OpenLegion vs PicoClaw: production-безопасность vs AI-агенты на железе за $10
PicoClaw представляет нечто действительно новое в пространстве агентов: AI-агенты, работающие на $10 RISC-V платах. Построенный компанией embedded-железа, PicoClaw — Go-powered, single-binary AI-ассистент, нацеленный на менее чем 10 МБ ОЗУ с sub-second стартом. Его самое remarkable заявление: 95% core-кода было сгенерировано AI-агентами за один день. Запустился 9 февраля 2026 и вырос примерно до 20,000–21,000 GitHub-звёзд с 900+ issues, поданных за три недели.
OpenLegion — security-first AI-агентный фреймворк с обязательной изоляцией Docker-контейнеров, vault-прокси управлением учётными данными, принуждением бюджета на агента и координацией по модели флота (blackboard + pub/sub + handoff).
PicoClaw и OpenLegion занимают противоположные концы спектра развёртывания. PicoClaw двигает агентов на самое дешёвое возможное железо. OpenLegion обеспечивает работу агентов с самыми сильными возможными security-гарантиями. Это фундаментально разные ставки на то, откуда приходит ценность AI-агента.
В чём разница между OpenLegion и PicoClaw?
PicoClaw — Go-based, ультра-лёгкий AI-агентный ассистент, скомпилированный в ~8 МБ бинарник, нацеленный на железо RISC-V и ARM64 за $10. Он использует workspace sandboxing и channel-level allowlists, но имеет задокументированные security-пробелы, включая обход Slack allowlist, world-readable конфиг-файлы, раскрывающие API-ключи, и отсутствие SECURITY.md или формального CVE-процесса. OpenLegion — Python-based, security-first фреймворк с обязательной изоляцией Docker-контейнеров, vault-прокси управлением учётными данными, где агенты никогда не видят API-ключи, принуждением бюджета на агента и координацией по модели флота (blackboard + pub/sub + handoff). PicoClaw оптимизирует hardware-эффективность; OpenLegion оптимизирует production-безопасность.
Кратко
| Измерение | OpenLegion | PicoClaw |
|---|---|---|
| Основной фокус | Production-инфраструктура безопасности | Edge hardware-эффективность |
| Язык | Python | Go |
| Бинарник/footprint | Python + Docker | ~8 МБ единый бинарник |
| Целевое железо | Стандартные серверы, VPS, cloud | $10 RISC-V, ARM64, x86_64 |
| Использование ОЗУ | На контейнер (настраиваемые cap) | Менее 10 МБ |
| Холодный старт | Docker-контейнер (~2-5с) | Sub-second |
| Изоляция агентов | Docker-контейнер на агента, non-root | Workspace sandboxing (restrict_to_workspace) |
| Безопасность учётных данных | Vault-прокси — агенты никогда не видят ключи | Конфиг-файл (был 0644 world-readable) |
| Бюджетный контроль | Жёсткий cutoff ежедневно/месячно на агента | Не встроен |
| Оркестрация | Координация по модели флота (blackboard + pub/sub + handoff) | Sub-агенты + cron-планировщик |
| LLM-провайдеры | 100+ через LiteLLM | 8+ (OpenRouter, Anthropic, OpenAI, DeepSeek и т.д.) |
| Offline-capable | Нет (требуется cloud LLM) | Да (компаньон PicoLM 1B модель) |
| Каналы сообщений | 5 | 8+ (Telegram, Discord, QQ, DingTalk, LINE и т.д.) |
| GitHub-звёзды | ~59 | ~20,000–21,000 |
| Лицензия | PolyForm Perimeter License 1.0.1 | MIT |
| Известные CVE | 0 | 0 формальных CVE; множественные задокументированные security-пробелы |
| Производитель | Независимый | Компания embedded-железа |
| AI-сгенерированный код | Нет | Заявление о 95% AI-сгенерации |
Выбирайте PicoClaw, если...
Вам нужны агенты на железе за $10. PicoClaw — единственный агентный фреймворк, meaningful запускающийся на одноплатных RISC-V компьютерах. В сочетании с PicoLM (компаньон-модель производителя на 1 миллиард параметров) вы получаете полностью offline работу агентов на железе, стоящем меньше месяца большинства SaaS-подписок. Это действительно ново.
Cross-architecture развёртывание имеет значение. PicoClaw компилируется в RISC-V, ARM64 и x86_64 из единой кодовой базы. Если ваше развёртывание охватывает embedded-устройства, Raspberry Pi-кластеры и cloud-серверы, PicoClaw — единственный фреймворк, покрывающий все три.
Вам нужна поддержка азиатских мессенджер-платформ. QQ, DingTalk, LINE, WeCom и Feishu — first-class каналы, отражающие присутствие производителя на китайском рынке. Никакой западный фреймворк эти платформы не покрывает.
