自架 AI 助理完全指南：OpenClaw vs NanoClaw vs Nanobot vs PicoClaw 安全性與效能深度比較（2026）

OpenClaw 在短短數週內突破 20 萬 stars，成為開源歷史上成長最快的專案之一。但就在開發者社群熱烈討論之際，Cisco、Kaspersky、Aikido 等資安專家卻紛紛發出警告：這是一場「安全噩夢」。2026 年 1 月的安全審計發現了 512 個漏洞（其中 8 個被列為嚴重等級），包括 API 金鑰外洩、遠端代碼執行（RCE）風險、以及 ClawHub 技能市場中的惡意程式碼。

你想要自己架設 AI 助理，卻不知道該選哪一套框架？擔心安全性漏洞？硬體規格不夠？本文提供安全優先的決策框架，深度比較 OpenClaw、NanoClaw、Nanobot、PicoClaw 四大主流工具，根據你的需求（安全性、資源限制、功能完整性）提供明確建議。

你將學到：

四大工具的安全性評估與風險分析（含威脅模型）
硬體需求實測數據（RAM、啟動時間、成本比較）
情境導向選擇框架（開發者、嵌入式玩家、企業用戶）
實際安裝指南與安全加固最佳實踐

TL;DR 快速結論

🎯 三分鐘速讀版

安全第一：選 NanoClaw（容器隔離）或 Nanobot（MCP 透明架構）

資源受限：選 PicoClaw（<10MB RAM、$10 硬體、1 秒啟動）

功能完整：選 OpenClaw（但務必使用 Docker + 安全加固）

嵌入式裝置：選 PicoClaw（支援 RISC-V/ARM 架構）

OpenClaw 風險警示：512 個漏洞、憑證外洩、RCE 攻擊——除非你完全了解風險並實施嚴格隔離，否則不推薦直接使用

OpenClaw 爆紅背後的安全危機

OpenClaw 的崛起：病毒式爆炸成長

OpenClaw（演進歷程：Clawdbot → Moltbot → OpenClaw；AI 助理核心 Clawd 暱稱「Molty」）是由 PSPDFKit 創辦人 Peter Steinberger 創建的個人 AI 助理專案（註：Peter 已於 2026/2/14 加入 OpenAI，專案轉交開源基金會維護）。這個開源工具能夠整合 15+ 通訊平台（包括 WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、iMessage、Microsoft Teams 等），讓你透過熟悉的聊天介面操控 AI 助理。

OpenClaw 的功能極為完整：

瀏覽器自動化：透過 Playwright 控制網頁操作
多代理協作：生成子代理處理複雜任務
持久化記憶系統：透過 SOUL.md 等檔案維持個性與脈絡
程式碼執行與檔案管理：直接在本機執行命令
ClawHub 技能市場：社群貢獻的 1,000+ 擴充功能

這些強大功能讓 OpenClaw 在開發者社群引發病毒式傳播，短短幾天內突破 20 萬 stars（目前），成為 GitHub 歷史上成長最快的專案之一。

安全噩夢：512 個漏洞與真實攻擊案例

然而，爆紅背後藏著嚴重的安全隱患。2026 年 1 月底的安全審計揭露了驚人事實：OpenClaw 存在 512 個安全漏洞，其中 8 個被列為嚴重等級。

Cisco 在官方部落格中直言：「像 OpenClaw 這樣的個人 AI 代理是一場安全噩夢」。Kaspersky 也發布警告，指出 OpenClaw「不適合安全使用」。Aikido Security 的分析更犀利：「試圖保護 OpenClaw 是荒謬的」。

真實風險包括：

API 金鑰明文外洩：數萬個 OpenClaw 實例被發現暴露在公開網路上，洩漏明文 API 金鑰與憑證
Prompt Injection 導致 RCE：攻擊者可透過精心設計的提示詞注入惡意指令，觸發遠端代碼執行
ClawHub 技能市場的惡意程式：研究人員在技能市場發現數百個惡意技能，其中一個技能明確指示機器人執行 curl 命令將資料外洩至攻擊者控制的伺服器
Token 劫持漏洞：單一被竊取的 Gateway Token 即可遠端連接、修改配置、執行任意命令
零點擊攻擊：僅需讀取一份 Google Doc 即可觸發攻擊鏈

儘管 OpenClaw 2026.2.12 版本修復了 40+ 漏洞，但根本問題並未解決：430,000+ 行程式碼的複雜性讓完整審核幾乎不可能。

資源膨脹問題：為何你需要 Mac mini 才能跑 OpenClaw？

除了安全問題，OpenClaw 還面臨嚴重的資源膨脹：

記憶體需求：>1GB RAM（與輕量級替代品相差 99%）
啟動時間：在單核心 0.6GHz 處理器上需要 >500 秒才能啟動
建議硬體：官方推薦 $600 美元的 Mac mini
程式碼規模：430,000+ 行（Nanobot 僅需 4,000 行，減少 99%）
依賴套件：大量外部依賴（供應鏈攻擊風險）

