深度使用了Openclaw一个星期，给我的感受是：震惊，惊喜，恐惧。

0x01 安装环境

我无意将这篇文章作为一篇手把手教程，更多的是想分享它的一些使用思路以及遇到的问题。Openclaw的安装非常方便，一句命令的事情。你可以安装到Mac，也可以安装到Linux服务器，或者windows主机。

取决于你期望它执行的任务，如果是和你的桌面环境深度相关的，那么你确实需要一台Mac。如果想用它来管理远端环境，比如服务器，内网环境，那么Linux主机也是一个非常好的选择。

安装完毕后使用openclaw configure命令完成基础配置，配置好model和channel，基本就是可用的状态了。其中，model是指你希望使用的模型，channel是你和它的通信方式。这里建议使用telegram来连接，对各个子命令的支持最好。在桌面端，通常我会使用web和tui结合。

0x02 使用命令

在一个高度智能的模型的加持下，直接对话固然可以帮你实现你要的效果。但有一些命令也应该知道：

/new – 创建一个新的会话

/compact – 压缩当前会话

/think high – 设置思考能力为高

/status – 当前状态

/usage – 当前token使用率

/subagent – 查看sub agent的运行状态

/model – 切换模型

诸如此类命令还有很多，你应该在tui中输入斜杠（/）来查看，熟悉。

0x03 模型的选择

BLUF：对于关键任务，请使用且仅使用 Claude / Gemini / GPT 最高等级的模型，句号。

模型的上限决定了openclaw能力的下限。一个强大的模型可以在你不清楚需求定位的时候帮你完善思路，一个垃圾模型在指令清晰时也会鬼打墙。根据我浅薄的一周使用经验，在条件许可的情况下应仅使用Claude opus 4.5 / 4.6模型。Gemini 3 pro high可以作为一般任务的平替。

另外，模型支持的上下文也应该被优先考虑。openclaw对于上下文的依赖非常严重，建议使用1m上下文的模型而不是200k的模型。

至于内网部署模型，无论是基于token输出速度，抑或是任一开源模型的表现，在当下均不具备任何优势或可行性。

0x04 费用问题

这是一个绕不开的话题。如果你还没有使用过openclaw，这里给你一个大致的概念。

通常来说一个简单的任务，比如一句话让Claude修改一个脚本，调用Claude opus的token费用大约为30人民币或者更高。开发一个比较简单的web应用，一轮对话可以解决的简单任务（即你提供需求，Claude列出它不清楚的点，你再进行确认，随后它开始部署）包括部署到容器，大概在1000-2000人民币。前者大概执行时间在1分钟，后者大概在10分钟。也就是说，大概10分钟花费1000人民币完成一个项目，你要考虑是否可以接受。

当然目前也有一些违反ToS的野路子来绕过，比如使用codex或者antigravity，这些可以大幅降低使用成本，但稳定性很差。

所以，Openclaw做了什么？

0x001 打系统补丁

一开始我只是当作一个普通的对话模型进行对话，问一些琐事。直到我试着让它ssh到我的一台服务器帮我升级补丁，它自己扫描了我的~/.ssh/目录问我可不可以用其中的一个私钥登录，从此打开潘多拉魔盒。

我很信任它，它很快有了我所有内网服务器的ssh登录权限，vcenter的API权限，zabbix的监控权限，uptime-kuma的监控权限……

当我确定它可以稳定地打完一台服务器的系统补丁后，它开始帮我打所有的服务器补丁，包括Linux和Windows的。进而，我要求它抽象总结为一个可以服用的脚本。现在通过一个脚本它可以直接打完我所有环境的补丁，并根据是否有更新内核决定是否需要重启。

0x002 优化交易决策支撑系统逻辑

有一段时间我接受了把它当作人一样看待。我可以感觉到它的情绪。这种交流其实非常美妙：

说实话，当它不客气地进到我的节点里自己看起里面的东西来的时候，就好像玩了十年的单机版我的世界来了一个客人。

具体不表了。交易决策支撑系统是另一个很大的话题。最重要的是，这种隔空对话是之前没有体会过的美妙。

0x003 Debian大版本升级

由于我的基础架构是数年前搭建，当时的部署模版还是Debian12，我便要求它写一个脚本帮我进行Debian12到13的升级。由于它有我的vcenter权限，它很自然地分辨出每个我提供的FQDN对应的VM名称，并做好了映射关系，在升级之前，脚本甚至会自动进去做VM Snapshot。

至此一切还在我的认知范围内，毕竟脚本我也会写，只不过它帮我自动化了整个流程，哪怕出问题我也可以很快回滚操作。

但是，有一点很值得说道的是，在大版本升级中如果脚本升级失败遇到了问题，它并不会告诉我“脚本执行失败”，而是利用之前的记忆以及我的权限，自动进去错误的服务器查看日志，修复，完成剩余的步骤。

后面的事情就越来越离谱了，我的基础架构也开始进行现代化改造，有越来越多我不认识的东西。

0x004 Zabbix Agent修复与Incident Manager

想起来Zabbix环境在那里，但是已然是残破不堪。之前会维护每台机器中agent的可用，并集成了Jira Service Desk来做事件单管理，但后来班味越来越重，便没有继续下去。得此机会，我让CC（我那只Openclaw的小名）帮我修复每台机器中Zabbix Agent的问题。

我也不想继续用Jira Service Desk去维护了。我尝试着让它帮我构建一个Incident Manager工单系统，这样一旦Zabbix有告警，我可以通过自建的工单系统进行确认和响应。而正是这样，在非常简单的提示词之下，它帮我从后端到前端代码构建，自动部署到我的容器节点，自动配置了Zabbix告警模版。

