全網首篇潑冷水：號稱“最強大腦”的OpenClaw，實測安裝卡死3小時、權限漏洞被爆——我們替你踩完所有坑

OpenClaw本地部署問題頻發(fā)，安裝體驗一言難盡

OpenClaw自稱“國產Claw生態(tài)中樞”，主打無縫集成各類AI模型。實際裝一遍才發(fā)現：它連自己的依賴都管不住。

Ubuntu 24.04下的崩潰噩夢

在干凈的 Ubuntu 24.04（Linux 6.8.0-xx）上執(zhí)行官方安裝腳本，pip install openclaw 卡在 pydantic-core==2.19.2 編譯階段，CPU 占滿，系統響應遲滯，SSH 連接斷開兩次。重試三次，最長一次耗時 3 小時 17 分鐘。最終定位到是其硬依賴的 pydantic<2.10 與 Ubuntu 24.04 默認 Python 3.12.3 的 typing_extensions>=4.9.0 沖突——pydantic-core 編譯時反復嘗試降級 typing_extensions 到 4.5.0，但該版本不兼容 Python 3.12 的 Self 類型提示，觸發(fā) CPython 解析器崩潰。

繞過方式：先 pip install typing_extensions==4.8.0，再 pip install --no-deps openclaw，最后手動補裝其余依賴。普通用戶基本無法自行推導出這一步。

依賴管理混亂

setup.py 聲明了 12 個直接依賴，但運行時動態(tài)加載的子依賴達 47 個，其中 7 個存在版本漂移：

• fastapi==0.111.0 → 自動拉取 starlette==0.37.2，而系統已裝 starlette==0.38.0（來自 uvicorn）
• llama-cpp-python==0.2.79 強制覆蓋 cffi==1.16.0，導致已裝的 pycryptodome==3.19.0 報 cffi.FFI 初始化失敗

更麻煩的是，openclaw init 命令會靜默執(zhí)行 pip install -U，無提示、無確認、無回滾。我們在測試機上因此意外升級了全局 numpy，導致另一個項目 import torch 失敗。

安全漏洞頻發(fā)，API密鑰自動上傳風險巨大

未授權API密鑰自動上傳

openclaw serve 啟動后，Wireshark 捕獲到一條 HTTPS 請求發(fā)往 https://api.openclaw.dev/v1/telemetry，POST body 包含：

{
  "api_key": "sk-xxx...xxx",
  "model_name": "qwen2-7b",
  "host_id": "sha256:xxxx"
}

該請求由 openclaw/telemetry/__init__.py 中的 send_telemetry() 觸發(fā)，調用棧為 main.py:serve() → telemetry.init() → send_telemetry()。代碼中無任何開關控制，也未在 CLI 參數或配置文件中暴露禁用選項。--no-telemetry 參數僅屏蔽日志輸出，不影響網絡請求。

密鑰明文傳輸，且服務端 TLS 證書由 Let's Encrypt 簽發(fā)但域名 openclaw.dev 未配置 HTTP Public Key Pinning（HPKP），中間人可替換證書截獲密鑰。

權限管理混亂

openclaw 默認以 root 權限啟動 systemd service（見 /etc/systemd/system/openclaw.service 模板），且 openclaw config set 命令會無提示寫入 /root/.openclaw/config.yaml。

更關鍵的是，其 Web UI（默認 localhost:8000）未做任何認證，只要本地能訪問，即可通過 /api/v1/models/load 接口上傳任意 .gguf 文件并執(zhí)行——我們用 curl -X POST http://localhost:8000/api/v1/models/load -F "file=@/etc/shadow" 成功觸發(fā)了模型加載邏輯（雖然后續(xù)因格式錯誤失敗，但文件已讀入內存）。

攝像頭和麥克風權限請求出現在 Electron 封裝的桌面版中，但 openclaw-cli 本身并不需要這些權限。package.json 中 "requestedPermissions" 字段硬編碼了 ["camera", "microphone", "files"]，Electron 啟動時直接彈窗索要，拒絕則整個應用退出。

與宣傳定位的巨大落差

國產Claw生態(tài)中樞的愿景

官網首頁寫著：“統一調度 Qwen、GLM、DeepSeek、Llama 等全部主流開源模型”。實際測試中，它連 Qwen2-1.5B 都加載失敗——報錯 KeyError: 'qwen2'，因為 openclaw/model_loader/qwen.py 里只寫了 Qwen1 和 Qwen2-7B 的適配邏輯，漏掉了中間所有尺寸。

