理密码、私钥、个人身份信息（PII，Personally Identifiable Information）以及商业秘密等敏感数据，一旦泄露至云端，将造成不可逆转的损失。传统云端 AI 方案虽然计算能力强大，但要求将用户数据上传至远程服务器处理，在医疗、金融、法律等对数据主权要求极高的领域形成了应用壁垒。完全本地化部署的 AI 方案虽能保障隐私，但受限于终端设备的算力，无法运行最先进的大语言模型（LLM，Large Language Model），性能与隐私之间形成了难以调和的矛盾。

这种云端性能与本地隐私之间的 Gap，正是 EdgeClaw 要解决的核心问题。EdgeClaw 的开发者明确提出了核心主张：“Public workloads to the cloud, private intelligence stays local”（公开数据上云，隐私数据留本地）。这一理念基于对当前 AI Agent 生态的深刻洞察。OpenBMB 在官方发布中指出，EdgeClaw 专为解决 “AI Agent 数据泄露挑战” 而设计，通过智能任务路由机制，在不影响用户体验的前提下，确保敏感数据始终保留在本地设备。

从技术演进看，EdgeClaw 的出现标志着 AI Agent 架构从 “云优先” 向 “端云协同” 的范式转变。2025 年至 2026 年间，端侧 AI 技术取得突破性进展。以面壁智能发布的 MiniCPM 系列为代表的端侧大模型，证明了在消费级设备上运行高性能 AI 的可行性。MiniCPM-2B 仅 24 亿参数即可实现与更大模型相媲美的性能；MiniCPM-o 4.5 更以 9B 参数实现了全双工多模态实时流交互。这些进步为 EdgeClaw 的端云协同架构提供了坚实的模型基础，使本地处理敏感数据不再意味着性能妥协。

1.2 EdgeClaw 的技术定位与差异化特征

在端云协同 AI 助手的赛道上，EdgeClaw 通过独特的技术定位实现了差异化竞争。与完全依赖云端处理的 AI 助手（如 ChatGPT、Claude 等）相比，EdgeClaw 强调数据的本地化处理能力；与完全离线的本地 AI 方案相比，EdgeClaw 保留了云端大模型的强大推理能力作为补充。这种 “混合智能” 架构使 EdgeClaw 能在保证隐私的前提下，为用户提供接近云端模型的智能体验。

EdgeClaw 的技术定位可从三个维度理解：安全维度、性能维度和可用性维度。

在安全维度上，EdgeClaw 采用了形式化的隐私保护框架，通过数学上可证明的安全定理来保障数据安全。具体而言，EdgeClaw 提出了两个核心安全定理：定理 1（Cloud Invisibility）确保任何 S3 级别的深度隐私数据对云端完全不可见；定理 2（Desensitization Completeness）确保任何 S2 级别的可脱敏数据在云端可见形式中不包含原始隐私实体值。这种形式化的安全保证在消费级 AI 产品中较为罕见，体现了 EdgeClaw 在隐私保护上的严谨态度。

在性能维度上，EdgeClaw 通过智能路由机制实现了 “无感切换”。系统根据任务复杂度自动决定数据处理位置：简单任务由本地模型处理，复杂任务经脱敏后交由云端模型处理，核心隐私数据则完全在本地闭环。这种自适应路由机制避免了用户在隐私与性能之间做出艰难选择，在两者之间取得了平衡。

在可用性维度上，EdgeClaw 作为 OpenClaw 的即插即用扩展，无需修改现有业务逻辑即可为已有 AI Agent 工作流增加隐私保护能力。这种零侵入式的设计理念大幅降低了采用门槛，使隐私保护从 “专家配置” 变为 “开箱即用”。OpenBMB 强调，开发者可在不修改任何业务代码的情况下，通过简单的配置启用 EdgeClaw 的安全防护功能。

1.3 开源生态与社区的快速采用

EdgeClaw 选择以 MIT 许可证开源发布，这一决策与其基础平台 OpenClaw 的开源策略一脉相承。OpenClaw 由奥地利开发者 Peter Steinberger 于 2025 年 11 月首次发布，最初名为 Clawdbot，后因商标纠纷更名为 Moltbot，最终于 2026 年 1 月 30 日定名为 OpenClaw。该项目在 GitHub 上增长速度惊人，被媒体称为 “GitHub 历史上增长最快的 AI Agent 框架”。

EdgeClaw 的快速普及还得益于背后强大的开发团队。该项目由清华大学自然语言处理实验室（THUNLP）、中国人民大学、AI9Stars、ModelBest 和 OpenBMB 联合开发。THUNLP 是国内最早开展自然语言处理研究的科研单位，成立于 20 世纪 70 年代末，由孙茂松教授（欧洲人文和自然科学院外籍院士）担任学术总体带头人，刘洋教授和刘知远教授为学术方向带头人。ModelBest（面壁智能）是国内领先的端侧大模型公司，其核心产品 MiniCPM 系列在全球范围内具有重要影响力。这种产学研结合的开发模式为 EdgeClaw 的技术先进性和产业落地能力提供了双重保障。

开源策略不仅加速了 EdgeClaw 的技术迭代，也促进了其生态系统的快速扩张。开发者可通过 GitHub 获取完整源代码，根据自身需求进行定制化开发。EdgeClaw 的代码库也主要使用 TypeScript（83.3%）、Swift（12.7%）和 Kotlin（1.8%）编写，这种技术栈选择既保证了跨平台兼容性，也为移动端原生体验提供了支持。

第二章 EdgeClaw 核心架构与技术创新

2.1 三层安全协议：S1/S2/S3 分级保护机制

EdgeClaw 的核心技术创新体现在 三层安全协议（Three-Tier Security System） 的设计上。该协议将用户数据按敏感程度划分为三个等级，并为每个等级制定差异化的处理策略。这种分级保护机制是 EdgeClaw 实现 “公开数据上云，隐私数据留本地” 理念的技术基础。

第一层为 S1 级别（Passthrough/直通），代表不含任何隐私信息的公开数据。这类数据可直接发送到云端 LLM 进行处理，充分利用云端模型的强大推理能力。S1 级别的判定标准包括：不包含个人身份信息、不包含敏感商业数据、不包含认证凭证等。在实际应用中，一般性知识问答、创意写作、代码示例请求等场景产生的数据通常属于 S1 级别。

第二层为 S2 级别（Desensitization/脱敏），代表包含可脱敏隐私信息的敏感数据。这类数据在发送到云端之前必须经过脱敏处理，将敏感实体替换为占位符或通用描述。例如，用户的真实姓名可能被替换为 “[姓名]”，电话号码替换为 “[电话]”，公司机密数据替换为 “[机密信息]”。脱敏后的数据可在云端处理，结果返回本地后再进行还原。S2 级别的设计体现了 EdgeClaw 在隐私保护与模型性能之间的精妙平衡：既避免了敏感信息泄露，又保留了利用云端强大模型的能力。

