OpenClaw Agent 核心规则体系深度解构
·
OpenClaw Agent 核心规则体系深度解构
OpenClaw Agent 的核心规则,旨在解决一个根本性矛盾:如何赋予一个基于LLM的、具有“黑盒”特性的程序以高系统权限,同时确保其行为安全、可控、可预测且高效。 这套规则体系是工程化、系统化的,而非简单的提示词约束。
第一章:根本性原则——规则体系的基石
第二章:安全边界规则——构建“带围墙的花园”
这是最核心的约束层,分为静态装配和动态检查。
- 安全与可控优先于能力与自主
- 体现:所有设计都默认“不信任”。Agent默认运行在最低必要权限下,任何权限提升(如
sudo、删除文件、访问网络)都需要显式授权和/或人工确认。 - 文档依据:安全部署指南中强调“永远不要以root身份运行”、“网络锁定仅绑定127.0.0.1”、“红线规则(如禁止
rm -rf)必须写入记忆”。
- 体现:所有设计都默认“不信任”。Agent默认运行在最低必要权限下,任何权限提升(如
- 文件即真相,文件即规则
- 体现:Agent的人格、记忆、配置、技能均以纯文本文件(Markdown/JSON)形式存在于工作区。这实现了:
- 可版本控制:所有规则变更可追溯、可回滚。
- 持久化与可移植:Agent“是谁”由其文件定义,与进程生命周期解耦。
- 透明与可审计:所有规则对人类可读、可编辑。
- 文档依据:
SOUL.md、AGENTS.md、USER.md、MEMORY.md等文件构成Agent的“ALL-IN-ONE Workspace”。
- 体现:Agent的人格、记忆、配置、技能均以纯文本文件(Markdown/JSON)形式存在于工作区。这实现了:
- 关注点分离与架构解耦
- 体现:Gateway(控制平面) 与 Agent Engine(计算平面) 严格分离。Gateway负责安全、路由、状态管理;Agent只负责“思考”和“提议行动”。执行动作的审批和路由由Gateway控制。
- 文档依据:文档指出“OpenClaw的做法是把Agent的控制逻辑上提到Gateway...Agent本身只需要专注于推理与执行”。
第三章:执行与行为规则——规范“思考与行动”的循环
- 工具调用权限的静态过滤(能力边界)
- 规则:Agent在启动前,Gateway会根据配置(
openclaw.json中的tools.allow列表)为其预装配一个过滤后的工具集。Agent甚至不知道那些被禁用的工具存在。 - 颗粒度:权限可细化到工具级别(如允许
file_read但禁止file_write)。在配置中,高危工具列表(如shell)默认为空。 - 文档依据:“能力过滤在Agent启动前完成。Agent拿到的只是一个已经筛选好的工具集合。”
- 规则:Agent在启动前,Gateway会根据配置(
- 运行时操作的动态门控(安全审批)
- 规则:当Agent提议的操作触及“信任边界”时,会触发人机回环。例如:删除文件、发送邮件、调用付费API、执行远程节点命令。
- 颗粒度:审批可配置。例如,本地文件操作可能自动批准,但涉及网络或系统的操作必须人工确认。文档中“黄线规则”要求记录,而“红线规则”要求中断并询问。
- 文档依据:“在执行过程中跨越信任边界时,Gateway才会介入...例如,当目标是远程Node时,系统才启动审批与安全策略。”
- 交互入口的访问控制(身份边界)
- 规则:通过三层机制决定“谁可以和Agent对话”:
- DM配对:未知用户私聊需一次性验证码,防止滥用。
- 白名单:
allowFrom列表中的用户/群组可直接访问。 - 群聊提及:
requireMention策略确保Agent只在被@时才在群聊中响应,避免干扰和token浪费。
- 文档依据:
OpenClaw橙皮书中详细描述了DM Pairing Policy和allowFrom机制。
第四章:协作与隔离规则——定义“多智能体社会”的法则
- Agent Loop的序列化与状态管理
- 规则:同一会话(Session)内的Agent循环是严格序列化的。同一时间只能处理该会话的一个“回合”(turn),避免工具调用和状态更新的竞态条件。
- 实现:通过会话锁和全局队列实现。
Per-session Queue保证对话一致性,Global Queue避免资源竞争。 - 文档依据:
Pi Agent Runtime工作机制中描述了“序列化执行模型”和队列系统。
- 上下文与记忆的加载规则
- 规则:系统提示词的组装遵循确定性的文件加载顺序和裁剪策略。
- 强制加载:
