如果你在 2026 年评估 AI 智能体运行时,你可能已经注意到这个领域和一年前看起来非常不同。OpenClaw 在 2024 年和 2025 年大部分时间里主导了这个领域,现在正在应对严重的安全危机。ZeroClaw 已经成为增长最快的替代方案。PicoClaw 为想要简洁、可定制的开发者开辟了一个细分市场。
在它们之间做选择不只是技术决策——它是一个关于你重视什么的声明:生态系统规模、性能、安全性、简洁性,或者这四者的某种组合。这篇横评试图给你做出这个判断所需的信息。
三个项目
OpenClaw 是原版。它于 2023 年作为 TypeScript/Node.js 项目起步,通过活跃的插件生态系统快速增长,现在有超过 300,000 个 GitHub star。它的 Web UI 精致,插件市场(ClawHub)有数千个扩展,社区庞大。它目前也在应对 CVE-2026-25253(一键 RCE,CVSS 8.8)和 CVE-2026-26327(认证绕过),这动摇了对该项目的信心。
ZeroClaw 是优先考虑性能和安全性而非生态系统规模的 Rust 原生重写版本。它于 2024 年底推出,到 2026 年初达到 18,000+ GitHub star,增长速度超过该领域任何其他运行时。它空闲时使用 4MB RAM,启动时间不到 10 毫秒,作为单个无依赖二进制文件发布。它没有插件市场——这是有意为之的设计。
PicoClaw 是一个基于 Python 的极简分支,源于社区对比 OpenClaw 更简单、更易于定制的东西的渴望。它功能集更小,社区更小,攻击面也更小。它的吸引力在于你可以在一个下午读完整个代码库,完全理解它在做什么。
性能:真正重要的数字
这些运行时之间的性能差距比大多数人预期的要大,而且对部署选项和运营成本有实际影响。
| 指标 | OpenClaw | ZeroClaw | PicoClaw | |--------|----------|----------|----------| | RAM(空闲) | ~1.2 GB | ~4 MB | ~180 MB | | 冷启动 | ~8 秒 | <10 毫秒 | ~3 秒 | | 二进制大小 | ~800 MB(含 node_modules) | ~12 MB | ~50 MB(含依赖) | | 语言 | TypeScript | Rust | Python | | 最低硬件 | 2GB RAM VPS | $10 单板机 | 512MB RAM VPS |
ZeroClaw 的数字不是营销——它们是 Rust 零成本抽象和单二进制架构的直接结果。没有需要初始化的 JavaScript 运行时,没有在后台运行的垃圾收集器,没有需要加载到内存中的 1,200 个包的依赖树。二进制文件启动,读取配置,在毫秒内就准备好处理消息了。
OpenClaw 的数字反映了其架构的代价。Node.js 是一个有能力的运行时,但它携带着难以消除的开销。V8 引擎、模块系统和依赖树都需要在处理第一条消息之前初始化。这就是为什么 OpenClaw 最少需要 2GB VPS 并且需要 8 秒才能启动。
PicoClaw 处于中间位置。Python 的解释器比 Node.js 轻,但与原生二进制相比仍然有相当大的开销。180MB 空闲 RAM 使用和 3 秒冷启动对许多使用场景是可以接受的,但它们排除了 OpenClaw 无法处理的同样受限硬件场景。
安全性:差距最大的地方
2026 年的安全比较是鲜明的,值得直说。
OpenClaw 目前正在应对两个严重 CVE。CVE-2026-25253 允许一键远程代码执行——攻击者可以构造一个恶意链接,当 OpenClaw 用户点击时,在他们的机器上执行任意代码。CVE-2026-26327 允许在暴露实例上绕过认证。超过 42,000 个 OpenClaw 实例被发现直接暴露在公网,ClawHub 上 41.7% 的已发布插件被发现包含漏洞。这些不是小问题;它们是根本性的架构问题,在不破坏 OpenClaw 社区所依赖的插件生态系统的情况下很难修复。