第三层为 S3 级别（Local/本地），代表深度隐私数据，完全禁止离开本地设备。S3 级别数据包括用户密码、私钥、生物特征数据、医疗记录等一旦泄露将造成严重后果的信息。对于 S3 级别数据，EdgeClaw 完全依赖本地部署的模型（如通过 Ollama 运行的端侧 LLM）。虽然本地模型的性能可能不及云端大模型，但 EdgeClaw 通过形式化安全定理保证了 S3 数据的绝对安全。

这种三级分类机制的实现依赖于 GuardAgent 协议 —— 一套定义如何在 AI Agent 生命周期各阶段对数据进行检测、分类和处理的规范。GuardAgent 协议的核心是 “Hooker → Detector → Action” 的处理流程：Hooker 在特定生命周期阶段拦截数据流，Detector 对数据进行敏感性分析，Action 根据检测结果执行相应处理（passthrough、desensitize 或 redirect）。

2.2 GuardAgent 协议与六阶段生命周期钩子

GuardAgent 协议是 EdgeClaw 实现隐私保护的核心机制，通过六个精心设计的生命周期钩子（Lifecycle Hooks）覆盖了 AI Agent 从接收用户输入到完成会话的全过程。这种细粒度的拦截机制确保敏感数据在任何一个环节都不会被意外泄露。

第一个钩子为 message_received（消息接收阶段），位于用户消息进入系统的入口点。EdgeClaw 在此阶段对用户输入进行初始扫描，检测是否存在敏感信息，并为消息分配初步的隐私等级。该阶段的关键在于快速识别明显包含敏感信息的输入，避免其在后续处理中未经脱敏直接进入系统。

第二个钩子为 resolve_model（模型解析阶段），是 EdgeClaw 核心路由决策的发生点。系统根据消息的隐私等级决定任务处理路径：S1 级别数据路由至云端 LLM，S2 级别数据先经脱敏后路由至云端，S3 级别数据完全在本地处理。这一决策过程需 综合考虑隐私要求、任务复杂度和可用模型能力，是 EdgeClaw 智能路由能力的集中体现。

第三个钩子为 before_tool_call（工具调用前阶段），在 AI Agent 调用外部工具（如浏览器、文件系统、API 等）之前进行拦截。该阶段的作用是防止敏感数据通过工具调用泄露。例如，如果 AI Agent 准备用浏览器搜索用户的公司机密信息，before_tool_call 钩子会检测并阻止这一行为，或将搜索内容进行脱敏处理。

第四个钩子为 after_tool_call（工具调用后阶段），在工具执行完成后对返回结果进行扫描。某些工具调用可能返回包含敏感信息的数据（如数据库查询结果、API 响应等），after_tool_call 钩子负责对这些返回内容进行隐私检测和必要处理，确保敏感信息不会通过工具结果进入后续处理流程或聊天记录。

第五个钩子为 tool_result_persist（工具结果持久化阶段），在工具执行结果写入双轨历史记录时触发。EdgeClaw 采用双轨历史记录机制：full/ 目录存储完整历史供本地模型使用，clean/ 目录存储脱敏后的历史供云端模型使用。该钩子确保敏感数据只写入本地历史，云端历史只包含脱敏后的内容。

第六个钩子为 session_end（会话结束阶段），在会话终止时执行清理和同步操作。EdgeClaw 在此阶段同步本地和云端的记忆文件，确保下一次会话开始时，本地模型和云端模型都能获取到各自需要的历史上下文。

这六个钩子构成了完整的隐私保护闭环，从数据输入到输出生成的每个环节都有相应的检测和保护机制。更重要的是，这些钩子的执行是可配置和可扩展的：开发者可通过 JSON 配置文件自定义关键词、模式和工具路径的检测规则，也可自定义在每个生命周期阶段执行哪些检测器。

2.3 双会话与双记忆系统：数据隔离的物理实现

EdgeClaw 的隐私保护不仅依赖于逻辑层面的分级分类，更通过 双会话（Dual Session） 和 双记忆（Dual Memory） 系统实现了数据隔离的物理保障。这种架构设计体现了 EdgeClaw “纵深防御” 的安全理念：即使逻辑层面的防护被突破，物理隔离的存储机制仍能阻止敏感数据泄露。

双会话系统的核心是在本地文件系统中维护两套并行但隔离的会话历史。完整的会话历史存储在 ~/.openclaw/agents/main/sessions/full/ 目录下，包含所有原始对话内容、工具调用记录和返回结果，仅供本地模型访问。脱敏后的会话历史存储在 ~/.openclaw/agents/main/sessions/clean/ 目录下，其中所有敏感实体已被替换为占位符，可安全地与云端模型共享。

双记忆系统则是对长期记忆（Long-term Memory）的隔离实现。EdgeClaw 在 workspace 目录下维护两套记忆文件：MEMORY-FULL.md 包含完整的记忆内容供本地模型使用，MEMORY.md 是经过过滤的版本供云端模型使用。此外，系统还维护 memory/ 目录用于存储结构化的记忆数据，同样采用双轨制管理。

这种双轨制的实现依赖于 自动同步机制。当本地模型生成新的记忆内容时，系统会自动创建对应的脱敏版本并同步到云端可访问的记忆存储中。反之，当云端模型基于脱敏数据生成新的洞察时，这些洞察也会被同步回本地，并在本地上下文中进行还原和整合。这种双向同步机制确保本地和云端模型都能获取各自需要的上下文信息，同时严格维护隐私边界。

从系统架构角度看，双会话和双记忆系统实际上是 EdgeClaw 在本地设备和云端之间建立的一道 “数据防火墙”。所有流向云端的数据都必须经过脱敏处理，所有从云端返回的数据都只能在本地上下文中还原。即使云端服务被攻击者控制，攻击者也只能获取脱敏后的数据，无法还原出原始敏感信息，从而实现了定理 2（Desensitization Completeness）所保证的 “脱敏完整性”。

2.4 形式化安全保证：Cloud Invisibility 与 Desensitization Completeness

EdgeClaw 在隐私保护方面的严谨性体现在其采用了形式化安全保证（Formal Security Guarantees），通过数学化的方式定义和证明系统的安全属性。这种形式化方法在消费级 AI 产品中较为罕见，通常只见于高安全要求的企业级或政府级系统。

第一个形式化保证是 定理 1：Cloud Invisibility（云端不可见性）。该定理的形式化表述为：对于任何 S3 级别的深度隐私数据，其原始内容对云端完全不可见。这一保证的严格性在于 “完全不可见” —— 不仅仅是 “不会主动发送”，而是从根本上确保 S3 数据在任何情况下都不会出现在云端。其技术基础包括：S3 数据仅在本地模型处理，本地模型与云端之间没有数据交换通道，双会话/双记忆系统物理隔离了 S3 数据的存储位置。

