Show HN:OpenClawMachines – 将OpenClaw扩展到企业级

Hacker News Top 工具

摘要

OpenClawMachines是一个开源平台,用于在您自己的基础设施上,通过硬件隔离的Firecracker微虚拟机运行OpenClaw AI代理,并配备控制平面、主机代理和LLM代理。

暂无内容
查看原文
查看缓存全文

缓存时间: 2026/07/13 19:55

mathaix/OpenClawMachines 源代码:https://github.com/mathaix/OpenClawMachines # OpenClaw Machines 在您拥有的硬件上,按需运行任意数量的隔离 OpenClaw 代理。 许可证:Apache-2.0 CI (https://github.com/mathaix/OpenClawMachines/actions) Stars (https://github.com/mathaix/OpenClawMachines) OpenClaw Machines 是一个开源平台,用于在您自己的基础设施上的安全 AI 沙箱中运行 OpenClaw (https://github.com/openclaw/openclaw)。一个控制平面编排您的主机,每个代理在自己的 Firecracker (https://github.com/firecracker-microvm/firecracker) microVM 中运行——硬件隔离,安全处理不受信任和代理生成的代码。一个 Cloudflare 数据平面是前门:每台机器在边缘认证后获得自己的子域名,通过终止于 VM 内部 的隧道访问——主机端口不会暴露给用户到 VM 的流量。当前控制平面仍需要对每个代理在 9090 端口上经过认证的控制 API 进行私有或防火墙受限访问。请在 openclawmachines.com (https://openclawmachines.com) 查看其运行状态。 Apache-2.0 公共核心提供了该栈的每个部分: - 一个最小控制平面 —— Go API,Postgres 支持的账户、机器和主机;放置策略机器生命周期主机注册备份持久化工作流; - 主机代理 (ocm-agent) —— 在您注册的 Linux 机器上启动、监督并回收 Firecracker microVM,管理桥接/TAP 网络和根文件系统暂存; - 每个主机的 LLM 代理 (LiteLLM) —— 模型密钥和 BYO-密钥支持的一站式管理,跨提供商(或您本地服务的模型)进行每机器使用追踪; - OpenClaw 运行时 —— VM 内部的组件:认证代理、web 聊天网关、实时终端,以及基于工件的运行时暂存/升级流程; - 浏览器运行时 —— 配对的 Chromium 浏览器 VM,带有 CDP 路由和可观看的实时视图; - 工作区集成/原生 MCP —— GitHub、Google Workspace、OpenAPI、GraphQL 和远程 MCP 工具,每个工作区连接一次,通过 OCM MCP 外观暴露给机器; - 以及组装这一切的构建管道 —— 每个组件的构建命令、GCS 工件存储桶布局、主机配置脚本和发布通道ocm CLI 位于独立的 mathaix/ocm-cli (https://github.com/mathaix/ocm-cli) Apache-2.0 仓库中。 ## 视频链接 点击截图观看 YouTube 上的 43 秒演示。这是一个链接图像,不是嵌入式播放器。 OpenClaw Machines 演示:代理调用工作区 MCP 工具 (https://youtu.be/XJRNcXEvc34) 演示涵盖主机上线、代理启动、运行中的 Firecracker VM 终端、工作区 MCP 集成以及端到端的代理工具调用。 在 Firecracker microVM 中运行的 OpenClaw 机器 ## 为什么选择 OpenClaw Machines - 安全性。 真正的隔离,而非容器:每个代理一个 Firecracker microVM,拥有自己的客户内核,位于 KVM 硬件边界之后——并且在边缘和每个 VM 内部都强制执行认证。 - 成本。 一个固定的服务器成本:租赁一台裸金属服务器,运行其所能容纳的任意多个硬件隔离代理——查看选项比较。相同的架构还能削减 token 开销:将代理路由到您自己 GPU 硬件上运行的开源模型,而不是为每 token API 付费。 - 自主权。 您的硬件,您的数据,您的密钥。在您自己的机器上运行控制平面和工作节点,并通过每主机的 LLM 代理将模型流量路由到任何提供商——或您自己 GPU 上服务的模型。 - 开源。 Apache-2.0 公共核心和配套的 ocm CLI (https://github.com/mathaix/ocm-cli),采用宽松许可证,便于采用、嵌入和贡献。 - 企业级。 多用户账户和团队、管理员管理的主机管理、加密的每机器密钥、以及跨机群的容量/放置策略。 - 生态系统。 用于 Web 自动化的浏览器 VM、实时终端和 Web 聊天、每 VM 路由、工作区范围内的原生 MCP 集成、备份/快照、代理内存,以及带有 OpenTelemetry/Opik 追踪和每机器使用情况监控的可观测性。 ## 选项比较 如果您今天运行 OpenClaw (https://github.com/openclaw/openclaw),您有以下几个选项: 1. 本地硬件 —— 在您的笔记本电脑或台式机上运行。 2. VPS(例如 Hostinger、DigitalOcean)—— 租赁一台虚拟服务器并在其上运行。 3. 托管服务(例如 KiloClaw)—— 启动托管的 OpenClaw 实例并按实例付费。 OpenClaw Machines 是第四个选项:租赁一台裸金属服务器(OVHcloud、Hetzner 等),将 OpenClaw Machines 指向它,然后启动该机器所能容纳的任意多个硬件隔离的 OpenClaw 实例。一个代理或五十个——成本始终是一个固定的服务器。 | 功能 | 本地硬件 | VPS (Hostinger) | 托管 (KiloClaw) | OpenClaw Machines | |—|—|—|—|—| | 设置工作量 | 低 | 中等 | 最低 | 中等(配置 + 注册主机) | | 每代理隔离 | 进程级别 | 共享内核/容器 | 每实例(托管) | 硬件——Firecracker microVM | | 运行多个代理 | 受限于您的机器 | 受限于 VPS 大小 | 是——但为每个付费 | 是——只要服务器能容纳 | | 多用户/团队 | 否 | 手动 | 不同 | 是——内置账户与团队 | | 成本模型 | 您自己的硬件 | 按 VPS 付费 | 按实例付费 | 按服务器付费(固定) | | 规模化成本 | 不可扩展 | 随规模增加 | 最高(线性每代理) | 每代理成本最低 | | 硬件控制 | 完全(但有限) | 虚拟化,共享 | 无 | 完全——专用裸金属 | | 数据与密钥归您所有 | 是 | 大部分 | 否(他们的基础设施) | 是——您的硬件 | | 备份/快照 | 手动 | 提供商快照 | 托管 | 内置 | | 运维/维护 | 您 | 您 | 无 | 您(自托管控制平面) | 简而言之:托管路线最轻松,但按代理定价;本地VPS 起步便宜,但隔离性或扩展性不佳。OpenClaw Machines 需要多一些设置,但一旦您运行超过几个代理,就能获得最佳的经济性和隔离性——一台服务器,多个硬件隔离的代理,全部归您所有。 ## 工作原理 OpenClaw Machines 将您自己的 Linux 服务器转变为安全、按需的沙箱池。每个沙箱是一个真正的 Firecracker microVM(拥有自己的内核,通过 KVM 进行硬件隔离),运行一个 AI 代理。该平台是控制平面,负责创建这些 VM、跟踪它们、路由流量给它们,并拆除它们——这样您就可以在您拥有的基础设施上安全地运行许多不受信任的代理。想象一下:一个为 AI 代理量身定制的迷你云,您自己托管。 1. 控制平面(Go 后端)——大脑。 账户、机器、主机和配置;UI/CLI 调用的 API;放置和生命周期编排。 2. 主机 + 工作代理——您的 Linux 机器。 使用安装脚本注册主机;其工作代理根据指令启动和停止 Firecracker microVM。 3. 机器——每个代理一个隔离的 microVM。 内部:OpenClaw 代理、web 聊天网关和实时终端。 4. 浏览器 VM——独立的 microVM,运行带有实时视图的 headful Chromium,由代理通过 CDP 驱动进行浏览器自动化。 5. 路由/数据平面——每个正在运行的 VM 获得自己的子域名和一条终止于 VM 内部的 Cloudflare 隧道,在边缘和 VM 内部都强制执行认证。 6. 工作区集成(原生 MCP)——每个工作区连接一次外部工具(GitHub、Google Workspace 或任何 OpenAPI/GraphQL/远程 MCP 端点);控制平面通过单个内置 MCP 服务器将它们暴露给每台机器的代理,因此代理使用 ocm.search_tools / ocm.call_tool 发现和调用它们,而无需逐一集成。 mermaid flowchart TB U["您 — 浏览器 / ocm CLI"] --> EDGE["Cloudflare 边缘访问认证 · Worker 路由查找 (KV)"] EDGE -->|仪表板/API| CP["控制平面 (Go)账户 · 机器 · 主机放置 · 生命周期 · 备份"] CP --- DB[("Postgres")] CP -->|注册 · 心跳 · 启动/停止 :9090| H1["主机 1 — 您的 Linux 机器ocm-agent · LLM 代理 · CDP 代理"] CP -->|...