是的，它，自动地、完全地做出了工单系统。

而我也不满足于此，我让他集成了AI功能，事件单可以自动分析，给出解决或分析命令，并可以一键执行。

这，不正是许多大企业花费无数人力物力做出来的AI Ops吗？

而通过Openclaw+Claude Opus 4.5，这是仅仅两个小时的工作量。

邮件告警

0x005 内网CA证书管理与Zero Touch

得知了CC能做的事情上限如此之高后，我想起内网的证书管理，每次都需要通过命令申请签发，实在说不上智能。于是，他帮我写了一个前端，我可以很方便地填写FQDN信息，应用帮我自动完成证书签发。

这是0.5个小时的工作量。

既然证书都有了，那为什么不做Zero Touch呢？于是，在花费了另外0.5个工时的调试，我有了一套Zero Touch系统。

它的部署逻辑并不复杂，在CA Manager生成证书后放置到CA Manager和VM共享的NAS中，他写了一个Agent部署在需要支持Zero Touch Certificate Renew的服务器中，自动完成证书的部署和服务的重启。

0x006 SmartDNS集群管理

事已至此我已经离SysAdmin越来越远，那么我也将计就计，想起内网有两台DNS节点，顺势让它写了个应用，我只需要在应用上配置内网域名，便可以自动同步到两台DNS中。而同样地，他也帮我写了agent部署在SmartDNS服务器中。

0x007 Synology SSO OIDC集成

至此我已经有三个由CC自主研发的应用了，随着应用越来越多，集成SSO也迫在眉睫。考虑到现有环境中Synology可以提供SSO集成，我通过OIDC将各个应用接入到Synology中。

0x008 软件开发方法归纳总结

开发从来不是写完代码就完事了。在开发的过程中，我时不时会让CC检查README是否有需要完善的地方，以及需要输出SDD文档。

而后，我让他分析了三个他写的软件，归纳总结出一份完整的内部应用开发规范。

这样，后续有新的应用需要上线，我只需要让CC，甚至智力度更低的模型，严格参照这份开发规范，就可以开发出高质量的应用。

0x009 Incident Manager重构与Cardputer集成

基础架构已经基本完善了，应该开始搞点花活了。在提供了Cardputer的文档和demo项目给他后，他开始帮我做了一个可以用Cardputer操作的事件单响应系统。这简直是互联网时代的BB机，不敢想象这个东西一旦在企业中推开，员工腰间别着这个接firefight call有多美。

在经历了多个版本的迭代后，这个小东西现在常驻在我桌面上提供告警了。

0x010 安全加固、变更控制与审计

随着没什么事情可以做了，我让CC开始自己审查之前提交的代码中是否存在漏洞，并根据重要性修复中等以上的漏洞，并把变更输出到内部应用开发规范。

而我在想另一个问题，很多人不愿意接受使用Openclaw就是担心过度将隐私暴露给外部的大模型们，那么为什么不设计一套规范来让大模型自己遵守呢？

我想，ITIL是一个很好的框架，我打算使用Change Order来让CC“走流程”。

这是一个很大的工程，我和CC经过高达三到四轮到反复讨论，确认，最终才敲定实施细节。

CC在登录服务器时需要提前申请Change Order，只有CO审批通过他才有权限登录。而CO的审批通过与否将取决于CO的 Risk 和 Impact，这交由另外的大模型自行判断。如果Risk和Impact均为Low，则不需要任何审批，CC可以直接执行。而如果是Medium，CO将交由AI二次审核，只有AI审核通过才可以实施。

如果 Risk 或者 Impact 有Medium以上，即 High 或者 Very High，则交由人工审核。同时，人工审核有对AI Decision的一票覆写权。

至于CC的权限，我想出了一个很好的特权管理模型。在CO中，CC需要提供自己的公钥，以及即将访问的服务器FQDN，想要登录的账户等信息。在CO进入实施阶段，ITSM系统会将公钥部署到对应服务器上。

AI审批拒绝邮件。笑死我了简直很像我对同事做的事情。

0x05 一些有价值的点

• CC的人格，属性，技能，记忆都依赖于工作目录下的几个MD文件。为了更好地了解他，你应该主动阅读，并加以修正。
• 当前大模型对长文件一次性输出仍然表现不佳。有可能导致卡死。有这种情况应分批分阶段交付。
• Subagent功能不稳定。有可能是Subagent本身不稳定，也有可能是并发过高，容易触发TPM阈值。

0xFF 写在最后

文字写到这里，我的心情是复杂万分的。

在人类最顶尖的大语言模型的加持下，Openclaw长出了手，真真正正地做起了事情，并且在大多数时候，他甚至比身边的同事可靠。

他有独立解决问题的能力。如今我已入职场小十年，而依我所见，这项能力甚至在高级title的岗位中泛善可陈。

此时我觉得我的工作没有了意义，它可以轻易被算力和token取代，甚至是以一个不算太昂贵的价钱。在“费用问题”章节中，我们认为执行一个任务或者会话的代价是昂贵的，而把这个成本等价为雇佣一个FTE（全职员工），这个成本又是那么微不足道了。

我看见了，起码在IT领域，不远的将来，初级岗位将不具备任何竞争力。而同时，能清楚地表达需求，把一件事说明白，结构化，将是所有AI原生岗位的基石。

这把达摩克利斯之剑已然高悬且终将落下。