第二个形式化保证是 定理 2：Desensitization Completeness（脱敏完整性）。该定理的形式化表述为：对于任何 S2 级别的可脱敏数据，其在云端可见的形式不包含原始隐私实体值。即使攻击者完全控制云端服务并获取所有 S2 数据，也无法还原出原始敏感信息。关键在于脱敏算法的设计：敏感实体被不可逆地替换为占位符，占位符与原始值之间的映射关系仅保存在本地，云端无法访问该映射表。

这两个定理共同构成了 EdgeClaw 隐私保护的理论基础。定理 1 确保最高级别隐私数据的绝对安全，定理 2 确保次高级别隐私数据在利用云端能力时的相对安全。两者结合，使 EdgeClaw 能在不牺牲云端模型性能的前提下，为用户提供数学上可证明的隐私保护。

这些形式化保证的实现依赖于 EdgeClaw 架构的 可验证性。系统的开源特性使安全研究人员和开发者可以审计代码，验证这些定理的实现是否符合其形式化定义。这种透明性是 EdgeClaw 区别于闭源商业 AI 助手的重要特征，也是开源社区快速采用它的重要原因之一。

第三章基础平台 OpenClaw 的生态与演进

3.1 OpenClaw 的历史演变与创始人背景

OpenClaw 作为 EdgeClaw 的基础平台，其发展历程本身就是 AI Agent 开源社区快速演进的缩影。该项目由奥地利开发者 Peter Steinberger 于 2025 年 11 月首次发布，最初命名为 Clawdbot，名称源自其早期开发的 AI 虚拟助手 Clawd（后更名为 Molty），灵感来自 Anthropic 的聊天机器人 Claude。然而，项目发布后不久便遭遇商标纠纷：2026 年 1 月 27 日，因 Anthropic 的商标投诉，项目被迫更名为 Moltbot，以保持 “龙虾”（Molt/Crab）这一主题元素。三天后，Steinberger 再次将项目更名为 OpenClaw，原因是认为 “Moltbot” 发音不够顺畅。

这段更名史虽然短暂，却折射出开源 AI 项目在商业巨头商标压力下的生存困境。尽管经历两次更名，OpenClaw 的社区热度不减反增 —— 2026 年 2 月初与 Moltbook（一个 AI 专用社交网络）的联动进一步推动了项目的流行。这表明，对于开源项目而言，技术实力和社区认同远比名称更重要。

OpenClaw 的创始人 Peter Steinberger 被描述为奥地利的 “Vibe Coder”（氛围编程者），其开发风格注重开放性与实用性。OpenClaw 采用 MIT 许可证并支持跨平台（TypeScript/Swift），反映了他的开源理念。在 Lex Fridman 的播客节目中，Steinberger 讨论了 OpenClaw 的设计理念，媒体将 OpenClaw 称为 “GitHub 历史上增长最快的项目”。这种爆发式增长既源于技术的创新性，也得益于 AI Agent 概念在 2025 年末至 2026 年初的广泛传播。

3.2 OpenClaw 的核心架构设计

OpenClaw 的架构设计体现了 “个人 AI 助手” 的产品定位，其核心是一个本地优先的 Gateway WebSocket 控制平面，负责管理会话、频道、工具和事件的统一协调。这种架构使 OpenClaw 能在用户的本地设备上运行，同时通过多种消息通道（WhatsApp、Telegram、Discord、Slack、Signal、iMessage、Microsoft Teams 等）与用户交互。

OpenClaw 的架构可分为四个层次：消息通道层、Gateway 控制平面层、Pi Agent 运行时层和平台应用层。

消息通道层负责对接各种第三方通讯软件和 Web 控制台，将非结构化的用户指令引入系统。设计理念是将 OpenClaw 无缝嵌入用户已有的通讯习惯中，用户无需学习新界面，只需在熟悉的聊天应用中与 AI 助手对话即可。

Gateway 控制平面层是 OpenClaw 的核心，运行在本地机器的 ws://127.0.0.1:18789 地址，通过 WebSocket 协议与客户端。工具和事件通信。该层负责会话管理、配置管理、定时任务（Cron）、Webhook 处理和 Canvas 宿主等功能。Gateway 的设计体现了 OpenClaw “本地优先” 的理念：所有核心功能都在本地运行，用户数据默认不会离开本地设备。

Pi Agent 运行时层是 OpenClaw 的智能决策引擎，基于 LLM 进行任务编排与决策推理。OpenClaw 支持多种 LLM 后端，包括 Anthropic 的 Claude 系列、OpenAI 的 GPT 系列以及本地部署的模型（通过 Ollama）。运行时层还包含上下文与记忆管理模块，用于维持复杂任务的连续性。

平台应用层包括 macOS 菜单栏应用、iOS/Android 节点应用等原生客户端，提供 Voice Wake（语音唤醒）、Talk Mode（连续对话）、Canvas（可视化工作区）等增强功能。该层虽然可选，但大幅提升了用户体验，使 OpenClaw 不仅是命令行工具，而是完整的个人 AI 助手生态。

3.3 OpenClaw 的功能特性与应用场景

OpenClaw 的功能设计围绕 “自动化” 和 “可扩展性” 两个核心理念展开。在自动化方面，OpenClaw 提供了浏览器控制、文件系统访问、Shell 命令执行、定时任务等能力，使 AI Agent 能够真正 “做事情” 而非仅仅 “回答问题”。在可扩展性方面，OpenClaw 引入了 Skills 插件系统和 MCP（Model Context Protocol，模型上下文协议） 机制，允许开发者和用户通过插件扩展 AI Agent 的能力。

浏览器控制是 OpenClaw 最具特色的功能之一。通过 OpenClaw 管理的 Chrome/Chromium 浏览器，AI Agent 可以自动导航网页、填写表单、提取数据、上传文件等。这使 OpenClaw 能自动化许多日常网页操作，如查询商品价格、预订服务、填写表格等。例如，用户可通过 Telegram 向 OpenClaw 发送指令：“帮我在京东搜索 MacBook Pro 价格”，AI Agent 会自动打开浏览器，访问京东，搜索商品，提取价格信息，并将结果返回给用户。

文件系统访问和 Shell 命令执行赋予了 OpenClaw 更深层次的系统控制能力。AI Agent 可以读写本地文件、运行脚本、执行系统命令，从而自动化代码审查、CI/CD（Continuous Integration/Continuous Delivery，持续集成/持续交付）触发、文件整理等工作流。然而，这种强大的能力也带来了显著的安全风险，后文将详细讨论。

定时任务（Cron）和 Webhook 机制使 OpenClaw 能够主动执行自动化任务，而非仅仅被动响应用户指令。用户可配置定时任务，如"每天早上 7 点生成今日简报"，OpenClaw 会在指定时间自动执行。Webhook 则允许外部系统触发 OpenClaw 的动作，实现与其他服务的集成。

