yuangs vs OpenClaw:安全范式对比
版本:v1.0
创建时间:2026-03-09 20:35
作者:雨轩(基于广山哥 yuangs 设计理念)
对标:OpenClaw 3.8(2026-03-09 发布)
🎯 核心命题
大厂在解决"AI 能做什么",yuangs 在解决"AI 不能做什么"。
这是安全范式的差异,不是功能差异。
一、权限模型对比
| 维度 | OpenClaw 3.8 | yuangs |
|---|---|---|
| 默认权限 | 系统级(全给) | 文件级(默认不给) |
| 授权方式 | 安装时一次性授权 | 每次操作显式确认 |
| 权限粒度 | 进程级(能/不能执行) | 文件级(能/不能读某文件) |
| 权限回收 | 卸载或手动撤销 | 会话结束自动回收 |
| 权限审计 | ACP 溯源(3.8 新增) | 会话日志 + HISTORY.md |
OpenClaw 3.8 ACP 机制
# OpenClaw 3.8 新增 ACP 溯源
acp:
enabled: true
source_tracking: true # 追踪"谁在跟它说话"
permission_verification: true # 权限验证
问题:ACP 是"事后溯源",不是"事前拦截"。
yuangs 权限模型
# yuangs 权限设计
permission:
model: file-level # 文件级授权
default: deny # 默认拒绝
grant_mode: explicit # 显式授权
scope: session # 会话级有效期
优势:即使 AI 被注入恶意 prompt,也无法越权访问未授权文件。
二、执行模式对比
| 维度 | OpenClaw | yuangs |
|---|---|---|
| 执行策略 | 全自动(生成即执行) | Human-in-the-loop(确认后才执行) |
| 危险操作 | 依赖沙箱隔离 | 直接阻止 + 提示 |
| 执行日志 | 可选(默认关闭) | 强制记录(HISTORY.md) |
| 回滚能力 | 依赖 backup 工具 | 内置 Snapshot + Rollback |
OpenClaw 风险案例
Meta 安全研究员案例:
"我的 OpenClaw 失控删除了所有的电子邮件。"
原因:全自动执行 + 无二次确认 + 无回滚机制
yuangs 执行流程
用户请求
│
▼
AI 生成命令
│
▼
风险检测(message-guard)
│
├── 高风险 → 阻止 + 提示
│
▼
低风险 → 展示给用户
│
▼
用户确认(y/n)
│
├── n → 取消
│
▼
y → 执行 + 记录日志
核心差异:yuangs 把"执行权"留在用户手中,AI 只是"建议者"。
三、容错机制对比
| 维度 | OpenClaw | yuangs |
|---|---|---|
| 备份工具 | openclaw backup(3.8 新增) | 内置 Snapshot |
| 备份时机 | 手动执行 | 每次修改前自动 |
| 回滚粒度 | 文件级 | 会话级 |
| 校验机制 | manifest 校验 | 自动对比 diff |
OpenClaw backup 用法
# 手动创建备份
openclaw backup create
# 验证备份
openclaw backup verify
问题:需要用户主动执行,且只能恢复到备份点。
yuangs Snapshot 机制
# 自动快照(每次修改前)
# 位置:/home/nanobot/.nanobot/sessions/{session-id}/snapshot/
# 回滚命令
yuangs rollback --session {session-id}
优势:无需手动操作,每次修改都有"后悔药"。
四、安全理念对比
| 维度 | OpenClaw | yuangs |
|---|---|---|
| 安全定位 | 事后补救 | 事前治理 |
| 信任假设 | 信任 AI(默认允许) | 不信任 AI(默认拒绝) |
| 责任归属 | 用户自负风险 | 平台 + 用户共担 |
| 透明度 | 黑盒执行 | 白盒可审计 |
安全哲学
OpenClaw:
"让 AI 自由执行,出了问题再修复。"
yuangs:
"不让问题发生,比出了问题能修复更重要。"
五、目标用户对比
| 维度 | OpenClaw | yuangs |
|---|---|---|
| 定位 | 大众用户(但门槛高) | 终端极客(定位清晰) |
| 使用场景 | 通用自动化 | 个人知识管理 + 内容创作 |