| HN["主机 N"] EDGE -->|每 VM 隧道,终止于 VM 内部| VM1 subgraph H1X["主机 1 的 microVM"] VM1["机器 — Firecracker microVMOpenClaw 代理 · web 聊天 · 终端authproxy + cloudflared 内部"] BVM["浏览器 VMheadful Chromium · 实时视图"] VM1 -->|CDP| BVM end H1 --- H1X 完整设计——数据平面、路由、隧道、生命周期、配置以及构建/发布流程——详见 docs/architecture.md,五层栈(React UI → Cloudflare 边缘 → Go 控制平面 → 主机代理 → Firecracker 沙箱)详见 docs/tech-stack.md。 ## 要求 OpenClaw Machines 运行 Firecracker microVM,这需要 KVM。您需要一个启用 KVM 的 Linux 主机:裸金属,或者启用了嵌套虚拟化的云 VM。它不能在 macOS、Windows/WSL 或未启用嵌套虚拟化的标准云 VM 上运行。检查您的主机: bash make preflight ## 入门指南 入门指南 分为三个阶段,每个阶段都以某些功能正常运作为结束: > 使用编码代理? 将其指向 > docs/getting-started.md,并让它按照 > 指南从阶段一开始操作。 1. 本地评估 —— 完整的栈 + 在一台支持 KVM 的 Linux 机器上运行一个真正的 Firecracker 机器。无需 Cloudflare 或公共域名;可以使用现有的 KVM 主机或可选的 GCP 配置示例。 2. Cloudflare + 专用主机 —— 生产形态的部署:域名、隧道、边缘认证和一个注册的云或裸金属主机。 3. 完整工作流 —— 创建和使用机器(聊天、终端、浏览器 VM)、生命周期、备份、运行时升级。 ## 项目文档 - 入门指南 —— 上述的三阶段指南 - 用户指南 —— 日常使用机器(模型、聊天、终端、浏览器 VM、文件、日志、追踪、备份) - 工作区集成/原生 MCP —— 连接 GitHub、Google Workspace、OpenAPI、GraphQL 和远程 MCP 工具,每个工作区一次 - 架构 —— 数据平面、路由、隧道、生命周期、工作区集成/原生 MCP - 技术栈 —— 从客户端到沙箱的五层 - 本地和 BYO 主机设置 - 控制平面部署配置 - 自托管控制平面前提条件 - LLM 运维手册 - 公共文档清单 - 贡献指南 · 安全策略 · 行为准则 - ocm CLI 项目 (https://github.com/mathaix/ocm-cli) ## 社区与支持 - GitHub Discussions (https://github.com/mathaix/OpenClawMachines/discussions) —— 问题、想法、展示与讲述 - Issues (https://github.com/mathaix/OpenClawMachines/issues) —— Bug 和功能请求 - Roadmap (https://github.com/mathaix/OpenClawMachines/issues/25) —— 开源就绪追踪器:已完成和下一步计划 - 发现漏洞?请查看安全策略。 ## 贡献 请参阅 CONTRIBUTING.md行为准则。 ## 许可证 Apache-2.0

相似文章

Nemotron Labs:OpenClaw Agent 对各类组织的意义

NVIDIA Blog

OpenClaw 是一个开源的持久化 AI 助手,已成为 GitHub 上星标最多的项目,引发了关于安全与自主性的讨论。NVIDIA 正与其合作以增强安全性,并发布了 NemoClaw 作为安全的参考实现。

解放你的 OpenClaw

Hugging Face Blog

Hugging Face 提供了一份迁移指南,帮助你将 OpenClaw 智能体从受限的 Anthropic Claude 模型迁移到开源替代方案,可通过 Hugging Face Inference Providers 或借助 Llama.cpp 等工具在本地硬件上运行。

利用你的OpenClaw盈利

Reddit r/openclaw

一款名为CYPHES的新产品,通过创建一个专注于网络安全漏洞检测和利用预警的自主劳动力市场,使用户能够将其OpenClaw硬件和代理变现。