Skills 插件系统是 OpenClaw 生态的重要组成部分。ClawHub 作为官方 Skills 分发平台，托管了超过 3,000 个开源 Skills，支持通过 CLI 客户端一键安装部署。这些 Skills 涵盖 GitHub 集成、日历管理到智能家居控制等各种场景，极大地扩展了 OpenClaw 的应用范围。然而，Skills 生态的开放也带来了严重的供应链安全风险，这是 OpenClaw 当前面临的主要挑战之一。

3.4 OpenClaw 的部署方式与社区采用

OpenClaw 的部署灵活性是其快速普及的重要因素之一。项目支持多种部署方式，包括本地部署、云端服务器部署、Docker 容器部署以及基于 Nix 的声明式配置部署。这种多样化的部署选项使不同技术背景的用户都能找到适合自己的方案。

对于个人用户，最常见的部署方式是在本地 Mac、Windows 或 Linux 机器上运行 OpenClaw。官方提供了一键安装脚本，简化了安装流程。对于希望 7×24 小时在线的用户，云端服务器部署是更常见的选择。腾讯云、阿里云、百度云等国内云服务商都提供了预装 OpenClaw 的镜像，用户可在几分钟内完成部署。AWS 也提供了基于 Mac 实例的部署方案，特别适合需要完整 macOS 桌面环境的场景。

截至 2026 年 2 月中旬，全球 OpenClaw 在野部署实例已达数万个规模。区域分布上，中国以约 1.4 万实例反超美国，位居全球首位。这种快速增长一方面反映了 OpenClaw 技术的吸引力，另一方面也带来了显著的安全治理挑战。大量实例直接暴露于公网，缺乏必要的访问控制和安全配置，成为攻击者的潜在目标。

OpenClaw 的社区生态正在快速形成。除官方维护的核心项目外，社区开发者贡献了丰富的教程、部署指南和 Skills 插件。中文社区尤其活跃，知乎、腾讯云开发者社区、CSDN 等平台上有大量 OpenClaw 的部署教程和使用案例分享。这种社区驱动的生态发展既是 OpenClaw 的优势，也带来了内容质量和安全性的挑战。

第四章安全威胁模型与风险分析

4.1 MAESTRO 框架：OpenClaw 七层威胁模型与 EdgeClaw 风险基础

EdgeClaw 基于 OpenClaw 构建，其底层安全架构继承自 OpenClaw 的威胁暴露面。对 EdgeClaw 的安全分析需首先审视 OpenClaw 的基础风险。安全研究人员 Ken Huang 提出的 MAESTRO 框架（7-layer Agentic AI Threat Model）为 OpenClaw 的安全评估提供了结构化的分析框架。该框架将 AI Agent 的安全威胁划分为七个层次：基础模型层、数据操作层、Agent 框架层、部署与基础设施层、评估与可观测性层、安全与合规层、以及 Agent 生态系统层。

在基础模型层（Layer 1），OpenClaw 面临的主要威胁包括对抗性提示注入（LM-001）、多轮对话越狱（LM-002）、模型提供商 API 密钥泄露（LM-003）、文件上传提示注入（LM-004）和系统提示泄露（LM-005）。对抗性提示注入是最直接的攻击方式，攻击者通过 WhatsApp、Telegram 或 Discord 发送精心构造的消息，试图操纵模型产生有害输出。这些消息可能包含隐藏指令、Base64 编码的载荷或上下文操纵技术，利用模型无法区分用户指令和恶意注入的弱点。OpenClaw 通过多层缓解措施应对这些威胁，包括输入清洗（src/agents/pi-embedded-helpers.ts）、模型故障转移（src/agents/model-fallback.ts）、上下文窗口保护（src/agents/context-window-guard.ts）和会话压缩（src/agents/compaction.ts）等机制。

在数据操作层（Layer 2），凭证明文存储（DO-001）、状态目录权限宽松（DO-002）、消息历史泄露（DO-003）、Skills 代码注入（DO-004）、向量存储投毒（DO-005）和浏览器配置文件数据泄露（DO-006）构成了主要威胁向量。其中，Skills 代码注入尤为严重：Skills 从 ~/.openclaw/workspace/skills/ 目录加载并以 Agent 权限执行任意代码，恶意 Skill 可能窃取数据、执行系统命令、访问凭证或执行其他有害操作。OpenClaw 通过 Skills 扫描器（src/security/skill-scanner.ts）实施逐行规则检查，检测 exec 函数、环境变量收集、文件系统操作和网络请求等危险模式。

在 Agent 框架层（Layer 3），工具滥用（AF-001）、会话生成滥用（AF-002）、跨会话数据泄露（AF-003）、特权模式利用（AF-004）、沙箱逃逸（AF-005）和 Agent 间通信滥用（AF-006）是需要关注的关键威胁。工具滥用是最直接的系统妥协路径：攻击者构造消息触发 Bash 或浏览器工具执行未授权命令，可能导致文件删除、数据窃取、恶意软件安装或 Agent 权限允许的任何操作。OpenClaw 通过工具调用日志、使用模式监控、沙箱配置和显式批准机制来缓解这些风险。

4.2 高危漏洞案例分析

OpenClaw 在短时间内接连曝出多个高危远程代码执行（RCE，Remote Code Execution）漏洞，暴露出项目代码安全性的薄弱环节。这些漏洞作为底层风险直接影响基于其构建的 EdgeClaw。

第一个高危漏洞是反向代理配置错误导致的未授权访问漏洞（2026 年 1 月 25 日发现）。Twitter 用户 theonejvo 发现，OpenClaw 对 “本地连接” 默认自动放行，当部署在 Nginx/Caddy 等反向代理后，所有请求在后端看来都来自 127.0.0.1，从而被当成可信本地连接。在未正确配置 trustedProxies 或启用强制认证的情况下，任意用户可直接访问控制界面。该界面拥有代理配置、凭证存储、对话历史及命令执行等高权限，最终导致对 AI 智能体的完全接管。

第二个高危漏洞是 CVE-2026-25253（一键漏洞——修改网关地址）（2026 年 1 月 26 日由 depthfirst 公司发现）。该漏洞存在于 app-settings.ts 中，代码直接接受 gatewayUrl 中的查询参数并将其保存到存储中。设置网关后立即触发连接操作，将 authToken 发送到新网关连接握手中，形成完整的攻击链：受害者点击攻击者构造的钓鱼链接后，攻击者可窃取令牌、创建对本地 18789 端口的 WebSocket 连接，最终实现任意命令执行。

第三个高危漏洞是 CVE-2026-25157（SSH 命令注入漏洞）。在 SSH 远程连接处理中存在两个命令注入问题，ssh-tunnel.ts 中解析 SSH 目标字符串时未禁止以短横线（--、-）开头的主机名。攻击者可构造恶意 SSH 目标（如 -o ProxyCommand=...），客户端会将其解析为命令行选项，从而导致本地命令执行。