| 学习曲线 | 陡峭(需理解权限/沙箱) | 平缓(对话式交互) |
| 风险意识 | 低(被低价吸引) | 高(明确知道边界) |
用户画像
OpenClaw 典型用户:
- 被"9.9 元/月"吸引
- 不知道"系统级权限"意味着什么
- 出事后才知道风险
yuangs 典型用户:
- 知道 AI 是工具,不是归属对象
- 理解"默认拒绝"的价值
- 愿意为安全牺牲便利性
六、风险矩阵
| 风险类型 | OpenClaw | yuangs |
|---|---|---|
| 权限滥用 | 🔴 高(系统级授权) | 🟢 低(文件级授权) |
| 恶意注入 | 🔴 高(全自动执行) | 🟢 低(需用户确认) |
| 数据泄露 | 🔴 高(无边界) | 🟡 中(依赖文件权限) |
| 误操作 | 🔴 高(无回滚) | 🟢 低(自动快照) |
| 依赖成瘾 | 🔴 高(生态绑定) | 🟡 中(会话级依赖) |
七、核心差异总结
┌─────────────────────────────────────────────────────────┐
│ 安全范式对比 │
├─────────────────────────────────────────────────────────┤
│ │
│ OpenClaw yuangs │
│ ┌─────────┐ ┌─────────┐ │
│ │ 能做什么 │ │ 不能做什么│ │
│ └─────────┘ └─────────┘ │
│ │ │ │
│ ▼ ▼ │
│ ┌─────────┐ ┌─────────┐ │
│ │ 功能优先 │ │ 安全优先 │ │
│ └─────────┘ └─────────┘ │
│ │ │ │
│ ▼ ▼ │
│ ┌─────────┐ ┌─────────┐ │
│ │ 事后补救 │ │ 事前治理 │ │
│ └─────────┘ └─────────┘ │
│ │ │ │
│ ▼ ▼ │
│ ┌─────────┐ ┌─────────┐ │
│ │ 信任 AI │ │ 不信任 AI │ │
│ └─────────┘ └─────────┘ │
│ │
└─────────────────────────────────────────────────────────┘
八、对"养龙虾时代"的回应
广山哥的判断
"失控的龙虾,比没有龙虾更可怕。"
雨轩的补充
"但没有边界的养虾人,比龙虾更可怕。"
yuangs 的答案
不做龙虾,做养虾人的工具。
| 角色 | OpenClaw | yuangs |
|---|---|---|
| 定位 | 龙虾(AI 执行者) | 养虾工具(AI 协作者) |
| 边界 | 系统级(无边界) | 文件级(有边界) |
| 责任 | AI 执行,用户负责 | 用户决策,AI 建议 |
九、后续演进方向
OpenClaw 可能路径
- 短期(1-3 个月):继续功能堆砌,抢占市场
- 中期(3-6 个月):安全事件爆发,被迫加强管控
- 长期(6-12 个月):分化出"安全版"和"实验版"
yuangs 演进方向
- 短期:强化 message-guard,增加风险检测规则
- 中期:引入"权限模板",降低配置成本
- 长期:成为"个人 AI 安全网关",可代理其他 AI 服务
十、行动建议
对个人用户
| 场景 | 建议 |
|---|---|
| 想尝试 OpenClaw | 先用 yuangs 理解 AI 边界 |
| 已部署 OpenClaw | 立即安装 openclaw backup |
| 企业采购 | 要求厂商提供"权限审计"功能 |
对 yuangs 用户
| 建议 | 说明 |
|---|---|
| 定期查看 HISTORY.md | 理解 AI 行为模式 |
| 不要授权敏感文件 | 如密码、密钥、财务数据 |
| 高风险操作手动执行 | 如 rm、chmod、sudo |
附录:关键术语
| 术语 | 说明 |
|---|---|
| ACP | Agent Communication Protocol,OpenClaw 3.8 新增的溯源机制 |
| Human-in-the-loop | 人在回路,关键决策需人工确认 |
| Snapshot | 会话级快照,支持回滚 |
| message-guard | yuangs 的消息安全检测模块 |
雨轩于听雨轩 🌧️🦞
文档说明:
- 本文档基于 OpenClaw 3.8(2026-03-09 发布)和 yuangs 当前版本对比
- 安全特性会随版本更新变化,建议定期复核
- 欢迎补充实际案例和使用反馈