Требуется полностью offline работа. PicoLM обеспечивает on-premises развёртывание агентов без cloud-подключения. Для промышленного IoT, restricted-сетей или privacy-sensitive edge-развёртываний это полностью устраняет cloud-зависимость.
Вы цените скорость сообщества. 900+ issues за три недели указывают на массивное внедрение и активную обратную связь. Темп разработки PicoClaw быстрый, с финансовой устойчивостью от выручки железа производителя, независимой от венчурного финансирования.
Выбирайте OpenLegion, если...
Вы не можете поставлять известные security-пробелы. PicoClaw имеет задокументированные, незапатченные security-проблемы, которые признаёт его собственный README. Обход Slack allowlist (Issue #179) означает, что handleSlashCommand и handleAppMention не вызывают проверку user authorization — любой Slack-пользователь в workspace может вызывать агентов PicoClaw. Конфиг-файлы записывались с правами 0644, делая API-ключи world-readable на multi-user системах. Issue #782 каталогизирует отсутствующие защиты: нет SSRF-защиты, нет audit-логирования, нет rate-limiting, нет шифрования учётных данных и нет защиты от prompt injection. Сам README предупреждает не разворачивать в production до v1.0.
Вашим учётным данным нужно больше, чем конфиг-файл. PicoClaw хранит API-ключи в YAML конфиг-файлах. Баг прав файла (0644 вместо 0600) раскрывал ключи любому пользователю на системе. Даже после исправления прав процесс агента держит plaintext-ключи в памяти. Vault-прокси OpenLegion означает, что агенты никогда не держат учётных данных — API-вызовы маршрутизируются через прокси, внедряющий ключи на сетевом уровне.
Вам нужна изоляция агентов. restrict_to_workspace PicoClaw — application-level флаг, применяемый к main-агенту, sub-агентам и scheduled-задачам. Если агент достигнет исполнения кода за пределами контроля Go-runtime, workspace-ограничение не обеспечивает containment. OpenLegion использует Docker-контейнеры — OS-level изоляция с отдельными namespaces, cgroups и без доступа к host-файловой системе.
Вам нужен контроль расходов. PicoClaw не имеет принуждения бюджета на агента. Cron-scheduled агенты, делающие API-вызовы на железе за $10, могут тихо накапливать расходы, dwarfing инвестицию в железо. OpenLegion применяет ежедневные и месячные лимиты на агента с жёстким cutoff.
Вам нужна аудитируемая координация по модели флота. PicoClaw использует LLM-driven выбор инструментов. Координация по модели флота OpenLegion определяет порядок исполнения до runtime — аудируемый, ацикличный, повторяемый.
Сравнение модели безопасности
Где живут секреты
PicoClaw хранит API-ключи в YAML-конфигурационных файлах. Баг прав файла (0644 вместо 0600) изначально делал их world-readable. Даже после исправления ключи сидят на диске в plaintext YAML и загружаются в память Go-процесса в runtime. Comprehensive security framework request (Issue #782) явно перечисляет «шифрование учётных данных» как отсутствующую функцию.
OpenLegion хранит учётные данные в vault, доступном только через прокси. Агенты делают API-вызовы через прокси; учётные данные внедряются на сетевом уровне. Никаких конфиг-файлов с ключами. Никакая память процесса не держит ключи. Никакая misconfiguration прав файла не может их раскрыть.
Модель изоляции
PicoClaw использует restrict_to_workspace: true, применяемый к main-агенту, sub-агентам и scheduled-задачам. Gateway по умолчанию привязывается к localhost. Channel-level user allowlists фильтруют, кто может взаимодействовать с агентами. Это application-level изоляция, применяемая Go-runtime — эффективна против well-behaved агентов, обходима эксплойтами исполнения кода.
OpenLegion использует изоляцию Docker-контейнеров на агента с non-root исполнением, без Docker-сокета, no-new-privileges и настраиваемыми лимитами ресурсов. OS-level изоляция, применяемая ядром Linux.
Известные security-пробелы (PicoClaw)
Собственный issue-tracker PicoClaw документирует значительные пробелы:
- Обход Slack allowlist (#179):
handleSlashCommandиhandleAppMentionпропускают проверкуIsAllowed()— любой пользователь workspace может вызывать агентов. - World-readable конфиг (#initial): конфиг записан с правами 0644, раскрывающими API-ключи.
- Отсутствующие защиты (#782): нет SSRF-защиты, нет audit-логирования, нет rate-limiting, нет шифрования учётных данных, нет защиты от prompt injection.
- Нет SECURITY.md: нет формального процесса раскрытия уязвимостей.
