内存省194倍,启动快600倍:Rust重写的OpenClaw替代品到底有多猛?

发表于 更新于 分类于 阅读次数: 本文字数: 4.4k 阅读时长 ≈ 4 分钟

cover

OpenClaw 火了,但骂它的人也越来越多。

Gartner 分析师说它”默认不安全”。Cisco 安全团队称它为”安全噩梦”。Palo Alto Networks 警告说 43 万行 TypeScript 就是 43 万行潜在攻击面。ClawHub 上发现了 341 个恶意 Skills,有人的 API Key 被偷,有人的信用卡被刷爆。

OpenClaw 的维护者自己也承认:**Prompt Injection 和网络暴露”不在安全范围内”**。

这时候,一个人站了出来。

他叫 Illia Polosukhin。你可能没听过这个名字,但你一定听过他的论文——**”Attention Is All You Need”**,Transformer 架构的八位作者之一,整个大模型时代的奠基人。

他用 Rust 从零重写了 OpenClaw,项目叫 IronClaw。同时,另一个社区项目 ZeroClaw 也在用 Rust 重写 OpenClaw,走了一条完全不同的路。

两个项目,两种哲学。一个追求极致安全,一个追求极致性能。今天我们一起拆解。

IronClaw:安全优先——“AI 永远看不到你的密码”

IronClaw 的核心设计原则只有一条:你的 AI 助手应该为你工作,而不是对抗你。

OpenClaw 的安全问题出在哪?根源很简单:它把你的 API Key、OAuth Token、数据库密码直接放在环境变量或配置文件里。LLM 可以读到这些值。一旦被 Prompt Injection 攻击,这些密钥就会被泄露——不是”可能”,是”正在发生”。

IronClaw 用了三层防御来解决这个问题。

第一层:WASM 沙箱——工具跑在”笼子”里

OpenClaw 的插件和工具跑在 Gateway 进程里,和核心代码共享同一个信任边界。一个恶意 Skill 可以直接访问你的文件系统、网络、甚至其他工具的数据。

IronClaw 把每个工具放进独立的 WebAssembly(WASM)沙箱里。即使 LLM 被 Prompt Injection 攻击,触发了恶意工具调用,工具也被”关在笼子里”——它碰不到宿主系统,读不到本地文件,更访问不了其他工具的数据。

这就像把每个实习生关在各自的办公室里工作,而不是让他们在同一个房间里共享所有文件柜的钥匙。

第二层:加密凭证保险箱——密钥在最后一毫秒注入

这是 IronClaw 最精妙的设计。

传统方式:你把 API Key 写在配置文件里 → LLM 能看到 → 被注入后泄露。

IronClaw 的方式:密钥存在 AES-256-GCM 加密的保险箱里。LLM 做决策时,只知道”有一个叫 GitHub API 的工具可以用”,但看不到任何密钥。直到工具真正要执行 HTTP 请求的那一瞬间,密钥才在网络边界被注入到请求头里。

AI 永远看不到你的密码。 即使它被诱导说出所有它知道的信息,也泄露不了任何凭证——因为它从来就没见过。

Product Hunt 上的评价说得到位:**”Injecting credentials at the network boundary is the most elegant fix for prompt injections out there right now.”**

第三层:出站流量扫描——数据泄露的最后防线

即使前两层都被绕过了(理论上极难),IronClaw 还有最后一道关。

所有出站的网络请求都会被拦截和扫描,检查是否包含:

  • 你的密钥或 Token 片段
  • 可疑的数据外泄模式
  • Prompt Injection 的痕迹

如果检测到异常,请求会被直接拦截,不会发出去。

ZeroClaw:性能优先——“3.4MB 二进制,194 倍内存优势”

如果说 IronClaw 是”安全派”,ZeroClaw 就是”性能派”。

它的口号是:**”Zero overhead. Zero compromise. 100% Rust.”**

直接看数据,和 OpenClaw 的对比:

指标 OpenClaw ZeroClaw 差距
二进制大小 28MB+ 3.4MB 8× 更小
启动时间 5.98 秒 <10 毫秒 600× 更快
内存占用 1.52GB 7.8MB 194× 更小
测试用例 - 943 个 功能对等验证

194 倍的内存差距意味着什么?意味着 OpenClaw 需要一台 Mac Mini 才能舒服跑的东西,ZeroClaw 在一台 10 美元的开发板上就能跑。

ZeroClaw 由哈佛/MIT 的学生团队开发,MIT 协议开源,目前 GitHub Star 超过 1.6 万。它的核心设计理念是:编译成单个二进制文件,跨 ARM、x86、RISC-V 平台运行,不需要 Node.js、不需要 Docker、不需要任何运行时依赖。

1
2
3
4
5
6
7
8
9
10
11
12
# 安装
curl -fsSL https://zeroclaw.dev/install.sh | bash

# 交互模式
zeroclaw agent

# 启动网关
zeroclaw gateway

# 从 OpenClaw 迁移(先预览)
zeroclaw migrate openclaw --dry-run
zeroclaw migrate openclaw

最后一条命令很关键——ZeroClaw 可以直接读取 OpenClaw 的配置和记忆数据,实现低摩擦迁移。

为什么用 Rust 重写:不止是”更快”