ZeroClaw 的安全模型从不同的假设出发。Rust 的所有权系统在编译时消除了缓冲区溢出、释放后使用漏洞和数据竞争——这些漏洞类别历史上一直是系统软件 CVE 的来源。网关配对要求对远程访问进行加密认证,而不仅仅是密码。默认拒绝白名单模型意味着插件只能访问它们被明确授予权限访问的内容。而且没有插件市场消除了使 ClawHub 恶意插件活动成为可能的供应链攻击面。
PicoClaw 的安全故事更简单:它功能更少,所以攻击面更小。没有插件市场,没有 Web UI,没有远程访问功能。权衡是也没有正式的安全模型,没有审计,Python 的动态特性意味着运行时类型错误可能导致意外行为。对于在受信任机器上的个人使用,这可能没问题。对于处理敏感数据的生产部署,这是需要仔细评估的风险。
频道支持
ZeroClaw 开箱即支持 30+ 个频道,包括 WhatsApp、Telegram、Discord、Slack、Signal、Matrix、IRC 和 Lark/DingTalk。OpenClaw 通过其插件系统支持 15+。PicoClaw 支持 5 个。
| 频道 | OpenClaw | ZeroClaw | PicoClaw | |---------|----------|----------|----------| | WhatsApp | 是 | 是 | 是 | | Telegram | 是 | 是 | 是 | | Discord | 是 | 是 | 是 | | Slack | 是 | 是 | 否 | | Signal | 社区 | 是 | 否 | | Matrix | 社区 | 是 | 否 | | IRC | 社区 | 是 | 否 | | Lark/DingTalk | 社区 | 是 | 否 | | Web UI | 内置 | 通过网关 | 基础版 | | 总计 | 15+ | 30+ | 5 |
更有趣的区别是新频道如何被添加。ZeroClaw 的 trait 驱动架构意味着添加新频道就是实现一个 Rust trait——通常是 50-100 行编译器验证正确性的代码。OpenClaw 使用插件系统,频道集成是 npm 包。PicoClaw 需要 fork 仓库并直接添加集成。
AI 提供商支持
三者都支持主要提供商:OpenAI、Anthropic、Google 和用于本地模型的 Ollama。ZeroClaw 还额外开箱支持 Groq、xAI、Mistral、DeepSeek 和 Perplexity。在 ZeroClaw 中切换提供商只需改 config.toml 中的一行——不需要修改代码,不需要安装插件,不需要重新编译。
每个选择背后的架构哲学
理解每个项目为什么做出其架构选择有助于预测它们将如何演变。
OpenClaw 选择了可访问性。JavaScript 是最广为人知的语言,插件易于编写,Web UI 降低了非技术用户的入门门槛。这些选择推动了快速采用。它们也创造了现在正在造成问题的安全和性能特征。将安全性改造到宽松架构上是真正困难的,OpenClaw 团队现在正在发现这一点。
ZeroClaw 选择了正确性。Rust 在编译时强制执行内存安全,trait 系统确保类型安全的可扩展性,单二进制消除了部署复杂性。这些选择使 ZeroClaw 更难贡献——Rust 的学习曲线比 TypeScript 更陡——但它们也使其默认更可靠、更安全、性能更好。
PicoClaw 选择了简洁性。Python 可读性强,代码库小到可以完全理解,快速迭代。这种简洁性对想要理解和修改工具的开发者来说是真正有价值的。权衡是功能有限,没有正式的安全模型。
哪个适合你
如果你需要最大的插件生态系统和精致的 Web UI,并且愿意投入安全加固——防火墙、VPN 访问、定期更新、仔细的插件审查——OpenClaw 仍然是一个可行的选择。只是要对当前的安全状况保持清醒认识。
如果你关心资源效率、安全性、边缘部署或在受限硬件上运行,ZeroClaw 是生产使用的明确选择。较小的生态系统是真实的权衡,但安全和性能特征很难匹敌。
如果你想要一个用于个人项目或原型设计的极简、可定制的 Python 代码库,并且想要理解你的 AI 助手运行的每一行代码,PicoClaw 值得一看。它不像 ZeroClaw 那样生产就绪,但那也不是它想成为的。
AI 智能体运行时领域仍然年轻,这些项目之间的竞争是健康的。但轨迹是清晰的:"够用就行"的安全和"在我机器上能跑"的性能时代正在结束。生产 AI 基础设施需要像生产基础设施一样构建。