對於想在樹莓派或舊電腦上運行 AI 助理的使用者來說，這些需求完全無法接受。這也催生了一波輕量級替代方案的誕生。

替代方案全景：四大輕量級框架深度解析

NanoClaw：容器優先的安全架構

NanoClaw 是針對 OpenClaw 安全問題設計的輕量級替代方案，核心理念是「透過作業系統層級隔離而非應用層級權限來強化安全性」。

核心特色：

OS 層級容器隔離：每個代理運行在獨立的 Linux 容器中（macOS 使用 Apple Containers，Linux 使用 Docker）
技術棧：Node.js + Anthropic Agents SDK
單一處理序架構：Node.js 協調器管理每個群組的訊息佇列與並發控制
支援平台：WhatsApp（透過 baileys 函式庫）、記憶管理（SQLite）、排程任務

架構流程：

WhatsApp (baileys) → SQLite → Polling Loop → Container (Claude SDK) → Response

安全模型優勢：

每個群組擁有獨立的 CLAUDE.md 記憶檔案
代理僅能存取明確掛載的目錄（檔案系統隔離）
Bash 命令在容器內執行，無法影響主機系統
Prompt Injection 的「爆炸半徑」（blast radius）被限制在單一容器內

適用情境：

✅ 安全敏感應用（處理客戶資料、商業機密）
✅ 企業環境（需要稽核與隔離）
✅ 多群組管理（每個群組獨立沙盒）

優點：

✅ 容器隔離大幅降低攻擊面
✅ 透明的安全模型（OS 層級而非應用層級黑盒）
✅ 單一處理序易於監控與除錯
✅ 程式碼量遠小於 OpenClaw（約 8 分鐘可讀完）

缺點：

❌ 功能較陽春（無瀏覽器自動化、多代理協作）
❌ 主要聚焦 WhatsApp（其他平台需自行實作）
❌ 社群規模較小（相較 OpenClaw）

VentureBeat 報導指出，NanoClaw 已成功解決 OpenClaw 最大的安全問題之一，且創作者已將其應用於實際商業場景。

Nanobot：MCP 協議驅動的極簡主義

Nanobot 是由香港大學資料科學實驗室（HKUDS）開發的超輕量級 AI 助理，核心理念是「不要試圖做所有事情，而是成為工具的 Host」。

核心特色：

完整 MCP 實作：Nanobot 從零開始設計以支援 Model Context Protocol（Anthropic 提出的標準化工具介面）
技術棧：Python，僅 4,000 行程式碼（比 OpenClaw 的 430,000+ 行減少 99%）
架構理念：Host 框架，透過 MCP Server 無縫插入外部工具
自動工具發現：MCP 工具在啟動時自動發現與註冊，LLM 可直接使用

MCP 協議優勢：

標準化：任何支援 MCP 的 Host 都能重用相同工具（跨平台互通性）
透明性：標準化介面減少安全隱患，易於審核
生態系統：可使用 FastMCP 等輔助工具快速開發 MCP Server
功能齊全：支援 Tools、Prompts、Sampling、Elicitation 等完整 MCP 功能

適用情境：

✅ Python 開發者（熟悉 Python 生態系統）
✅ 需要透明架構（可完整審核程式碼）
✅ 自訂工具鏈整合（透過 MCP 擴充功能）
✅ 開發導向使用（CLI 互動模式）

優點：

✅ 極小程式碼量（4,000 行，8 分鐘可理解全貌）
✅ MCP 生態系統整合（FastMCP、官方 SDK 等）
✅ 靈活的工具擴充架構（不綁定特定平台）
✅ 標準化降低遷移成本（若未來更換工具，MCP Server 可重用）

缺點：

✅ 支援多平台整合（Telegram、Discord、WhatsApp、Feishu、DingTalk、Slack 等）
❌ 社群較小（文件與範例較少）
⚠️ 主要為 CLI 工具，但支援多種聊天平台介面

Hacker News 討論串中，開發者社群高度評價 Nanobot 的簡潔設計與 MCP 協議的前瞻性。

PicoClaw：Go 驅動的嵌入式冠軍

PicoClaw 是由硬體廠商 Sipeed 開發的超輕量級 AI 助理，專為資源受限的嵌入式環境設計。這個專案的特別之處在於：95% 的核心程式碼是由 AI 代理自動生成，展現了「AI 建構 AI 工具」的自我引導過程。

核心特色：

超輕量運行時：<10MB RAM（比 OpenClaw 節省 99% 記憶體）
極速啟動：<1 秒（即使在 0.6GHz 單核心處理器上）
技術棧：Go 原生實作（單一 binary 檔案，無外部依賴）
平台支援：Telegram（推薦）、Discord、QQ、DingTalk

硬體規格：

最低需求：10MB RAM
建議硬體：Sipeed LicheeRV Nano（$10–$15 美元，RISC-V SoC，256MB 記憶體）
架構支援：x86_64、ARM64、RISC-V（開源硬體友善）
成本優勢：$10-15 美元（比 OpenClaw 推薦的 Mac mini 便宜 98%）