这些漏洞的集中爆发揭示了 OpenClaw 作为 “Vibe Coding” 项目的典型安全问题：追求快速功能实现而忽视了安全编码实践。漏洞的影响范围因 OpenClaw 的高权限特性而被放大 —— OpenClaw 在部署时（尤其服务器环境下）通常具备 root 权限，一旦被恶意指令利用，将演变为灾难性的系统控制风险。

4.3 Skills 插件生态的供应链风险

OpenClaw 的 Skills 插件系统风险同样构成 EdgeClaw 的供应链安全基础。Skills 插件系统虽然极大地扩展了功能边界，但也引入了严重的供应链安全风险。ClawHub 作为官方 Skills 分发平台，在上线初期（首月运营阶段）未设置有效的安全审核与内容校验机制，导致大量恶意插件得以快速涌入生态体系。

研究分析表明，在采集的 3,000 余个 ClawHub Skill 样本中，共识别出 336 个恶意投毒样本，占比约 10.8%，呈现出显著的规模化渗透特征。恶意 Skills 的主要攻击模式以 “下载 — 执行” 为核心：多数样本通过远程拉取脚本或二进制载荷并在本地直接执行，从而实现持久化控制或后续攻击链部署。

这种供应链风险的形成有多重原因。首先，上传门槛极低：开发者只需注册一个无需实名的 GitHub 账号即可上传自定义 Skill。其次，缺乏代码审计：平台在上线初期没有实施有效的安全审核机制，恶意代码可以轻松绕过检测。第三，执行环境隔离不足：Skills 以 Agent 的权限执行，一旦加载恶意 Skill，攻击者即可获得与 Agent 同等的系统访问能力。

Skills 供应链风险的严重性在于其隐蔽性和持久性。与一次性漏洞利用不同，恶意 Skill 一旦安装，可持续存在于系统中，在用户毫不知情的情况下执行恶意操作。攻击者可通过 Skill 实现持久化控制、数据窃取、横向移动等多种攻击目标，而用户可能很难察觉其恶意行为。

应对 Skills 供应链风险需要多层次的缓解措施。技术层面，OpenClaw 已实施 Skills 扫描器（skill-scanner.ts）进行静态代码分析，检测危险函数调用和可疑模式。流程层面，需要建立 Skill 提交审核机制、代码签名验证和开发者身份认证。用户层面，需提高安全意识，只安装来自可信来源的 Skills，并定期审计已安装的 Skill。

4.4 在野资产暴露与区域分布风险

全网测绘数据显示，OpenClaw 在野资产经历了快速增长：2026 年初全球仅有少量实例，随后迅速进入万级规模，至 2 月中旬已累积为数万个实例。区域分布上，中国资产量从早期低于美国逐步追平并反超，截至 2026 年 2 月中旬以约 1.4 万实例超过美国，位居全球首位。

这种快速扩张带来了显著的安全治理挑战。首先，大量实例通过反向代理直接映射至公网，绕过了内网隔离与统一入口管控，直接暴露于互联网。其次，敏感行业资产裸露问题突出，例如金融等关键基础设施的实例暴露于公网，易成为攻击重点。第三，已曝光的反向代理配置错误漏洞在公网资产中仍部分存在，可导致攻击影响面迅速扩大。

资产规模的扩张还引发了同质化风险。快速部署模板的使用使大量实例结构趋同，一旦模板存在缺陷或爆出严重漏洞，风险将沿同类资产链快速蔓延。此外，OpenClaw 不仅涉及即时通讯（IM）聊天群组数据，还关联主机控制权限与敏感业务数据，一旦失陷，极易成为渗透内网、窃取核心数据的跳板。

对于中国区域而言，OpenClaw 部署规模的领先地位既是技术采用活跃度的体现，也意味着更大的安全治理责任。随着《端云协同人工智能服务用户数据保护要求》（T/TAF 316—2025）等行业标准的实施，EdgeClaw 在中国的部署需要更加重视合规性和安全性。

4.5 EdgeClaw 的安全增强与差异化防护

针对 OpenClaw 暴露的安全风险，EdgeClaw 通过 GuardAgent Protocol 构建三层安全体系（S1/S2/S3），实施"Hook → Detect → Act"的主动防御管道，并采用双轨记忆系统隔离敏感数据，从而在继承 OpenClaw 功能生态的同时，系统性缓解提示词注入、权限滥用及数据泄露风险。

第五章产业生态与开发团队背景

5.1 THUNLP：国内 NLP 研究的先驱

清华大学计算机系自然语言处理与社会人文计算实验室（THUNLP）是 EdgeClaw 的核心开发力量之一，也是国内开展自然语言处理研究最早、深具影响力的科研单位。实验室成立于 20 世纪 70 年代末，最初从事中文信息处理方面的研究工作，经过四十余年发展，已成为中国中文信息学会计算语言学专业委员会及中国人工智能学会因果与不确定性人工智能专业委员会的挂靠单位。

THUNLP 的学术团队由多位国际知名学者组成。学术总体带头人孙茂松教授是清华大学计算机科学与技术系长聘教授、清华大学人工智能研究院常务副院长、清华大学计算机学位评定分委员会主席，同时是欧洲人文和自然科学院外籍院士、国际计算语言学学会会士、中国人工智能学会会士、中国中文信息学会会士。学术方向带头人刘洋教授和刘知远教授在机器翻译、知识图谱、社会计算等领域均有重要贡献，被媒体称为我国 NLP 领域的"二刘老师"。

THUNLP 的研究方向涵盖语言大模型、跨模态大模型、中文信息处理、机器翻译、知识图谱、智慧教育、社会人文和艺术计算等多个领域。实验室围绕以中文为核心的自然语言处理开展系统深入的研究，在基础模型架构和学习方法、多模态表示学习等方面取得了国际领先的研究成果。近年来，THUNLP 在开源社区表现尤为活跃，其在 GitHub 上的组织账号拥有 3.3K followers，发布了包括 UltraRAG、MiniCPM、ChatDev、ToolBench 等多个具有重要影响力的开源项目。

5.2 ModelBest（面壁智能）：端侧大模型的领军者

ModelBest（中文名 “面壁智能”）是 EdgeClaw 的另一重要开发方，也是国内领先的端侧大模型技术公司。公司成立于 2022 年 8 月，总部位于北京，致力于将大模型部署到离用户最近的地方，覆盖手机、AIPC、智能座舱、具身机器人和可穿戴设备等主流消费电子终端。

面壁智能的核心技术产品是 MiniCPM 系列端侧大模型。MiniCPM-2B 仅 24 亿（2.4B）非词嵌入参数量，总计 2.7B 参数量，却能在多项基准测试中媲美甚至超越参数量大得多的模型。这一 “以小博大” 的能力源于面壁智能在模型架构和训练方法上的创新，包括自研的 InfLLM 稀疏注意力机制和 CPM.cu 推理框架。