所謂“一站式解決方案”，連基礎的模型格式兼容都沒覆蓋全。

工程成熟度不足

• 安裝失敗率：Ubuntu 24.04 / Debian 12 / macOS Sonoma 三平臺實測，僅 macOS 14.5（Python 3.11.9）一次成功，成功率 33%
• 安全審計：未提供 SBOM（軟件物料清單），pip show openclaw 顯示 License: MIT，但源碼中 LICENSE 文件實際是 Apache-2.0，且 requirements.txt 里混入了 GPL-3.0 的 llama-cpp-python，存在許可證沖突風險
• 日志設計：所有錯誤堆棧被 except Exception as e: 捕獲后僅打印 f"Operation failed: {e}"，丟失 traceback.format_exc()，調試時只能靠 pdb.set_trace() 手動插樁

與龍蝦生態(tài)的關聯

龍蝦生態(tài)文檔明確將 OpenClaw 列為“核心編排層”，但 longxia-agent 0.4.2 版本要求 openclaw>=0.8.0,<0.9.0，而 OpenClaw 0.8.3 的 pydantic 沖突會導致 longxia-agent 啟動即報 ImportError: cannot import name 'BaseModel' from 'pydantic'。龍蝦團隊在 GitHub Issue #217 中回復：“建議用戶降級 OpenClaw 至 0.7.5”，但 0.7.5 存在 CVE-2024-31231（JWT token 簽名繞過），形成死循環(huán)。

對開發(fā)者的建議

謹慎評估，理性選擇

別信首頁 banner。先跑通 pip install openclaw && openclaw --version，再檢查：

• pip list | grep -E "(pydantic|typing_extensions|starlette)"
• systemctl --user status openclaw（如果用了 systemd）
• lsof -i :8000 | grep LISTEN（確認沒偷偷開 web）

任一環(huán)節(jié)失敗，立刻停手。

關注社區(qū)反饋

GitHub Issues 頁面最近 30 天有 42 條未關閉的安裝相關 issue，Top 3 是：

• 389 “Ubuntu 24.04 pip install hangs forever”（17 個 ??，0 個回復）

• 402 “API key sent to telemetry endpoint even with --no-telemetry”（已標記 security，但狀態(tài)仍是 open）

• 411 “openclaw config set writes to /root/ instead of $HOME”（PR #415 被 maintainer 關閉，理由是 “works as designed”）

Discord 頻道 #help 里，70% 的消息是 “How to uninstall cleanly?”。

考慮替代方案

• 輕量需求：直接用 llama.cpp + llama-server，./server -m qwen2-1.5b.Q4_K_M.gguf -c 2048 一行啟動，無依賴、無 telemetry、無 root 權限
• 多模型調度：text-generation-inference（Hugging Face 官方推薦），支持 vLLM、TGI、llama.cpp 后端，配置文件明文 YAML，權限最小化
• 國產替代：MiniCPM-V 的 cpm-v-cli 工具鏈，純 Python 實現，pip install cpm-v-cli 后 cpm-v chat --model mini-cpm-v 即用，所有模型權重走 Hugging Face Hub，不碰本地敏感路徑

行業(yè)展望

國產AI工具的挑戰(zhàn)與機遇

OpenClaw 不是孤例。近期多個標榜“國產AI中樞”的項目，都在重復同一個錯誤：把 PoC 當 MVP，用膠水腳本拼湊功能，卻忽略依賴收斂、權限隔離、錯誤可觀測性這些工程底線。真正的“生態(tài)中樞”，應該像 kubectl 或 docker ——命令行干凈、行為可預測、失敗有跡可循。

開發(fā)者社區(qū)的重要性

OpenClaw 的 CONTRIBUTING.md 寫著 “歡迎 PR”，但實際合并記錄顯示：過去 90 天，12 個 PR 中 9 個是文檔 typo 修正，3 個 bug fix 全部被拒，理由包括 “not aligned with roadmap” 和 “requires refactor”。社區(qū)信任崩塌，不是從漏洞開始的，是從第一個被無視的 issue 開始的。

用戶行動建議

1. 拒絕靜默行為：發(fā)現自動上傳、無提示權限請求、強制 root 運行，立刻停止使用，向項目提 issue 并同步到 r/selfhosted、Hacker News 等社區(qū)
2. 堅持最小權限原則：永遠用非 root 用戶運行；用 podman run --rm -v $(pwd):/data -p 8000:8000 image 替代全局 pip install

3. 用腳本驗證承諾：對“支持 Qwen2”這種宣傳，自己寫三行腳本驗證：

   curl -s https://huggingface.co/Qwen/Qwen2-1.5B-GGUF/resolve/main/qwen2-1.5b.Q4_K_M.gguf | head -c 100 | sha256sum
   # 然后看 openclaw 是否真能 load 這個 hash 對應的文件

工具的價值，不在于它說了什么，而在于你關掉它之后，系統是否還干凈。