效能比較（基準：0.6GHz 單核心處理器）：

啟動時間：PicoClaw <1 秒 vs OpenClaw >500 秒（快 500 倍）
記憶體佔用：PicoClaw <10MB vs OpenClaw >1GB（少 99%）
硬體成本：PicoClaw $10 vs OpenClaw $600（便宜 98%）

適用情境：

✅ 嵌入式裝置（Raspberry Pi、LicheeRV、舊電腦復活）
✅ 邊緣運算（低功耗、快速回應需求）
✅ RISC-V 開源硬體玩家
✅ 極限資源挑戰（RAM <512MB 環境）

優點：

✅ 極致資源效率（可在 $10 硬體上運行）
✅ 支援 RISC-V 架構（未來開源硬體趨勢）
✅ 單一 binary 部署（無依賴地獄）
✅ 快速啟動適合邊緣運算

缺點：

❌ 功能最少（無瀏覽器自動化、多代理）
❌ 社群與文件較少（相較 OpenClaw）
❌ 平台整合有限（主要為 Telegram/Discord）

加碼介紹：ZeroClaw 與 IronClaw（Rust 陣營）

除了上述三大主流替代方案，Rust 陣營也出現了兩個值得關注的專案：

ZeroClaw：

Rust 重寫的 OpenClaw 概念
強調記憶體安全（Rust 特性）與效能
適合 Rust 開發者或需要 memory-safe 語言的場景

IronClaw：

採用 WASM 沙盒隔離：每個不可信工具在獨立的 WebAssembly 容器中執行
明確的能力導向權限（capability-based permissions）
適合需要極致安全隔離的環境（例如多租戶服務）

這兩個專案目前仍在早期開發階段（尚無穩定的公開 Repository），僅在技術社群討論中被提及，資訊可能隨時變動。若有興趣追蹤，建議搜尋 GitHub 或 Hacker News 取得最新狀態。

決策框架：如何選擇適合你的自架 AI 助理？

框架 1：安全性優先評估矩陣

下表根據隔離模型、攻擊面、憑證安全、Prompt Injection 防禦四個維度評估各工具：

工具	隔離模型	攻擊面	憑證安全性	Prompt Injection 防禦	安全評分
OpenClaw	應用層級	極高（430k+ 行程式碼）	低（已知外洩案例）	弱	⚠️ 3/10
NanoClaw	OS 層級容器	低（最小化程式碼）	高（容器隔離）	強	✅ 8/10
Nanobot	MCP 協議沙盒	中（4k 行程式碼）	中（MCP 邊界）	良好	✅ 7/10
PicoClaw	最小運行時	極低（<10MB）	中（資源限制減少暴露）	良好	✅ 7/10

實務建議：

🔒 安全性自我檢查

若你符合以下任一情境，請選擇安全評分 ≥7 的工具：

☑️ 我會處理客戶資料或商業機密

☑️ 我需要連接生產環境 API

☑️ 我無法承受憑證外洩風險

☑️ 我會在公開網路上運行（非本機限定）

推薦工具：NanoClaw（容器隔離最強）或 Nanobot（MCP 透明可稽核）

框架 2：情境導向決策樹

根據你最在意的需求，快速定位適合的工具：

你最在意什麼？
│
├─ 🔐 安全性第一
│  ├─ 需要完整隔離（處理敏感資料）
│  │  → 推薦：NanoClaw（容器隔離）
│  └─ 需要透明架構（可稽核程式碼）
│     → 推薦：Nanobot（MCP 協議，4k 行可讀）
│
├─ 💾 資源受限
│  ├─ 嵌入式裝置（Raspberry Pi、LicheeRV）
│  │  → 推薦：PicoClaw（RISC-V/ARM 支援）
│  └─ 舊電腦/低規格（RAM <512MB）
│     → 推薦：PicoClaw（<10MB RAM）
│
├─ ⚡ 功能完整性
│  ├─ 需要完整生態系統（ClawHub、社群技能）
│  │  → 推薦：OpenClaw（務必使用 Docker + 安全加固）
│  └─ 需要瀏覽器自動化/多代理協作
│     → 推薦：OpenClaw（務必使用 Docker + 安全加固）
│
└─ 👨‍💻 開發者友善
   ├─ Python 生態系統（熟悉 pip、虛擬環境）
   │  → 推薦：Nanobot（MCP Python SDK）
   └─ Go 生態系統（偏好靜態編譯、單一 binary）
      → 推薦：PicoClaw（Go 原生）

