OpenClaw: osobni AI agent u vašim chatovima — i zašto je sigurnost pola proizvoda

OpenClaw je open-source platforma za osobnog AI agenta koju pokrećete na vlastitom računalu i koristite iz WhatsAppa/Telegrama/Slacka/Discorda. Objašnjavamo Gateway kao control plane, kanale i Skills/ClawHub, pokazujemo praktične “riješene” slučajeve (Inbox Zero, release koordinator, content scout) te uspoređujemo cijeli niz alternativa (LangGraph, AutoGen, CrewAI, OpenHands, n8n, Dify, Flowise, AutoGPT, Open Interpreter) uz hardening checklistu.

22. velj 2026.· 9 min čitanja· Tehnologija

Razgovaraj s PAS7 Studio o agentima i hardeningu

OpenClaw: naslovnica o partnerstvu s VirusTotalom za skeniranje Skills u ClawHubu

Podijeli

Što ćete ponijeti iz ovog članka

Nije “hype recap”, nego radni okvir: što je OpenClaw, gdje je jak, gdje je opasan, i kako ga realno usporediti s “cijelom hrpom” alternativa.

• Što je OpenClaw i zašto je local-first: vaš asistent, vaš stroj, vaši ključevi. [1][2]
• Kako je OpenClaw složen: kanali → Gateway (control plane) → sesije/alati/agenti. [2]
• Skills i ClawHub: zašto ekstenzije postaju supply-chain površina s privilegijama vašeg agenta. [2][7][8]
• 3 praktična riješena slučaja: Inbox Zero, release koordinator, content scout za blog/marketing. [2][1]
• Hardening checklist: sandbox, DM pairing, allowlist, izolacija i disciplina s kredencijalima. [2][8][9]
• Usporedba alternativa: LangGraph/AutoGen/CrewAI (frameworkovi), OpenHands (coding agent), n8n/Dify/Flowise (automatizacija/orchestracija), AutoGPT (continuous agenti), Open Interpreter (lokalni kod + kontrola računala). [11][12][13][14][18][16][17][19][15]
• Kolizija imena: “OpenClaw” je i open-source reimplementacija igre Captain Claw (1997) — drugi projekt. [20]

OpenClaw: što je to zapravo

OpenClaw je open-source platforma za osobnog AI agenta koju pokrećete na vlastitim uređajima (laptop/homelab/VPS) i povezujete s kanalima gdje već komunicirate: WhatsApp, Telegram, Slack, Discord i drugi. Glavna poruka je “Your assistant. Your machine. Your rules.” [1]

U praksi to znači dvije stvari:

1) agent je bliže vašim podacima i alatima (datoteke, e-mail, kalendar, zadaci),

2) i sigurnosna odgovornost je bliže vama (izolacija, tokeni, pravila pristupa, kontrola skills). [2][8]

README daje dobar mentalni model: “Gateway je control plane; proizvod je asistent.” Razmišljajte o runtime-u s sučeljima (kanali) i sposobnostima (skills), ne o jednom chat botu. [2]

Kako radi: kanali → Gateway (control plane) → agenti/sesije/alati

OpenClaw pokušava “agenta u chatu” tretirati kao ozbiljan sustav: control plane, sesije, politike, alati, UI/CLI.

Jednostavna shema (adaptirano iz README-a): [2]

TEXT

WhatsApp / Telegram / Slack / Discord / …
           │
           ▼
┌───────────────────────────────┐
│            Gateway            │
│         (control plane)       │
│     ws://127.0.0.1:18789      │
└──────────────┬────────────────┘
               │
               ├─ CLI (openclaw …)
               ├─ Web UI
               └─ Agent runtime (tools / sessions)

Arhitekturni signal: trebate osobnog agenta u chatovima → OpenClaw. Trebate graditi vlastite grafove/orkestraciju agenata → LangGraph/AutoGen/CrewAI. Druga kategorija. [11][12][13]

Gateway

Jedinstveni control plane za sesije, kanale, događaje, alate i UI/CLI pristup. [2]

chat površine

Povežete messengere/chat aplikacije da agent odgovara tamo gdje radite. [1][2]

ekstenzije

Skills proširuju mogućnosti, ali nasljeđuju privilegije pa postaju supply-chain rizik. [7][8]

Gateway Control Panel UI: upravljanje kanalima/integracijama i operiranje agentom. Izvor: Bitsight. [10]

Quick start: kako izgleda “ozbiljna” instalacija

Preporučeni put u README-u je onboarding wizard. Minimalno: instalirate CLI → openclaw onboard → pokrenete gateway → pošaljete test poruku ili pričate s agentom. [2]

BASH

npm install -g openclaw@latest

openclaw onboard --install-daemon

openclaw gateway --port 18789 --verbose

openclaw message send --to +1234567890 --message "Hello from OpenClaw"

openclaw agent --message "Ship checklist" --thinking high

Nakon toga dolaze politike pristupa (DM pairing, sandbox za grupne sesije) i higijena tajni/tokena. OpenClaw čak predlaže openclaw doctor za otkrivanje rizičnih postavki. [2]

3 riješena slučaja: kako bismo to radili u PAS7 Studio

Ispod su tri pattern-a koji donose korist već u prvom tjednu. Ne trebaju “AGI”, ali trebaju ograničenja i operativnu disciplinu.

