structure｜1️⃣ 三级笔记、思想框架

一、OpenClaw 五个月：史上最快增长的开源项目

• 量级：5 个月，约 30,000 commits、近 2,000 contributors、即将突破 30,000 PRs
• 增长曲线：不是 hockey stick，而是一条直线——朋友戏称 "stripper pole growth"
• 地位：GitHub 史上增速最快；星数仅次于少数教育类仓库，是真正的软件项目第一
• 创始人双重身份：刚加入 OpenAI（做 agents for everyone）+ 同时创立 Open Claw Foundation
  • "running the foundation is like running a company on hard mode" ——公司所有烦恼 + 一堆管不动的 volunteers

二、社区建设：从一人 show 到跨公司军团

• 核心目标：改善 bus factor（单人依赖度）
• 跨公司贡献者：Nvidia、Microsoft（MS Teams + Windows）、Red Hat（security + dockerization）、Tencent、ByteDance、Salesforce、Slack、Telegram
• 中国用户量大于其他任何大陆；正与 Alibaba / Minimax / Kimi 等模型厂对齐
• Nvidia 评价最高："hire agencies and just do things"
• 刻意控制 OpenAI 员工比例，避免外界认为是"被收编"

三、安全警报风暴：1,142 条 advisories

• 体量：日均 16.6 个 advisory，99 条 critical
  • 是 Linux kernel 的 2 倍、curl 的 2 倍
  • 已发布 469 条，关闭 60%
• 规律："越叫得凶的越 sloppy"——报告越耸人听闻，越可能是 AI slop
• 时代背景：AI 工具让发现多层 exploit 变得轻而易举，整个软件行业都要改变构建方式
• 典型案例：
  • CVSS 10 的 iPhone sync bug：规则满分，实际几乎不影响用户（99% 场景下 gateway token 只在本地网络）
    • Peter 的自省："我试图做一个更宽松的权限模型，这是我的错"
  • NemoClaw（Nvidia）：Codex 半小时内找到 5 种 sandbox 逃逸——因为 Codex 能访问比公开更聪明的 cyber 模型
  • ghost claw：疑似北朝鲜供应链攻击，伪造 NPM 包下发 rootkit
  • Axios 事件：OpenClaw 不用 Axios，但 MS Teams / Slack 依赖链里有，于是被波及
• 攻击面：RCE、bypass approval、code injection、path traversal

四、fear-mongering 与文化战

• "Agents of Chaos" 论文：4 页详解 OpenClaw 架构，却不提 security 页——因为提了故事就讲不下去了
• 作者们用 sudo mode 跑（需要改代码），违反官方 recommendation
• 官方建议早就写清楚：
  • 个人 agent 不要放进 group chat
  • Team agent 打开 sandboxing，只能访问团队应知的信息
  • 个人 agent 只有自己能对话
• 底层风险不是 OpenClaw 独有，而是所有 powerful agent 都面临的 Lethal Trifecta：
  • data access（能读你的数据）
  • untrusted content（能读不受信内容）
  • communication（能对外通信）

五、维护之痛

• 大多数 report 由 agent 生成，但人类必须逐条判读——"anytime the report 太 nice 或 apologize，很可能是 AI"
• 报告常常没有 fix；即使有，也多是坏 fix
• 仓促接受坏 fix → 一定搞坏产品
• FFmpeg 等老项目也在面临同样的困境
• 结论：纯志愿者模式撑不住——这是 Open Claw Foundation 存在的根本理由

六、OpenAI 与 OpenClaw 的关系

• "OpenAI 没买 OpenClaw，他们可能只是买了我的 soul.md"
• OpenAI 的逻辑链：更多人玩 AI → 回公司催生付费需求 → 有钱赚
• 信号：Codex 开源、Symfony orchestration layer 发布
• 对比"以 A 开头的大厂"（Anthropic）：泄源会被起诉、太成功会被封锁
• Foundation 架构参考 Ghosti，卡点在"美国银行系统对非美国人很慢很懵"

七、工作流 & Token Maxing

• prompt request 替代 pull request
• 并行度：以前 10 个 session（CodeX 5.1 时代较慢），现在 5-6 个（每个 loop 更快了）
• 反对 dark factory（全自动合 PR）：
  • "软件开发的路径从来不是直线，而是弯曲的"
  • 第一版的想法几乎不会是最终的项目
  • waterfall model 对他不 work
• 保留 PR 人工 review：大量 PR 会把产品拖到错的方向

八、Taste：从 smell 到 system

• 低阶 taste = "不臭 AI 味"
  • 文字 slop：语气、apologize、太 wordy、点太多
  • UI slop：purple gradient、左侧彩色边框
  • "it's a smell"——说不清但一眼识别
• 高阶 taste = 花时间打磨 delightful details（如 OpenClaw 启动时 roast 用户的小提示）
• "如果你只在高 level prompt，你永远得不到这些细节"

九、Soul、Personality、形态

• 为 clanker 开发 personality，并开源 soul
• 迭代起点：WhatsApp Relay 接 Claude Code 时"感觉不对"——朋友在 WhatsApp 上不会那样说话
• "write more like a human... like a lobster"
• 2023-24 的 ChatGPT 搜索框时代不需要 personality，但 agent 时代需要
• Peter 的标签："madness with a touch of science fiction"——这种项目不可能出自美国大厂，会被 legal 扼杀在摇篮里

十、Agent 的未来形态

• 家庭 agent / Star Trek "Computer"：每个房间放 iPad，agent 用 canvas feature 把内容投到最近屏幕
• ubiquitous agents：uppercase Claw（工作 / 团队）× lowercase claw（个人），跨 agent 握手通信
• 实践先行者：Karpathy、Marandré 已在用 OpenClaw 控家
• 讽刺的美丽：IoT 设备的烂安全反而让 OpenClaw 能接入

十一、Prompt Injection & 信任

• 前沿模型已能识别大多数注入
• 真正危险：20B 小 local model + 浏览器 / 邮件——没有任何防御训练
• OpenClaw 会在使用小模型时主动 warn
• 思路参考：Simon Willison 的 dual-LLM
• Reputation-based trust：和 Shopify Toby Lütke 的方案一致——随使用时间积累信任，授予更多权限

十二、未来路线图

• Dreaming：
  • 灵感：人脑睡眠中的 garbage collection——把短期记忆转长期、丢掉无用的
  • Anthropic 源码泄露显示他们也在做
  • 已经 ship 了第一小步
• Wiki-style memory（Karpathy 思路）——比 memory 更融合
• 架构哲学：从初期大意大利面 codebase → 一切皆 plugin / extension，走 Linux 路线

十三、给 AI 时代工程师的建议

• Taste（品味）——前面已讲
• System design："不想清楚边界，迟早把自己 swipe into a corner"
• Saying no：单个 idea 从来不是问题；idea × idea × idea × 如何拼起来，才是问题
• Big picture syncing：仍是最大瓶颈——agent 被丢进陌生代码库，只看到局部、看不到系统
• 需要项目级的"vS / hints"，引导 agent 考虑 interplay

concepts｜2️⃣ 关键概念、概念网络

agentic reading｜3️⃣ 费曼 x3