範例應用：

情境：企業 IT 部門想為內部團隊部署 AI 助理
- 最在意：安全性（處理內部文件）
- 決策路徑：安全性第一 → 需要完整隔離 → 選擇 NanoClaw
- 理由：容器隔離確保即使 Prompt Injection 成功，攻擊範圍也被限制在單一容器內
情境：學生想在樹莓派 Zero 2W（512MB RAM）上運行 AI 助理
- 最在意：資源受限
- 決策路徑：資源受限 → 舊電腦/低規格 → 選擇 PicoClaw
- 理由：僅 PicoClaw 能在 <512MB RAM 環境下運行
情境：產品經理需要瀏覽器自動化功能（自動填寫表單、抓取網頁）
- 最在意：功能完整性
- 決策路徑：功能完整性 → 需要瀏覽器自動化 → 選擇 OpenClaw
- 重要提醒：必須使用 Docker 隔離，並實施後續章節的安全加固措施

框架 3：硬體需求與成本分析

下表提供真實硬體需求數據，幫助你評估預算與現有設備是否足夠：

工具	記憶體需求	啟動時間（0.6GHz）	最低硬體成本	架構支援
OpenClaw	>1GB	>500 秒	~$600（Mac mini）	x86_64, ARM64
NanoClaw	~100MB	~30 秒	~$50（Raspberry Pi 4）	x86_64, ARM64
Nanobot	~100MB	~30 秒	~$50（Raspberry Pi 4）	x86_64, ARM64
PicoClaw	<10MB	<1 秒	~$10（LicheeRV Nano）	x86_64, ARM64, RISC-V

成本-效能曲線分析：

💡 硬體選購建議

情況 1：已有現成設備

RAM >1GB → 所有工具皆可選擇（依需求優先級決定）

RAM 100MB-1GB → 可用 NanoClaw、Nanobot、PicoClaw

RAM <100MB → 僅 PicoClaw 可行

情況 2：需要新購設備

預算 <$20 → PicoClaw + LicheeRV Nano（$15）

預算 $50-100 → NanoClaw/Nanobot + Raspberry Pi 4（$55-75）

預算 $100-200 → NanoClaw + 迷你主機（Intel N100 等）

預算不設限 → OpenClaw + Mac mini（$600+），但安全風險需自行承擔

情況 3：舊電腦復活計劃

2010 年以後的桌機/筆電（通常 >2GB RAM）→ 優先選 NanoClaw（安全性最佳）

2008-2010 年的低階筆電（512MB-1GB RAM）→ 選 PicoClaw

更舊的設備（<512MB RAM）→ 硬體升級或放棄自架（直接使用 Claude.ai）

真實案例：

一位開發者在 Hacker News 分享，他使用 PicoClaw 在 $15 的 LicheeRV Nano 上成功運行，記憶體佔用僅 8.7MB，啟動時間 0.9 秒。相較之下，同一硬體無法運行 OpenClaw（記憶體不足）。

框架 4：功能取捨矩陣

選擇輕量級替代方案意味著犧牲某些功能。下表明確列出各工具的功能差異：

功能	OpenClaw	NanoClaw	Nanobot	PicoClaw
瀏覽器自動化	✅ 完整（Playwright）	❌ 無	❌ 無	❌ 無
多代理協作	✅ 支援	❌ 無	❌ 無	❌ 無
持久化記憶	✅ 進階（SOUL.md 等）	✅ 基礎（CLAUDE.md）	✅ 基礎	✅ 基礎
頻道整合	✅ 15+ 平台	✅ WhatsApp	✅ 多平台支援	✅ Telegram/Discord
MCP 生態系統	⚠️ 部分支援	❌ 無	✅ 完整	❌ 無
容器安全	⚠️ 可選（需自行配置）	✅ 必備（內建）	⚠️ 可選	⚠️ 可選
技能市場	✅ ClawHub（1,000+ 技能）	❌ 無	❌ 無	❌ 無
程式碼量	430,000+ 行	~8,000 行	~4,000 行	~6,000 行

取捨策略指南：

⚠️ 功能陷阱警告

不要因為「OpenClaw 功能最多」就盲目選擇。請務必問自己：

我真的需要瀏覽器自動化嗎？

若僅需「開啟特定網址」→ 所有工具皆可（透過 Markdown 連結）

若需「自動填寫表單、點擊按鈕」→ 僅 OpenClaw 支援

我會用到 ClawHub 的 1,000+ 技能嗎？

根據社群統計，80% 使用者僅用到 5-10 個常用技能

且 ClawHub 已發現數百個惡意技能，安全風險極高

我能承受 512 漏洞的風險嗎？

若處理敏感資料 → 絕對不行

若僅個人實驗 → 可接受，但需嚴格隔離（Docker + 安全加固）

結論：80% 的使用者只需要基礎聊天 + 工具呼叫功能 → 輕量級替代品已足夠

特殊需求對應：

需求：瀏覽器自動化
- 唯一選擇：OpenClaw（無替代品）
- 安全措施：Docker 隔離 + 禁用 ClawHub + 限制網路存取
需求：MCP 工具生態系統整合
- 最佳選擇：Nanobot（完整 MCP 支援）
- 優勢：可重用 FastMCP、官方 SDK 等社群工具
需求：多平台訊息整合（WhatsApp + Telegram + Slack）
- 最佳選擇：OpenClaw（15+ 平台支援）
- 次選：NanoClaw（WhatsApp）+ 自行實作其他平台