在多模态领域，面壁智能发布的 MiniCPM-V 系列代表了端侧多模态大模型的最高水平。MiniCPM-V 2.0 支持 180 万像素以下任意长宽比图像输入，OCR（Optical Character Recognition，光学字符识别）能力超越 GPT-4o，量化后端侧内存仅需 6GB，推理速度达 18 tokens/s。最新发布的 MiniCPM-o 4.5 更实现了全双工多模态实时流交互，支持 “边看、边听、主动说” 的无缝人机交互，突破了传统回合制对话的局限。

面壁智能提出了 “面壁定律”，探索大模型能力密度的指数级增强路径。通过知识密度优化，面壁智能的模型实现了同等参数下性能更强，支持 CPU 推理和消费级显卡微调，推理成本低至 1 元 = 170 万 token。这种极致的效率优化使端侧部署大模型从理论可能变为商业可行，为 EdgeClaw 等端云协同应用提供了强大的本地模型支撑。

2025 年 5 月，面壁智能宣布完成新一轮数亿元融资，由洪泰基金、国中资本、清控金信和茅台基金联合投资，显示出资本市场对其技术路线的高度认可。

5.3 OpenBMB 与 AI9Stars：开源协同创新

OpenBMB（Open Lab for Big Model Base）是 EdgeClaw 的主要发布和维护组织，也是一个专注于大语言模型及相关技术的开源社区。OpenBMB 在 GitHub 上托管了多个重要项目，涵盖多模态模型、推理框架、工具学习、智能体等多个领域。除 EdgeClaw 外，OpenBMB 的核心项目还包括 UltraRAG（低代码 RAG 框架）、MiniCPM-o（全模态大模型）、ChatDev（多 Agent 协作开发）、AgentCPM（端到端 Agent 训练基础设施）、VoxCPM（语音生成模型）、ToolBench（工具学习开放平台）等。

AI9Stars（9#AISoft 团队）是参与 EdgeClaw 开发的另一技术团队，与 THUNLP、面壁智能等保持着密切合作。AI9Stars 在 GitHub 上发布了关于推测解码与量化兼容性评估的研究成果，并参与联合推出了 UltraRAG、LLM×MapReduce-V3 等多个开源项目。虽然公开资料对 AI9Stars 的介绍相对有限，但其在多个重要项目中的参与表明了其在 AI 基础设施领域的技术实力。

这种产学研结合的开源协同模式是 EdgeClaw 能够快速迭代并取得技术领先的重要原因。THUNLP 提供学术研究支撑，面壁智能提供端侧模型技术，OpenBMB 提供开源社区运营，AI9Stars 提供工程实现能力，多方优势互补形成了强大的创新合力。这种模式也代表了中国 AI 开源社区的发展趋势：学术界的前沿研究与产业界的工程实践紧密结合，共同推动技术边界的拓展。

5.4 端云协同 AI 的标准化与政策环境

EdgeClaw 的出现并非孤立的技术事件，而是端云协同 AI 技术发展大趋势的一部分。2025 年 11 月 17 日，中国发布了《端云协同人工智能服务用户数据保护要求》（T/TAF 316—2025）行业标准，这是国内首个针对端云协同架构 AI 服务的专门规范。该标准规定了基于端云协同架构的人工智能服务用户数据保护要求，适用于智能手机、智能家居设备、车载系统等智能终端设备及相关服务。

标准的发布标志着端云协同 AI 正从实验室走向规范化应用。EdgeClaw 的三层安全协议（S1/S2/S3）与标准的要求高度契合，体现了技术发展对标准制定的引领作用，也表明领先的技术实践正在被标准化为行业规范。随着更多类似 EdgeClaw 的产品涌现，端云协同 AI 的安全标准有望进一步完善，形成更加成熟的技术生态。

在政策层面，“端云协同” 已成为中国 AI 产业发展的重要方向。深圳提出打造 “AI 智能体之城”，探索定义 AI 交互新标准；联想与火山引擎围绕 AI 安全能力展开深度合作，共同打造联想个人云 1.0；荣耀发布 AI 隐私安全白皮书，提出 MagicGuard 安全环境采用端云协同的 HTEE（Hybrid Trusted Execution Environment，混合可信执行环境）。这些产业动态表明，端云协同不仅是技术选择，更是国家战略层面的发展方向。

第六章应用场景与部署实践

6.1 EdgeClaw 的典型应用场景

EdgeClaw 基于 OpenClaw 构建，在继承其多场景能力的基础上，通过 GuardAgent Protocol 构建了三层隐私保护体系（S1 直通/云端、S2 脱敏/云端、S3 本地），实现了"public workloads to the cloud, private intelligence stays local"的端云协同架构。这种架构适用于多种对隐私和性能均有要求的应用场景。

在个人生产力提升方面，EdgeClaw 可自动化处理日常任务，如邮件管理、日程安排、文件整理、信息检索等。与基础 OpenClaw 环境不同，EdgeClaw 通过三层安全系统根据数据敏感度（依据 ℒ = {S₁, S₂, S₃} 定义，其中 S₁ 表示无私密数据，S₂ 表示可脱敏私密信息，S₃ 表示深度私密数据）自动分类处理，确保深度隐私数据在本地处理而不会泄露至云端。例如，用户可授权 EdgeClaw 访问本地日历和邮件，让其自动安排会议、回复邮件、生成待办事项。涉及个人隐私的数据通过本地模型（如 Ollama 运行的 8B+ 参数模型）处理，仅将脱敏后的或安全的数据路由至云端。

在开发者工作流自动化方面，EdgeClaw 可集成到 CI/CD 流程中，自动进行代码审查、测试执行、错误修复和部署操作。开发者可通过 Telegram 或 Slack 向 EdgeClaw 发送指令，如 “审查最新的 Pull Request”，EdgeClaw 会自动获取代码变更、进行分析并在聊天频道中反馈审查结果。由于代码库通常包含商业机密，EdgeClaw 的本地处理机制确保原始代码不会离开受控环境；如需利用云端大模型能力，系统会通过脱敏处理（如对变量名、API 密钥进行脱敏）后再上传。

在智能家居控制方面，EdgeClaw 可作为中央控制器，通过语音或聊天界面控制智能设备。用户可发送指令 “打开客厅的灯” 或 “将空调温度调至 26 度”，EdgeClaw 会调用相应的 API 或协议（如 Home Assistant、Philips Hue）执行操作。由于语音指令可能包含家庭成员的隐私信息，EdgeClaw 的本地执行机制确保这些敏感指令可在本地处理，仅将设备控制结果同步至云端。

在网页自动化与数据抓取方面，EdgeClaw 的浏览器控制能力可自动完成网页导航、表单填写、数据提取等操作。例如，用户可要求 EdgeClaw “帮我在京东搜索 MacBook Pro 的最新价格”，AI Agent 会自动打开浏览器、访问网站、执行搜索、提取价格信息并返回给用户。这类操作涉及用户的购物偏好等敏感数据，EdgeClaw 的隐私保护机制可对其进行脱敏处理，确保原始行为数据不会被云端模型获取，同时仍能利用云端大模型的分析能力。