- Предупреждение README: «PicoClaw в ранней разработке и может иметь нерешённые проблемы сетевой безопасности. Не разворачивайте в production-средах до v1.0.»
OpenLegion не имеет CVE и задокументированных security-пробелов. Vault-прокси устраняет раскрытие учётных данных, Docker-контейнеры обеспечивают OS-level изоляцию, координация по модели флота предотвращает произвольное исполнение, и ACL на агента применяют доступ к инструментам.
Бюджетный контроль
PicoClaw не имеет встроенного принуждения бюджета. Cron-scheduled задачи могут работать бесконечно.
OpenLegion применяет ежедневные и месячные лимиты на агента с автоматическим жёстким cutoff.
Экосистема PicoClaw: что у него получается лучше всего
Hardware-software vertical
Уникальная позиция PicoClaw в том, что его производитель также производит железо, на которое он нацелен, продавая RISC-V dev-платы начиная с $8. PicoClaw + PicoLM на этом железе создают полностью vertically integrated edge AI-агентный стек. Ни у одного другого фреймворка нет этой hardware-software согласованности.
PicoLM: offline-агенты на чипе
PicoLM — компаньон-модель на 1 миллиард параметров, оптимизированная под целевое железо PicoClaw. Она обеспечивает полностью on-premises работу агентов: без cloud, без API-ключей, без сети. Для промышленной автоматизации, field-развёртывания и privacy-sensitive сред это возможность, с которой ни один cloud-зависимый фреймворк не сравнится.
AI-bootstrapped кодовая база
Заявление PicoClaw, что 95% его кода было AI-сгенерировано (с human-in-the-loop refinement) за один день — и marketing story, и легитимный инженерный эксперимент. Оно демонстрирует, что AI-агенты могут bootstrap другие AI-агентные фреймворки — рекурсивная capability story, резонирующая с developer-сообществом.
Совместимость со skills ClawHub
PicoClaw использует формат документации SKILL.md, общий между экосистемой Claw, давая ему доступ к community-contributed skills от nanobot, ZeroClaw и других проектов семейства Claw.
Распространённые production-подводные камни
README говорит это сам. Собственная документация PicoClaw предупреждает против production-развёртывания до v1.0. Comprehensive security framework request (#782) читается как vulnerability assessment checklist отсутствующих защит. Это похвальная честность, но это означает, что PicoClaw явно pre-production проект.
Scam-экосистема риск. Cryptocurrency scam-токены появились на pump.fun, ложно заявляющие об affiliation с PicoClaw. Это не влияет на ПО, но сигнализирует, что бренд эксплуатируется — supply chain забота для команд, оценивающих open-source зависимости.
Security-пробелы компаундируются на exposed-железе. Модель безопасности PicoClaw предполагает trusted-network, single-user развёртывание. На edge-железе, подключённом к factory-сетям, IoT-gateway или общей инфраструктуре, обход Slack allowlist, отсутствие SSRF-защиты и отсутствие rate-limiting становятся high-severity проблемами.
Что OpenLegion покрывает иначе
OpenLegion адресует каждый пункт отсутствующего security framework PicoClaw (#782): изоляция учётных данных (vault-прокси), audit-логирование (blackboard audit trail), rate-limiting (бюджеты на агента плюс mesh rate limits), SSRF-защита (DNS pinning + фильтр egress browser-контейнера) и защита от prompt-injection (sanitize_for_prompt на каждой границе ввода). Это не опциональные надстройки — они архитектурны.
Trade-offs хостинга vs Self-Host
PicoClaw компилируется в единый ~8 МБ бинарник, работающий на любой RISC-V, ARM64 или x86_64 системе. Никаких runtime-зависимостей. Gateway mode обрабатывает webhooks. Offline-работа возможна с PicoLM. Footprint развёртывания — самый малый среди агентных фреймворков.
OpenLegion требует Python, SQLite и Docker. Не может работать на $10 RISC-V платах. Hosted-платформа (скоро) нацелена на стандартную VPS-инфраструктуру за $19/месяц. Docker-зависимость ограничивает hardware-targets, но обеспечивает security-изоляцию, которой не хватает PicoClaw.
Для кого
PicoClaw — для embedded-разработчиков, IoT-инженеров и edge-computing команд, которым нужны AI-агенты на минимальном железе. Идеальный пользователь разворачивает агентов на RISC-V платах, Raspberry Pi или дешёвых VPS-инстансах — и работает в trusted-network средах, где задокументированные security-пробелы — приемлемые риски. Также ценен для команд, нацеленных на китайские мессенджер-платформы.
OpenLegion — для команд, разворачивающих агентов, где security-инциденты имеют бизнес-последствия. Идеальный пользователь управляет флотами агентов, обрабатывающими чувствительные учётные данные, нуждается в verifiable контроле расходов и должен демонстрировать security-постуру стейкхолдерам или комплаенс-фреймворкам.