實戰指南：安裝與安全加固最佳實踐

NanoClaw 安裝與容器配置

前置需求：

Docker（Linux）或 macOS Tahoe+（使用 Apple Containers）
WhatsApp 帳號
Anthropic API Key

安裝步驟（簡化版，詳細步驟請參閱官方文件）：

Clone Repository：

git clone https://github.com/qwibitai/nanoclaw.git
cd nanoclaw

配置環境變數：

cp .env.example .env
# 編輯 .env 填入 ANTHROPIC_API_KEY

啟動容器：
```
docker compose up -d
```
連接 WhatsApp：掃描 QR Code 綁定 WhatsApp 帳號

驗證隔離：

docker exec -it nanoclaw_container ls -la /workspace
# 應僅看到掛載的目錄，無法存取主機其他檔案

安全加固 Checklist：

🔒 NanoClaw 安全強化措施
☑️ 使用唯讀掛載（read-only mounts）限制容器寫入權限
volumes:
  - ./workspace:/workspace:ro
☑️ 配置 Allowlist 限制可執行命令（編輯 CLAUDE.md）
# CLAUDE.md
你僅能執行以下命令：ls, cat, grep, python
禁止執行：rm, curl, wget, ssh
☑️ 定期審查 CLAUDE.md 記憶檔案（檢查是否有異常指令）
☑️ 監控容器資源使用（防止資源耗盡攻擊）
docker stats nanoclaw_container
☑️ 啟用容器日誌（所有操作可稽核）
docker logs -f nanoclaw_container

Nanobot 安裝與 MCP Server 整合

前置需求：

Python 3.10+
pip / poetry

安裝步驟：

安裝 Nanobot：
```
pip install nanobot-ai
```

初始化配置：

nanobot init
# 生成 config.json 配置檔

新增 MCP Server（範例：整合 FastMCP 工具）：編輯 config.json：

{
  "mcp_servers": [
    {
      "name": "search-tool",
      "command": "python",
      "args": ["-m", "fastmcp", "run", "search_server.py"]
    }
  ]
}

啟動 Nanobot：
```
nanobot start
```

MCP 工具開發範例（使用 FastMCP）：

# search_server.py
from fastmcp import FastMCP

mcp = FastMCP("search-tool")

@mcp.tool()
def search_database(query: str) -> str:
    """搜尋內部資料庫"""
    # 你的實作邏輯
    results = f"找到 {query} 的 3 筆結果..."
    return results

if __name__ == "__main__":
    mcp.run()

最佳實踐：

💡 Nanobot 優化建議
☑️ 使用虛擬環境隔離 Python 依賴
python -m venv venv
source venv/bin/activate
☑️ 定期更新 MCP Server（安全修補）
pip list --outdated
pip install --upgrade nanobot-ai fastmcp
☑️ 實作 Rate Limiting 防止 API 濫用
from functools import lru_cache
from time import time

@lru_cache(maxsize=100)
def rate_limited_call(query, timestamp):
    # 每分鐘最多 10 次呼叫
    pass
☑️ MCP Server 使用最小權限原則（僅開放必要功能）

PicoClaw 安裝與嵌入式部署

前置需求：

RISC-V/ARM/x86 裝置（最低 10MB RAM）
Telegram Bot Token（或其他支援平台）

安裝步驟：

下載對應架構的 Binary：

# 範例：ARM64
wget https://github.com/sipeed/picoclaw/releases/latest/download/picoclaw-linux-arm64
chmod +x picoclaw-linux-arm64

配置 Telegram Bot：建立 config.yaml：

telegram:
  token: "YOUR_BOT_TOKEN"
anthropic:
  api_key: "YOUR_ANTHROPIC_KEY"

執行 PicoClaw：

./picoclaw-linux-arm64 --config config.yaml

嵌入式部署實戰（LicheeRV Nano 範例）：

燒錄 Linux Image：下載 Debian/Alpine for RISC-V，燒錄至 SD 卡

透過 SSH 上傳 Binary：

scp picoclaw-linux-riscv64 root@licheerv.local:/usr/local/bin/picoclaw

配置 systemd Service（開機自動啟動）：

# /etc/systemd/system/picoclaw.service
[Unit]
Description=PicoClaw AI Assistant
After=network.target

[Service]
Type=simple
User=root
ExecStart=/usr/local/bin/picoclaw --config /etc/picoclaw/config.yaml
Restart=on-failure

[Install]
WantedBy=multi-user.target

啟用服務：

systemctl enable picoclaw
systemctl start picoclaw

監控記憶體使用：

top -p $(pgrep picoclaw)
# 應顯示 <10MB RAM 佔用

效能調校：

⚡ PicoClaw 效能優化技巧
☑️ 使用 --minimal 模式減少記憶體佔用
picoclaw --minimal --config config.yaml
☑️ 配置 Swap（若 RAM <64MB）
fallocate -l 256M /swapfile
chmod 600 /swapfile
mkswap /swapfile
swapon /swapfile
☑️ 關閉不必要服務釋放資源（範例：Raspberry Pi）
systemctl disable bluetooth
systemctl disable avahi-daemon
☑️ 使用輕量級 Linux 發行版（Alpine Linux 僅需 ~130MB 硬碟空間）

