OpenClaw做应用,OpenFang做系统:Agent 往下卷了
来源:FLY AI CLOUD
OpenClaw出来了,有大佬用 Rust 重写,实现了一个ZeroClaw ,内存压到 5MB,启动速度媲美系统命令,直接把 OpenClaw 那 394MB 内存占用按到地上。讨论很热,大家普遍的反馈是:ZeroClaw 够快,但功能层面还差点意思,期待一个更完整的 Agent 框架。
这刚过完春节,OpenFang 就来了。同样用 Rust 构建,定位是"生产级 Agent 操作系统",开源即暴涨 30000+ Star(截止2026.02.27发文)。如果说 ZeroClaw 解决的是"跑得快",那 OpenFang 解决的是另一件事——把碎片化的 AI 能力,串联成一套可以持续自动运转的工作流。
举个具体例子:每天早上打开电脑,当天热门 AI 资讯已经整理好了,昨天拍的视频也剪好发出去了。这些事情不用主动触发,OpenFang 按预设流程,自己一步步跑完。这背后的核心设计,是它这次带来的 Hands 自主能力包。
一、三代演化:从 OpenClaw 到 OpenFang
这三个框架之间有一条清晰的演化脉络,不是三个互不相干的项目,而是同一个问题在不同阶段的不同回答。
三代 Agent 框架演化脉络
| 阶段 | 框架 | 特点 | 定位 |
|---|---|---|---|
| 阶段一 | OpenClaw | TypeScript 实现,功能全、生态好,但 394MB / 5980ms | 功能驱动 |
| 阶段二 | ZeroClaw | Rust 重写,5MB / 10ms 冷启动,但功能不完整 | 性能驱动 |
| 阶段三 | OpenFang | Rust · 一体化 OS,40MB / 180ms,7 Hands 自主调度,16 层安全体系 | 自动化驱动 |
OpenClaw 解决了"Agent 能做什么",ZeroClaw 解决了"Agent 跑得快不快",而 OpenFang 解决的是第三个问题:Agent 能不能脱离人工干预,自己按流程把事情做完?这是一个质变,不是功能的累加。
二、什么是 Agent OS?和普通框架有什么本质区别
OpenFang 把自己定位为"Agent Operating System",这个说法背后有具体的工程含义,不只是营销词汇。
传统 Agent 框架(CrewAI、LangGraph、OpenClaw)的设计思路是工具包:给你抽象接口,你自己组装。并发调度、持久化、安全隔离、通道管理,全都需要开发者自己处理。
Agent OS 把这些系统级问题全部收进框架内核,像操作系统一样统一托管,应用层只需要声明意图。
| 对比项 | 传统工具包框架 | Agent OS(OpenFang) |
|---|---|---|
| 安全隔离 | 自己写 | 框架统一托管 |
| 持久化 | 自己接 | 框架统一托管 |
| 通道接入 | 自己配 | 框架统一托管 |
| 并发调度 | 自己管 | 框架统一托管 |
| 开发者负担 | 重,系统问题需自行解决 | 轻,专注业务逻辑即可 |
| 适合场景 | 灵活定制 | 生产级稳定部署 |
OpenFang 技术规格:
- 14 Crates · 137K 行 Rust · 单一二进制交付
- Zero clippy warnings · Cold Start 180ms · Install 32MB
- 安装:
curl -fsSL https://openfang.sh/install | sh
用一个类比来理解:传统框架像 Docker 镜像,你自己决定装什么;而 OpenFang 更像 Kubernetes——它把调度、服务发现、资源隔离全部变成了基础设施,你只需要描述"我要跑什么"。
三、Hands:让 Agent 真正"主动干活"
普通 Agent 就像接单的外包:你说一件事,它做一件事,流程断了就要人来接。而 Hands 更像一个有完整 SOP 的员工——交代好目标,它自己按流程跑,出了结果再来汇报,中间不需要人工介入。
每个 Hand 内部自带四样东西:运行计划(什么时候跑)、专家知识库(SKILL.md)、工具调用权限、Dashboard 指标。激活之后,它知道自己该干什么、什么时候干、干完把结果送到哪,整条流程实现闭环。
Hands 工作机制 vs 普通 Agent
| 普通 Agent(被动响应) | Hands(主动自主) |
|---|---|
| 👤 用户发起指令 | ⏰ 计划表触发 |
| 🤖 Agent 执行一步 | 📋 多阶段 SOP 执行 |
| ⚠️ 流程中断·等待 | 🔧 工具调用·知识检索 |