SOUL.md(人格宪法)、AGENTS.md(工作手册)每次会话启动时必读。 - 按需加载:
MEMORY.md(长期记忆)通过语义搜索(memory_search)触发检索,而非全量灌入,以节省Token。 - 分层管理:上下文接近Token上限时,触发智能压缩:将详细历史归档到每日日志,仅将精炼摘要保留在对话上下文中。
- 强制加载:
- 文档依据:“记忆召回规则”明确写道:“...先查记忆,再说话。” 上下文管理策略图展示了智能截断和压缩逻辑。
- 规则:系统提示词的组装遵循确定性的文件加载顺序和裁剪策略。
- 任务执行的终止与防呆规则
- 规则:防止Agent陷入无限循环或失控执行。
- 最大回合限制:默认限制连续工具调用回合数(通常25-50回合),超过则触发
max_turns_exceeded错误。 - 超时控制:每个回合或全局任务有强制超时机制。
- 预算限制:可设置每日API消费上限,防止Token爆炸。
- 外部中断:支持通过
/stop命令或信号中断当前执行。
- 最大回合限制:默认限制连续工具调用回合数(通常25-50回合),超过则触发
- 文档依据:ReAct模式实现细节中列出了“最大回合数默认50回合”、“支持
/stop命令中断”。
第五章:经济与资源规则——实现可持续的“硅基劳动力”
- Agent间的完全隔离原则
- 规则:每个Agent是完全独立的作用域,拥有独立的工作区、会话历史、认证配置和记忆文件。严禁跨Agent重用目录。
- 目的:防止权限、会话和记忆的意外泄漏与混淆。
- 文档依据:“重要原则:永远不要跨Agent重用agentDir,这会导致认证/会话冲突。”
- 多Agent通信的显式授权规则
- 规则:Agent间通信(
agentToAgent)默认关闭,必须显式启用并配置白名单。 - 流程:通信通过专门的工具(如
sessions_send)进行,接收方会开启一个独立的子会话处理请求,结果返回给发起方。这确保了上下文隔离。 - 文档依据:多Agent协作配置示例中展示了
agentToAgent的enabled和allow白名单配置。
- 规则:Agent间通信(
- 消息路由的确定性规则
- 规则:Gateway采用 “最具体匹配优先” 的路由逻辑。先匹配精确绑定的渠道/群组/用户,最后才落入默认Agent。
- 颗粒度:可以在
openclaw.json中为不同渠道、不同群组、甚至不同关键词绑定不同的Agent。 - 文档依据:路由机制详解部分阐述了该原则,确保了在复杂企业环境中消息能被精准投递。
总结:规则体系的本质
OpenClaw Agent的核心规则体系,本质上是一个 “宪法-法律-执行细则” 的多层治理框架:
这套规则的成功之处在于,它没有试图“教AI做人”,而是通过精密的系统设计,为AI的能力套上了一个可编程、可审计、可扩展的“规则笼子”,使其从一个不可控的“黑盒”转变为一名可靠、高效、职责明确的“数字员工”。这正是OpenClaw能从众多Agent框架中脱颖而出的关键工程智慧。
- 模型调用的成本与降级规则
- 规则:支持配置主模型和备用模型(
fallbacks)链。当主模型不可用或响应不佳时,自动降级到更经济的模型。 - 颗粒度:可以为不同Agent分配不同模型。例如,写作Agent用高性能模型(Claude Opus),巡检Agent用低成本模型(DeepSeek)。
- 文档依据:模型配置示例展示了
primary和fallbacks的配置,以及按Agent分配模型的策略。
- 规则:支持配置主模型和备用模型(
- 技能加载的按需与缓存规则
- 规则:技能(Skills)的快照在新会话的第一轮构建,之后多轮对话复用,不会重复扫描文件系统。
- 目的:减少系统提示词膨胀,提升响应速度,降低Token消耗。
- 文档依据:“会话内一致性:Skill快照只会在新会话的第一轮构建,之后的多轮对话都会复用。”
- 宪法层:由
SOUL.md和架构哲学定义(安全第一、文件即真相)。 - 法律层:由
openclaw.json配置、AGENTS.md工作手册和Gateway的核心逻辑实现(权限控制、路由规则、通信协议)。 - 执行细则层:由运行时机制(队列、超时、压缩)和记忆文件(
MEMORY.md,USER.md)动态调整。
- 规则:防止Agent陷入无限循环或失控执行。
- 规则:通过三层机制决定“谁可以和Agent对话”:
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
10
0- 0
已为社区贡献32条内容
所有评论(0)