OpenClaw 安全加固策略（若你堅持使用）

若你因為特殊需求（如瀏覽器自動化）必須使用 OpenClaw，以下是必須實施的安全措施：

Docker 隔離必備配置：

# docker-compose.yml
version: '3.8'
services:
  openclaw:
    image: openclaw/openclaw:latest
    security_opt:
      - no-new-privileges:true  # 禁止提權
    cap_drop:
      - ALL  # 移除所有 Linux Capabilities
    cap_add:
      - NET_BIND_SERVICE  # 僅新增必要權限
    read_only: true  # 根檔案系統唯讀
    tmpfs:
      - /tmp  # 僅 /tmp 可寫入
    networks:
      - isolated_network  # 獨立網路
    environment:
      - OPENCLAW_SANDBOX_MODE=true

networks:
  isolated_network:
    driver: bridge
    internal: true  # 禁止對外連接

網路隔離：

使用獨立 Docker 網路，禁止直接連接外部網路
配置 Firewall 限制出站連接（僅允許 Anthropic API 端點）
禁止連接生產環境 API（使用沙盒測試環境）

憑證管理：

# 使用 Docker Secrets 儲存 API Keys
echo "sk-ant-..." | docker secret create anthropic_key -

# docker-compose.yml 引用
secrets:
  - anthropic_key

environment:
  - ANTHROPIC_API_KEY_FILE=/run/secrets/anthropic_key

技能審查流程：

🚨 重要：ClawHub 技能安全審查
❌ 絕對禁止從 ClawHub 直接安裝技能（已發現數百個惡意技能）

✅ 手動審查每個技能的完整程式碼（檢查是否有 curl、fetch、exec 等可疑操作）
✅ 使用 --no-skills 模式完全禁用技能系統
openclaw start --no-skills
✅ 若必須使用技能，建立 Allowlist（僅允許審查過的技能）

Critical Warning：

🚨 重要：即使完整加固，OpenClaw 仍存在風險

上述措施可降低風險，但無法完全消除：

Application-level 漏洞仍可能繞過 Docker 限制

Prompt Injection 攻擊仍可能觸發惡意行為

430,000+ 行程式碼難以完整審核

新漏洞可能隨時被發現（如 2026.2.12 修復的 40+ 個）

強烈建議：

✅ 僅在隔離測試環境使用，切勿處理敏感資料

✅ 定期檢查 OpenClaw Security Advisories

✅ 訂閱安全通知（GitHub Watch → Security alerts only）

✅ 考慮是否真的需要 OpenClaw，或可用輕量級替代品

通用安全最佳實踐（適用所有工具）

無論選擇哪個工具，以下安全措施都是必須實施的：

API Key 管理：

✅ 使用環境變數，絕不寫死在程式碼或配置檔中
✅ 限制 API Key 權限（Anthropic Console 可設定 Rate Limit、使用額度）
✅ 監控 API 使用量（偵測異常呼叫，可能表示憑證被盜用）
✅ 定期輪換 API Key（建議每 30-60 天）

網路安全：

✅ 使用 HTTPS/TLS 加密所有通訊
✅ 若需遠端存取，配置 VPN 或 Tailscale（避免直接暴露在公網）
✅ 定期更新系統與套件（apt update && apt upgrade）
✅ 啟用防火牆（ufw 或 iptables）

監控與警報：

✅ 設定資源使用警報（CPU/RAM 異常可能表示攻擊）
✅ 記錄所有外部 API 呼叫（可用於事後稽核）
✅ 定期檢查日誌檔案（尋找異常模式）

資料備份：

✅ 定期備份對話記憶（CLAUDE.md、SOUL.md 等）
✅ 使用加密備份（防止備份檔案洩漏）
✅ 測試還原流程（確保備份可用）

風險揭露與限制說明

自架 AI 助理的潛在風險

即使選擇輕量級替代方案並實施安全措施，自架 AI 助理仍存在以下風險：

安全風險：

所有工具皆有潛在漏洞：NanoClaw、Nanobot、PicoClaw 雖比 OpenClaw 安全，但並非完全無漏洞
Prompt Injection 難以完全防範：即使有容器隔離，精心設計的攻擊仍可能繞過防護
開源代碼可能包含後門：雖然機率較低，但無法 100% 排除

隱私風險：

對話記錄儲存在本地：需自行保護（加密、備份、存取控制）
API Provider 仍會接收請求：Anthropic/OpenAI 會看到你傳送的提示詞內容（雖然他們承諾不用於訓練）
頻道整合可能洩漏中繼資料：WhatsApp、Telegram 等平台會知道你使用機器人的頻率與時間