Slučaj 1 — Inbox Zero bez “samostalnog slanja”

Cilj: agent čita/klasificira/piše nacrte, ali konačno slanje uvijek potvrđuje čovjek.

• Pravilo #1: agent nikad ne šalje e-mail bez eksplicitnog odobrenja (human-in-the-loop).
• Pravilo #2: sav ulaz je nepouzdan (e-mail je savršen nositelj prompt injectiona). [8][9]
• Tok: triage → kratki sažeci → 2–3 nacrta odgovora → pitanja za kontekst → approve.
• Artefakt: dnevni “Inbox digest” u Telegram/Slack + automatsko labeliranje.
• Kredencijali: least-privilege OAuth/tokeni i odvojeni pilot inbox za rollout. [8]
• Tim: Microsoft preporučuje izolaciju (VM/odvojeni uređaj) i tretiranje kao untrusted execution s persistent credentials. [8]

Slučaj 2 — Release koordinator u chatu: checklist, brief, post-release report

Cilj: manje ljudskih grešaka u releaseu. Agent je operator: skuplja kontekst i priprema sažetke, ali kritične akcije su approval-gated.

• Ulaz: u release kanalu napišete “Ship checklist” (README primjer) i agent generira checklist za vaš stack. [2]
• Artefakti: linkovi na changelog, migracije, feature flagovi, rollback plan.
• Gate: sve što mijenja infra/prod ide tek nakon odobrenja.
• Izlaz: post-release izvještaj: što je shipped, što je rollbackano, action items.
• Hardening: za grupe/kanale uključite sandbox za non-main sesije u Dockeru, kao u README-u. [2]

Slučaj 3 — Content scout: izvori → draft → PR spreman post

Cilj: pronaći tehničku temu/trend → prikupiti izvore → outline u vašem formatu → PR za review.

• Stroga politika: agent ne izmišlja činjenice; radi iz izvora i dodaje citate za svaku ključnu tvrdnju.
• Tok: (1) prikupljanje linkova, (2) extraction teza, (3) outline, (4) draft, (5) realne slike iz izvora, (6) PR.
• Sigurnost: skills koji dohvaćaju vanjski sadržaj otvaraju indirektan prompt injection (sadržaj može nositi instrukcije). Microsoft i Snyk naglašavaju ovaj rizik. [7][8]
• Praksa: odvojite content workflow u zasebni workspace/agent bez pristupa prod tajnama.

Sigurnost OpenClaw-a: realnost i minimalna sigurna pozicija

Agenti spajaju nepouzdan input + mogućnost akcije + dugotrajne tokene. To mijenja granicu sigurnosti: planirate containment i recovery, ne samo prevenciju. [8]

Minimum hardening:

- Izolacija: Microsoft preporučuje evaluaciju samo u izoliranom okruženju (VM/odvojeni uređaj), s odvojenim neprivilegiranim računima i bez osjetljivih podataka. [8]

- DM politike: README opisuje DM pairing kako nepoznati pošiljatelji ne mogu odmah injektirati naredbe. Obavezno. [2]

- Sandbox za grupe: agents.defaults.sandbox.mode: "non-main" pokreće non-main sesije u Docker sandboxu i smanjuje blast radius. [2]

- Skills: tretirajte kao privilegirani kod. “Install by default” je loš default. Snyk pokazuje značajan dio skills s kritičnim problemima i hostile patternima. [7]

- Defense in depth: skeniranje je sloj, ne garancija. OpenClaw to eksplicitno kaže. [3]

YAML

agents:
  defaults:
    sandbox:
      mode: "non-main"

Curenje tokena

Kredencijali/podaci mogu biti eksfiltrirani: agent djeluje s privilegijama koje ste mu dali. [8][7]

Trovanje memorije

Trajno stanje može biti manipulirano tako da agent dugoročno slijedi injektirana pravila. [8]

Kompromitacija hosta

Ako agent bude potaknut da preuzme/izvrši kod (skill ili instrukcija), kompromitacija može završiti na hostu. [8][9]