Честный trade-off
PicoClaw делает то, чего ни один другой фреймворк не может: запускает AI-агентов на железе за $10 с полностью offline-возможностью. Это не gimmick — edge AI-agent развёртывание — реальный и растущий use case для промышленной автоматизации, IoT и privacy-sensitive сред.
Но собственная документация PicoClaw говорит, что он не production-ready, и его список security-пробелов длинен. OpenLegion не может работать на RISC-V платах, но может защищать учётные данные, применять бюджеты и обеспечивать OS-level изоляцию агентов.
Если вашим агентам нужно работать на чипе на фабрике, выбирайте PicoClaw (после v1.0). Если ваши агенты обрабатывают API-ключи, стоящие больше железа, на котором работают, выбирайте OpenLegion.
Для полного ландшафта см. наше сравнение AI-агентных фреймворков.
Security-инфраструктура для флотов агентов, обрабатывающих реальные учётные данные.
Часто задаваемые вопросы
Что такое PicoClaw?
PicoClaw — Go-powered, ультра-лёгкий AI-агентный ассистент, построенный китайской компанией embedded-железа. Компилируется в ~8 МБ бинарник, нацеленный на менее чем 10 МБ ОЗУ на железе RISC-V, ARM64 и x86_64. Включает PicoLM, компаньон-модель на 1B параметров для offline-работы. Имеет примерно 20,000–21,000 GitHub-звёзд с запуска 9 февраля 2026.
OpenLegion vs PicoClaw: в чём разница?
PicoClaw нацелен на edge-железо за $10 с минимальным использованием ресурсов и offline-возможностью. OpenLegion нацелен на production-среды с обязательной изоляцией Docker-контейнеров, vault-прокси управлением учётными данными, принуждением бюджета на агента и координацией по модели флота (blackboard + pub/sub + handoff). У PicoClaw задокументированные security-пробелы, против которых предупреждает его README; OpenLegion не имеет CVE на момент v0.1.0 и архитектурных security-ограничений.
Является ли OpenLegion альтернативой PicoClaw?
Да, для команд, переходящих от edge-экспериментов к production-развёртыванию. PicoClaw отлично работает с агентами на минимальном железе в trusted-средах. OpenLegion — альтернатива, когда нужны изоляция учётных данных, контроль расходов, изоляция агентов и аудитируемость — production security-слой, который собственный Issue #782 PicoClaw идентифицирует как отсутствующий.
Как сравнивается обработка учётных данных между OpenLegion и PicoClaw?
PicoClaw хранит API-ключи в YAML конфиг-файлах (изначально world-readable из-за бага прав 0644). Ключи загружаются в память Go-процесса в runtime. Его собственный Issue #782 перечисляет «шифрование учётных данных» как отсутствующее. OpenLegion использует vault-прокси — агенты вызывают через прокси, внедряющий учётные данные на сетевом уровне. Никаких ключей на диске, в конфиге или в памяти.
Что лучше для production AI-агентов?
Собственный README PicoClaw предупреждает против production-развёртывания до v1.0. OpenLegion специально построен для production с обязательной изоляцией контейнеров, vault-прокси учётными данными, бюджетами на агента и аудитируемой координацией по модели флота. Для edge-экспериментов — PicoClaw; для production-флотов агентов — OpenLegion.
Может ли PicoClaw работать offline?
Да. PicoLM, компаньон-модель на 1 миллиард параметров, обеспечивает полностью on-premises работу. OpenLegion требует cloud LLM-подключения (OpenAI, Anthropic и т.д.) и не может работать offline. Если требуется on-premises развёртывание, PicoClaw — один из очень немногих вариантов.
Какие известные security-проблемы у PicoClaw?
PicoClaw имеет задокументированные пробелы, включая: обход Slack allowlist (любой пользователь workspace может вызывать агентов), конфиг-файлы, записанные с world-readable правами, и отсутствующие SSRF-защита, audit-логирование, rate-limiting, шифрование учётных данных и защита от prompt injection (каталогизированы в Issue #782). Никакие формальные CVE не были назначены, но README явно предупреждает против production-использования.
Связанные сравнения
| Анкорный текст | Назначение |
|---|---|
| OpenLegion vs nanobot | /comparison/nanobot |
| OpenLegion vs ZeroClaw | /comparison/zeroclaw |
| OpenLegion vs NanoClaw | /comparison/nanoclaw |
| OpenLegion vs OpenClaw | /comparison/openclaw |
| Сравнение AI-агентных фреймворков 2026 | /learn/ai-agent-frameworks |
| Анализ AI-безопасности агентов | /learn/ai-agent-security |