維護成本：

需自行追蹤安全更新：無自動更新機制，需定期檢查 GitHub Release
相容性問題需自行除錯：無官方技術支援，僅能依賴社群
學習曲線：需具備基礎 Linux/Docker/Python/Go 知識

功能限制：

輕量級工具功能遠少於 OpenClaw：無瀏覽器自動化、多代理協作等進階功能
MCP 生態系統仍在發展初期：可用工具較少（相較 OpenClaw ClawHub）
嵌入式部署效能受硬體限制：LicheeRV Nano 等低階硬體無法執行複雜任務

何時不應該自架 AI 助理？

不推薦自架的情境：

缺乏基礎技術知識：
- 不熟悉 Linux 指令列操作
- 不理解 Docker 容器概念
- 無法閱讀基礎程式碼（Python/JavaScript/Go）
無法定期維護：
- 無時間追蹤安全更新
- 無法處理突發問題（服務停機、API 異常等）
- 長期出差或無穩定網路環境
需要企業級 SLA：
- 需要 99.9% 可用性保證
- 需要 24/7 技術支援
- 業務關鍵應用（中斷會造成重大損失）
處理高度敏感資料：
- 金融交易資料
- 醫療病歷資訊
- 政府機密文件
- 用戶個資（GDPR、台灣個資法管轄）

替代方案：

💭 作者真心話

自架 AI 助理並非適合所有人。如果你只是想要「好用的 AI 助手」，直接使用商業服務更省時省力：

託管服務（無需自行維護）：

Claude.ai（Anthropic 官方，支援繁體中文）

ChatGPT Plus（OpenAI，$20/月）

Gemini Advanced（Google，整合 Workspace）

企業方案（含 SLA 與技術支援）：

Anthropic for Enterprise

OpenAI Enterprise

Google Workspace with Gemini

特定用途工具（專注單一場景）：

Cursor（程式設計專用）

Perplexity（研究與搜尋）

Notion AI（筆記與文件）

自架的真正價值在於：

✅ 完全掌控資料與隱私（資料不離開你的伺服器）

✅ 客製化工具鏈整合（連接內部資料庫、API）

✅ 學習 AI Agent 架構（教育目的）

✅ 規避 API 使用限制（自行控制 Rate Limit）

若這些不是你的需求，商業服務是更好的選擇。

工具選擇的長期考量

選擇自架工具不僅要看當下，更要考慮長期維護：

社群活躍度：

OpenClaw：社群最大（），但也最混亂（大量低品質 Issue）。值得注意：創辦人 Peter Steinberger 已於 2026 年 2 月加入 OpenAI，專案未來的維護方向尚待觀察
NanoClaw ：小而精的社群，創作者積極回應
Nanobot ：學術專案，更新頻率中等
PicoClaw ：硬體廠商支援，但社群互動較少

維護狀況（截至 2026 年 2 月）：

檢查 GitHub Commit 頻率：每週至少 1-2 次提交為健康專案
Issue 回應速度：3 天內回應表示專案仍活躍
最新 Release 時間：超過 6 個月未更新需警惕

相依性風險：

OpenClaw：依賴大量外部套件（供應鏈攻擊風險高）
NanoClaw：依賴 ~10 套件（中等風險）
Nanobot：依賴 MCP SDK（官方維護，風險較低）
PicoClaw：單一 binary（最小依賴，風險最低）

遷移成本：

若工具停止維護，更換成本多高？
- MCP 協議標準化降低遷移成本（Nanobot 優勢）：MCP Server 可重用於其他 Host
- OpenClaw 專有架構遷移困難：SOUL.md、ClawHub 技能無法直接移植
- PicoClaw 設定簡單，遷移成本低

📌 長期維護建議

☑️ 訂閱工具的 GitHub Release 通知（掌握更新動態）

☑️ 每季度（3 個月）重新評估工具選擇（技術快速演進）

☑️ 準備 Plan B（若主要工具停止維護，備援方案是什麼？）

☑️ 記錄自己的配置與客製化（方便未來遷移）

常見問題 FAQ

Q1: OpenClaw 修復漏洞後是否安全？

2026.2.12 版本修復了 40+ 漏洞，但仍有數百個未修復問題。根本問題在於 430,000+ 行程式碼的複雜性，難以完全審核。

結論：即使最新版本，仍建議使用 Docker 容器隔離，且絕對不要在生產環境或處理敏感資料時使用。

Q2: NanoClaw 只支援 WhatsApp 嗎？能否新增其他平台？

目前官方僅支援 WhatsApp（透過 baileys 函式庫），但架構上可擴充。

若你具備 Node.js 開發能力，可以：

Fork NanoClaw 專案
參考 src/channels/whatsapp.js 實作其他平台（Telegram、Discord 等）
提交 Pull Request 貢獻回社群