| 👤 人工重新介入 | 📊 结果推送 Dashboard |
| 依赖人工驱动 | 全程无需人工介入 |
7 个内置 Hands 能力概览:
- 🎬 Clip - 视频→短片
- 📊 Lead - 线索生成
- 🔍 Collector - OSINT监控
- 🔮 Predictor - 超级预测
- 🔬 Researcher - 深度研究
- 𝕏 Twitter - X账号
- 🌐 Browser - Web自动化
其中重点介绍五个:
Collector - 帮你盯着指定目标持续监控,竞对动态、舆情变化,一有异动就推送告警,同时在后台搭建知识图谱。
Lead - 每天自动跑一轮,发现潜在客户、网络调研、0~100 打分、去重,最后以 CSV 或 Markdown 格式打包送达。
Researcher - 用 CRAAP 事实核查标准交叉验证多方来源,生成带引用的研究报告,支持多语言输出。
Clip - 上传一条视频后走 8 阶段处理流水线,自动识别高光片段、剪成竖屏、加字幕、生成封面,发到平台。
Browser - 最谨慎的一个,帮你在网页上自动点按填表,但只要涉及金额交易,立刻停下来等待人工确认。
四、16 层安全体系:权限越大,防线越深
Hands 能操控浏览器、自动发帖、处理数据,所需权限远比普通 Agent 大。权限越大,安全就越关键。OpenFang 设计了 16 层独立安全机制,每一层单独运作。
16 层安全体系:纵深防御模型
| 层级 | 机制 | 功能 |
|---|---|---|
| 网络层 L1-2 | SSRF Protection, GCRA Rate Limiter | 阻断恶意网络请求,限制调用频率 |
| 认证层 L3-4 | Ed25519 Signing, HMAC-SHA256 Auth | 清单签名防篡改,双向身份核验 |
| 沙箱层 L5-6 | WASM Dual-Metered, Subprocess Isolation | 工具代码隔离运行,出错不影响主系统 |
| 数据流层 L7-9 | Taint Tracking, Path Traversal, Secret Zero | 污点追踪、路径防护、敏感信息内存清零 |
| 审计层 L10-11 | Merkle Audit Trail, Log Integrity | 哈希链记录每个操作,不可篡改 |
| 提示安全层 L12-13 | Prompt Injection Scanner, Context Boundary | 防提示词注入攻击,隔离上下文边界 |
| 进程层 L14-16 | Workspace Confined, Env-Cleared Subprocess | 文件操作限定工作区,子进程环境清空 |
🛡 强制人工确认门(Purchase Gate) 任何涉及金额交易的操作,AI 无权自行执行,必须暂停并等待人工点头确认。
安全层数对比:
- OpenFang: 16 层
- ZeroClaw: 6 层
- OpenClaw: 3 层
- 其余框架: 1-2 层
其中最值得关注的是两个机制:
-
WASM 双计量沙箱 - 工具代码跑在 WASM 里,通过燃料计数和 epoch 中断双重限制,出了问题不会影响主系统运行
-
Merkle 审计链 - 每个 Agent 操作都被记进哈希链,记录不可篡改,出现报错能精准定位,不需要靠猜翻日志
这两个设计的工程价值,在企业合规场景下会非常具体。
五、三框架横向对比:谁适合什么场景
| 维度 | OpenClaw | ZeroClaw | OpenFang |
|---|---|---|---|
| 语言 | TypeScript | Rust | Rust |
| 冷启动时间 | 5980 ms | 10 ms | 180 ms |
| 空闲内存 | 394 MB | 5 MB | 40 MB |
| 安装体积 | 500 MB | 8.8 MB | 32 MB |
| 安全层数 | 3 层 | 6 层 | 16 层 |
| 通道适配器 | 13 | 15 | 40 |
| 自主 Hands | - | - | 7 个 |
| LLM 供应商 | 10 | 2 | 8 |
| 审计追踪 | 日志 | 日志 | Merkle 链 |
| 适合场景 | JS/TS生态快速原型 | 极致性能、嵌入式/边缘 | 多通道生产、自主调度、高安全要求 |
结论:
- ZeroClaw 够轻但功能简
- OpenClaw 功能丰富但太重
- OpenFang 在功能与性能之间取得平衡,比 OpenClaw 轻 10×,比 ZeroClaw 功能丰富得多
数据来源:各框架官方文档及公开代码库,Feb 2026