在多智能体协作方面，EdgeClaw 支持配置多个 Agent，每个 Agent 负责特定的任务领域，通过协作完成复杂任务。例如，可配置云端 Opus 4.6 作为协调者，负责理解用户意图和任务分解；配置本地模型（如 Llama 3 8B via Ollama）作为执行者，负责处理敏感数据的具体代码编写、数据分析、文档生成等任务。这种多 Agent 架构结合 EdgeClaw 的智能路由能力，可自动根据数据敏感度分配任务至端侧或云端，在提高效率的同时确保敏感信息不会泄露。

6.2 部署实践与技术要点

EdgeClaw 的部署需基于 OpenClaw 基础环境进行扩展，以确保端云协同架构能够正常工作并发挥最佳性能。

在硬件要求方面，OpenClaw 基础部署需要至少 4GB 内存和 2GB 可用磁盘空间，以及稳定的互联网连接。EdgeClaw 作为扩展层，需额外运行本地 LLM（Ollama 8B+）以处理深度隐私数据，建议配置 8GB 以上内存和充足的 CPU/GPU 资源，以支撑端侧大模型的流畅运行。

在软件环境方面，需明确区分 OpenClaw 基础环境与 EdgeClaw 扩展组件的部署流程。OpenClaw 基于 Node.js 开发，可通过 npm 直接全局安装（npm install -g openclaw），需要 Node.js 版本 >= 22.x 和 npm 版本 >= 10.x，并建议配置用户级的 npm 全局目录（~/.npm-global）以避免权限问题。EdgeClaw 作为 OpenClaw 的扩展层，需通过 git clone https://github.com/openbmb/edgeclaw.git 获取源码，并执行 pnpm install && pnpm build && pnpm ui:build 进行构建。对于 GitHub 访问，需配置 Git 使用 HTTPS 而非 SSH，以避免权限错误。

在模型配置方面，EdgeClaw 支持多种 LLM 后端，包括 Anthropic 的 Claude 系列、OpenAI 的 GPT 系列以及本地部署的模型。推荐配置包括 Anthropic Pro/Max（100/200）+ Opus 4.6 用于处理云端公开或可脱敏任务，以获得长上下文能力和更好的提示注入抵抗能力。对于敏感数据处理，必须安装 Ollama 或其他兼容的本地 LLM 运行时，并确保模型版本支持 8B 以上参数。

在安全配置方面，EdgeClaw 的配置文件（~/.openclaw/openclaw.json）需特别保护，避免使用 world-readable 权限。推荐权限模式为 0o700，确保只有当前用户可以读取和修改配置。对于生产部署，建议启用 Tailscale 或其他 VPN/隧道方案，而非直接暴露 Gateway 至公网，以避免未授权访问风险。此外，需在配置中启用 GuardClaw 插件并定义隐私规则，配置检测器（drule 或 dmodel）以识别不同敏感度级别的数据。

在浏览器控制配置方面，需在配置文件中启用浏览器功能并指定主题色。浏览器控制功能依赖于 OpenClaw 管理的 Chrome/Chromium，系统会自动管理浏览器实例的生命周期。浏览器配置文件包含 cookies、会话数据等敏感信息，EdgeClaw 的本地处理机制确保此类数据可根据配置保留在本地，不会被上传至云端。

6.3 从 OpenClaw 到 EdgeClaw 的迁移路径

对于已部署 OpenClaw 的用户，迁移到 EdgeClaw 以增强隐私保护能力是一个值得考虑的选项。根据 OpenBMB 的官方说明，EdgeClaw 作为 OpenClaw 的即插即用扩展，无需修改现有业务逻辑即可完成集成。迁移的主要步骤包括：

克隆 EdgeClaw 仓库并执行 pnpm install && pnpm build && pnpm ui:build 构建依赖
在 openclaw.json 中启用 GuardClaw 插件并配置隐私规则（定义 S1/S2/S3 分类标准）和检测器参数（选择 drule 规则检测或 dmodel 模型检测）
启动 Ollama 本地模型服务
运行 EdgeClaw 网关（pnpm openclaw gateway run）

在配置层面，EdgeClaw 提供了丰富的自定义选项。用户可通过 JSON 配置文件自定义关键词、模式和工具路径的检测规则，控制检测器在六个生命周期阶段（message_received、resolve_model、before_tool_call 等）的执行行为，选择使用规则检测器（drule，基于正则/关键词）或模型检测器（dmodel，基于本地语言模型），以及编辑检测系统提示词（detection-system.md、guard-agent-system.md、pii-extraction.md）来调整检测行为。

迁移过程中需特别注意双记忆系统的初始化。EdgeClaw 会在 workspace 目录下创建 MEMORY.md（脱敏版本，供云端模型使用）和 MEMORY-FULL.md（完整版本，供本地模型使用）两个记忆文件。对于历史会话数据，系统会自动创建 clean/ 脱敏版本，但这一过程可能需要一定的计算资源，特别是对于包含大量历史数据的长会话。

第七章端云协同 AI 的技术趋势与展望

7.1 端侧大模型的技术演进

端云协同 AI 的可行性在很大程度上取决于端侧大模型的性能进步。近年来，端侧大模型取得了显著的技术突破。以面壁智能 MiniCPM 系列为代表的模型证明了在消费级设备上运行高性能 AI 的可行性：MiniCPM-2B 仅 24 亿参数即可实现与更大模型相媲美的性能；MiniCPM-V 2.0 实现了超越 GPT-4o 的 OCR 能力；后续 8B 参数版本进一步扩展了全模态能力；最新发布的 MiniCPM-o 4.5 更以 9B 参数实现了全双工多模态实时流交互。

这些技术进步的背后是模型效率的持续优化。面壁智能提出的 “面壁定律” 探索了大模型能力密度的指数级增强路径，通过知识密度优化、稀疏注意力机制、高效推理框架等技术手段，实现了"以小博大"的效果。这种效率优化趋势使端侧模型能处理越来越复杂的任务，为 EdgeClaw 等端云协同应用提供了更强的本地处理能力。

未来端侧大模型的发展可能呈现以下趋势：多模态能力全面增强，端侧模型将不仅能处理文本，还能高效处理图像、音频、视频等多种模态；实时交互能力提升，如 MiniCPM-o 4.5 所示的全双工实时流机制将成为标配；个性化与记忆能力深化，端侧模型能基于用户的长期交互历史提供更加个性化的服务；能效比持续优化，使端侧 AI 能在更低功耗的设备（如可穿戴设备、IoT（Internet of Things，物联网）设备）上运行。