替代方案：若需多平台支援，考慮 PicoClaw（原生支援 Telegram/Discord）或 OpenClaw。

Q3: PicoClaw 的 <10MB RAM 是否包含 AI 模型？

不包含。PicoClaw 本身僅為 Agent Runtime（代理運行環境），AI 推論由雲端 API（Anthropic Claude / OpenAI GPT）處理。

<10MB 是指 PicoClaw 程式本體的記憶體佔用。若需本地推論（使用 Ollama、Llama.cpp 等），記憶體需求會大幅增加（>4GB，取決於模型大小）。

Q4: Nanobot 的 MCP 協議有何優勢？

MCP（Model Context Protocol）是 Anthropic 提出的標準化工具介面。優勢包括：

跨平台重用：任何支援 MCP 的 Host 都能使用相同工具（不綁定特定框架）
社群生態系統成長：可使用 FastMCP 等輔助工具快速開發
透明且易於審核：標準化介面減少安全隱患，工具行為可預測
未來防呆：若 Nanobot 停止維護，MCP Server 仍可用於其他 Host

劣勢：MCP 生態系統仍在早期，可用工具較少（相較 OpenClaw ClawHub）。

Q5: 我可以混合使用多個工具嗎？

可以，但需注意情境隔離：

範例配置：

生產環境：NanoClaw（安全優先，處理客戶資料）
個人實驗：OpenClaw（功能完整，測試新想法）
嵌入式專案：PicoClaw（在 Raspberry Pi 上運行）

安全建議：

❌ 避免：同一 API Key 在多個工具共用（增加洩漏風險）
✅ 建議：每個工具使用不同 API Key、不同網路環境隔離

Q6: 嵌入式裝置（Raspberry Pi）適合跑哪一套？

硬體對應建議：

裝置	RAM	推薦工具
Raspberry Pi 4 (4GB RAM)	4GB	NanoClaw、Nanobot、PicoClaw 皆可（依需求選）
Raspberry Pi 4 (2GB RAM)	2GB	NanoClaw、Nanobot、PicoClaw 皆可
Raspberry Pi Zero 2W	512MB	僅 PicoClaw 可行
LicheeRV Nano	256MB	僅 PicoClaw 可行
Raspberry Pi 5	8GB	所有工具皆可（甚至可跑 OpenClaw）

不推薦：在任何 Raspberry Pi 上運行 OpenClaw（記憶體與啟動時間過長，體驗極差）。

Q7: 商業使用是否有授權問題？

開源授權：

OpenClaw：MIT 授權（可商用）
NanoClaw：MIT 授權（可商用）
Nanobot：MIT 授權（可商用）
PicoClaw：MIT 授權（可商用）

重要：商用時仍需遵守 API Provider 的服務條款：

Anthropic Commercial Terms：禁止大規模自動化、垃圾訊息、侵權內容
OpenAI Usage Policies：類似限制

建議：若用於商業場景，詳閱 API Provider 條款，必要時聯繫官方取得 Enterprise 授權。

Q8: 中文支援如何？

中文支援取決於底層 LLM（Claude/GPT），而非工具本身：

Claude 3.5 Sonnet：優秀的繁體中文支援
GPT-4：良好的中文支援
其他模型（Gemini、Llama 等）：支援程度不一

工具介面語言：

OpenClaw：英文為主，部分社群中文化（非官方）
NanoClaw、Nanobot、PicoClaw：英文文件

建議：若需中文介面，可自行 Fork 專案翻譯提示詞與文件，或直接使用英文介面搭配中文提示詞（LLM 會以中文回應）。

總結與行動建議

決策總結：根據情境快速選擇

🎯 編輯推薦配置

入門首選：PicoClaw

低門檻（單一 binary，無複雜配置）

低成本（$10-15 硬體即可運行）

快速上手（5 分鐘內啟動）

安全優先：NanoClaw

企業級隔離（容器安全模型）

適合敏感應用（客戶資料、商業機密）

透明可稽核（程式碼量小，易於審查）

開發者友善：Nanobot

Python 生態（pip、虛擬環境）

MCP 標準（工具可跨平台重用）

工具鏈整合（連接內部 API、資料庫）

功能狂熱者：OpenClaw（僅限隔離環境）

Docker 隔離 + 完整加固措施（詳見安全加固章節）

絕對禁止處理敏感資料

僅用於測試與實驗

三步驟開始行動：

評估需求：使用本文決策框架（安全性、資源、功能）確定優先順序
選擇工具：根據決策樹選擇對應工具
安全部署：遵循安裝指南與安全 Checklist，逐步驗證功能

下一步資源與社群

官方資源：

社群討論：

Hacker News: Nanobot Thread
Reddit: r/LocalLLaMA（自架討論）
Discord: MCP Community（MCP 協議討論）

進階學習：

容器安全：Docker Security Best Practices
MCP 開發：FastMCP 官方教學
嵌入式 AI：Raspberry Pi AI Projects

最後提醒：自架 AI 助理是一段學習旅程，不要期待一次到位，逐步累積經驗，再根據需求調整。重要的是理解風險、做出明智選擇。

祝你架設順利！🚀