很多人觉得 Rust 重写就是图个快。不是。Rust 对 AI Agent 的价值远超性能。

内存安全 = Agent 安全

OpenClaw 用 TypeScript,运行在 V8 引擎上。V8 有垃圾回收,有 JIT 编译,也有历史悠久的安全漏洞。一个 Agent 7×24 小时运行,长时间处理大量上下文,内存泄漏几乎是必然的——社区里经常有人报告”跑了几天后 OpenClaw 内存飙到好几个 G”。

Rust 的所有权模型在编译期就消灭了缓冲区溢出、空指针解引用、数据竞争等问题。不是靠运行时检查,而是靠编译器保证

单二进制 = 部署简单

OpenClaw 的安装需要 Node.js 22+、npm、各种依赖。在树莓派上装一次要折腾半小时。

ZeroClaw 就一个文件。下载,给执行权限,运行。3.4MB。在任何 Linux 设备上都能跑,包括路由器和 IP 摄像头。

零成本抽象 = 低资源消耗

Rust 的零成本抽象意味着你写的高级代码,编译后和手写 C 一样高效。对于跑在边缘设备上的 AI Agent 来说,这不是锦上添花,而是能不能跑起来的区别。

IronClaw vs ZeroClaw:怎么选

维度 IronClaw ZeroClaw
核心哲学 安全优先 性能优先
创始人 Illia Polosukhin(Transformer 作者) Harvard/MIT 学生团队
沙箱方案 WASM 沙箱 严格的 allowlist + 6 层校验
凭证管理 加密保险箱 + 网络边界注入 加密存储 + deny-by-default
数据库 PostgreSQL + pgvector 无(文件系统)
内存占用 中等 极低(7.8MB)
生态 NEAR AI Cloud 支持 支持 OpenClaw 配置迁移
适合场景 企业、金融、需要处理敏感凭证 嵌入式、边缘设备、资源受限环境
GitHub Star ~5k ~16.8k

一句话总结:需要安全选 IronClaw,需要快选 ZeroClaw,两者都要可以用 ZeroClaw + 自己加安全层。

争议:IronClaw 真的”安全”吗?

公平起见,IronClaw 也不是完美的。

社区里最大的争议是:IronClaw 默认需要通过 NEAR AI 账号认证。这意味着你在使用一个”主打隐私”的工具时,首先要注册一个区块链公司的账号。这和它宣传的”完全本地控制”之间存在矛盾。

Reddit 上有人直接指出:**”IronClaw 的隐私宣传和它的默认设置要求之间有显著的落差。”**

另外,IronClaw 的编译时间很长(Rust 编译慢是老问题),需要 PostgreSQL + pgvector 数据库(OpenClaw 只需要 SQLite),部署门槛比 OpenClaw 和 ZeroClaw 都高。

不过,IronClaw 也在快速迭代。v0.15.0 已经发布了预编译二进制,不再需要从源码编译。NEAR AI 认证也有计划改为可选项。

这场”Claw 大战”意味着什么

OpenClaw、IronClaw、ZeroClaw、NanoClaw、PicoClaw、RustyClaw……截至 2026 年 3 月,市面上已经有至少 6 个”Claw”系列项目。

这不是简单的”重复造轮子”。它反映了一个更深层的趋势:AI Agent 正在从”玩具”变成”基础设施”。

当 Agent 只是聊天玩具的时候,用什么语言写、安不安全、性能好不好,都不重要。但当 Agent 开始管理你的邮箱、操作你的银行账户、访问你的公司代码——安全和性能就变成了生死线。

OpenClaw 用 43 万行 TypeScript 证明了 AI Agent 的可能性。IronClaw 和 ZeroClaw 用 Rust 正在定义 AI Agent 的工业标准。

Rust 基金会的一份报告指出:Rust 正在成为 AI 基础设施的严肃选项。 可预测的性能、低资源消耗、编译期安全保证——这些特性恰好是 Agent 运行时最需要的。

快速上手:3 分钟跑起来

IronClaw

1
2
3
4
5
6
7
8
9
# 安装
curl --proto '=https' --tlsv1.2 -LsSf \
  https://github.com/nearai/ironclaw/releases/latest/download/ironclaw-installer.sh | sh

# 初始化(配置数据库、认证、加密)
ironclaw onboard

# 启动交互式 REPL
ironclaw

ZeroClaw

1
2
3
4
5
6
7
8
# 安装
curl -fsSL https://zeroclaw.dev/install.sh | bash

# 启动
zeroclaw agent

# 从 OpenClaw 迁移
zeroclaw migrate openclaw

两个项目都支持 Anthropic、OpenAI、Google Gemini、DeepSeek、Ollama 等主流模型提供商。

写在最后

OpenClaw 让普通人第一次拥有了”会做事的 AI”。但它也暴露了一个根本问题:一个能访问你所有数据、执行你所有操作的 AI 助手,如果不安全,它就不是助手,而是定时炸弹。

IronClaw 和 ZeroClaw 代表了两种不同的回答。一个说”先把笼子造好再放猛兽进去”,一个说”先把猛兽跑得更快更轻”。方向不同,但起点一样:用 Rust 从底层重建信任。

Transformer 论文的作者亲自下场重写 OpenClaw,这件事本身就说明了一切——AI Agent 的安全问题,已经严重到了”发明 AI 的人都看不下去”的地步。

下一个问题是:你还敢把你的 API Key 交给一个 43 万行 TypeScript 的项目吗?

你在用 OpenClaw 还是已经迁移到了 IronClaw / ZeroClaw?对 AI Agent 的安全问题有什么看法?欢迎在评论区聊聊你的选择和理由。