7.2 端云协同架构的范式演进

EdgeClaw 所代表的端云协同架构正在从 “云优先” 向 “端云协同” 转变。传统云端 AI 架构将所有计算和数据处理集中在远程服务器，虽然性能强大但存在隐私和延迟问题；完全本地架构虽保障了隐私，但受限于终端设备的算力。端云协同架构试图在两者之间找到最佳平衡点。

这种范式演进的关键在于智能任务路由机制的发展。EdgeClaw 的三层安全协议（S1/S2/S3）代表了早期智能路由的一种实现方式，通过预设规则对任务进行分类和路由。未来的智能路由可能会更加动态和自适应，基于实时评估的任务复杂度、隐私敏感度、网络状况、设备资源可用性等因素动态决定任务的处理位置。

端云协同还可能催生新的分布式 AI 架构。在更广泛的场景下，端云协同不仅涉及单个设备和云端，还可能涉及多个边缘设备之间的协作（设备到设备）、边缘节点与云端的协作（边缘计算）、以及跨用户的联邦学习等模式。这些分布式架构将进一步模糊"端"和"云"的界限，形成更加灵活和高效的 AI 计算网络。

7.3 隐私保护技术的未来方向

EdgeClaw 的三层安全协议和 GuardAgent 协议代表了当前 AI Agent 隐私保护的一种技术路线，但这一领域仍在快速发展中。未来的隐私保护技术可能朝以下方向演进：

差分隐私与联邦学习的广泛应用。差分隐私通过在数据中添加可控噪声来保护个体隐私，联邦学习则允许多个参与方在不共享原始数据的前提下协作训练模型。这些技术可与 EdgeClaw 的端云协同架构结合，在保护用户隐私的同时利用分布式数据进行模型改进。

可信执行环境（TEE，Trusted Execution Environment） 的硬件级保护。荣耀提出的 MagicGuard 安全环境采用端云协同的 HTEE，为高敏感度的数据处理提供硬件级隔离。未来 TEE 可能成为端云协同 AI 设备的标准配置，为 EdgeClaw 等应用提供更底层的安全保障。

同态加密的实用化突破。同态加密允许在加密数据上直接进行计算而无需解密，从理论上可实现"数据可用不可见"。虽然当前同态加密的计算开销仍然较大，但随着算法优化和硬件加速的发展，其在未来可能成为端云协同 AI 的重要隐私保护手段。

零知识证明在 AI 验证中的应用。零知识证明允许一方（证明者）向另一方（验证者）证明某个陈述为真，而无需透露陈述本身以外的任何信息。在 AI 领域，这可用于验证模型输出的正确性而不泄露模型参数或训练数据。

7.4 监管与标准化的发展

随着端云协同 AI 技术的普及，相关的监管和标准化工作也在加速推进。中国发布的《端云协同人工智能服务用户数据保护要求》（T/TAF 316—2025）是这一领域的早期尝试，未来可能还会有更多针对不同应用场景（如医疗、金融、教育）的专门标准出台。

在监管层面，智能体责任的界定是一个重要议题。当 AI Agent 自主执行操作造成损害时，责任应由谁承担——Agent 的开发者、部署者，还是使用者？2026 年 1 月，对外经济贸易大学举行的 “AI 智能体行为安全与发展” 研讨会建议，在法规上明确责任红线，规范智能体应用高危权限申请，技术上贯彻 “隐私保护原生” 与数据最小化。

跨境数据流动是另一个监管焦点。端云协同架构可能涉及数据在本地设备、边缘节点和云端之间的流动，如果云服务位于境外，可能触发数据出境的监管要求。EdgeClaw 将敏感数据保留在本地的设计理念在一定程度上缓解了这一问题，但开发者仍需密切关注相关法律法规的要求。

结论

EdgeClaw 作为 2026 年春节前发布的端云协同个人 Agentic AI 助手，代表了 AI Agent 隐私保护领域的重要技术突破。其核心创新 —— 三层安全协议（S1/S2/S3） 和 GuardAgent 协议 —— 为 “公开数据上云，隐私数据留本地” 的理念提供了可实施的技术方案。形式化安全定理（Cloud Invisibility 和 Desensitization Completeness）更为其隐私保护能力提供了数学上的可信度。

然而，EdgeClaw 所依赖的基础平台 OpenClaw 暴露出严重的安全隐患——包括多个高危漏洞（含 CVE-2026-25253、CVE-2026-25157）和约 10.8% 的恶意 Skills 插件比例 —— 为端云协同 AI 的大规模部署敲响了安全警钟。这表明技术创新与安全防护必须同步推进，“便捷性” 不应以牺牲 “安全性” 为代价。对于计划部署 EdgeClaw 或 OpenClaw 的用户和机构，强烈建议实施严格的安全配置，包括：避免将 Gateway 直接暴露至公网、启用强认证机制、定期执行安全审计（openclaw security audit --deep）、谨慎安装第三方 Skills、以及持续关注官方安全更新。

从技术演进角度看，EdgeClaw 的出现恰逢端侧大模型技术取得突破性进展的历史节点。面壁智能的 MiniCPM 系列 —— 特别是最新发布的 MiniCPM-o 4.5 全模态大模型 —— 为 EdgeClaw 提供了强大的本地模型支撑，使 “本地处理敏感数据” 不再意味着性能妥协。这种技术协同预示着端云协同 AI 架构将成为未来的主流范式，在保障隐私的同时提供接近云端模型的智能体验。

在产业生态层面，EdgeClaw 由 THUNLP、ModelBest、OpenBMB、AI9Stars 等产学研机构联合开发，代表了中国 AI 开源社区的创新活力。中国发布的《端云协同人工智能服务用户数据保护要求》（T/TAF 316—2025）行业标准，以及 OpenClaw 在中国区域的领先部署规模（约 1.4 万实例），表明中国在端云协同 AI 领域既有技术实力，也有市场需求和监管基础。

2026 年 2 月 16 日，OpenClaw 创始人彼得 · 斯泰因贝格尔（Peter Steinberger）宣布加入 OpenAI，致力于让 Agent 技术人人可用。同时，OpenClaw 将转型为基金会形式，这意味着它并非被简单 “收编”，而是作为开放、独立的项目继续发展。OpenClaw 属于方向型产品，正如 ChatGPT 刚出现时那样，虽率先问世，却并非最终形态，也难以成为最终赢家。真正的个人 AI 智能体产品必须实现硬件、软件与生态的深度融合，才能迅速覆盖大众市场，而不仅仅局限于少数 AI 爱好者。

展望未来，端云协同 AI 技术将继续向 更智能的路由机制、更强大的端侧模型、更完善的隐私保护技术和更成熟的监管框架 方向发展。EdgeClaw 作为这一领域的早期探索者，其技术路线和实践经验将为后续产品提供重要参考。然而，安全挑战也将持续存在，需要开发者、用户、安全研究人员和监管机构共同努力，构建一个既智能又安全的 Agentic AI 生态系统。