“Poisoned Skill”: tipičan put kompromitacije kroz javni skills registry. Izvor: Microsoft Security Blog. [8]

Brzi rast ekosustava znači brzi rast supply-chain rizika. Izvor: Snyk ToxicSkills. [7]

Skeniranje skills: važno, ali nije dovoljno

OpenClaw je najavio integraciju s VirusTotalom za skeniranje skills u ClawHubu: deterministic packaging → hash → VT lookup/upload → code insight → oznake/blokiranje → dnevni re-scan. To je dobar sloj defense-in-depth. [3]

Ali post je jasan: nije silver bullet. “Clean” ne znači “safe”, a prompt injection može proći mimo signatura. Trebaju slojevi: politike pristupa, izolacija, least privilege, review skills, monitoring i plan za rebuild. [3][8]

Alternative OpenClaw-u: puno ih je, ali nisu ista kategorija

Za fer usporedbu, prvo razvrstajte alate po cilju:

1) Osobni self-hosted agent u chatu (OpenClaw kategorija)

- OpenClaw: kanali + gateway + runtime + skills. [1][2]

2) Frameworkovi za gradnju agent sustava (vi gradite runtime/grafove)

- LangGraph: orkestracija stateful, long-running agenata. [11]

- AutoGen: multi-agent framework za kolaboraciju agenata. [12]

- CrewAI: role-based multi-agent automatizacija. [13]

3) Coding agenti (repo, testovi, PR)

- OpenHands: platforma za cloud coding agents. [14]

4) Automatizacija/orchestracija s agentima (low/no-code)

- n8n AI Agent node: agent kao čvor u workflowu s alatima. [18]

- Dify: platforma za agentic workflows + RAG + ops. [16]

- Flowise: vizualni builder za agente i chainove. [17]

5) Lokalno izvršavanje koda / kontrola računala

- Open Interpreter: LLM pokreće kod lokalno (shell/python/js). [15]

6) Continuous agent platforme

- AutoGPT: platforma za continuous agente. [19]

TEXT

Osobni agent u WhatsApp/Telegram → OpenClaw.
Graf orkestracija + checkpointing + HITL → LangGraph.
Multi-agent role & collaboration → AutoGen/CrewAI.
PR-ovi i testovi → OpenHands.
Workflow automatizacija s integracijama → n8n/Dify/Flowise.
Lokalno izvršavanje / kontrola računala → Open Interpreter.

Napomena: “OpenClaw” je i reimplementacija igre Captain Claw (1997)

U pretraživanju možete naići i na OpenClaw kao open-source reimplementaciju platformera Captain Claw (1997). To je drugi C++ game projekt, nevezan uz AI agent platformu. [20]

ČPP

Je li OpenClaw chatbot ili agent platforma?

Više platforma: kanali (messengeri), Gateway kao control plane, sesije/alati i skills kao ekstenzije. README to uokviruje kao: Gateway je control plane; proizvod je asistent. [2]

Je li sigurno pokretati OpenClaw na poslovnom laptopu s prod pristupima?

Microsoft savjetuje suprotno: tretirati kao untrusted execution s persistent credentials i evaluirati samo u izolaciji (VM/odvojeni uređaj), s odvojenim neprivilegiranim računima i bez osjetljivih podataka. [8]

Rješava li VirusTotal skeniranje rizik skills?

To je koristan sloj defense-in-depth, ali ne garancija. Službeni post naglašava da skeniranje ne hvata sve i da prompt injection može proći mimo signatura. [3]

Kako minimizirati rizik skills?

Tretirati skills kao privilegirani kod: allowlist, review, least privilege, izolacija i odvojeni workspaces bez prod tajni. Snyk pokazuje realan supply-chain pritisak u ekosustavu. [7][8]

S čim usporediti OpenClaw za coding zadatke?

S coding-agent sustavima poput OpenHands. OpenClaw je primarno osobni agent u chatovima s integracijama; druga kategorija. [14]

Izvori

Uključujemo samo izvore koji izravno podupiru tvrdnje i primjere u članku. Slike u postu su realne i preuzete iz ovih primarnih izvora (zatim spremljene lokalno kao .webp).

Želite agenta bez “viška rizika”?

OpenClaw nudi jak UX: agent u chatovima koji može raditi akcije. No vrijednost u produkciji dolazi tek kad je sigurnost dio dizajna: izolacija, least privilege, politike pristupa, kontrola skills, monitoring i plan oporavka.

PAS7 Studio može pomoći: brzi audit rizika, baseline hardening, i 2–3 production-ready workflowa (inbox/release/content) s human approval i kontroliranim blast radiusom.

Želite agenta “viška OpenClaw službeni repozitorij