OpenLegion vs NanoClaw:两种容器优先的哲学,深度不同
NanoClaw 是 OpenClaw 替代浪潮中的安全宠儿。它于 2026 年 1 月底使用 Claude Code 创建,是一个约 500 行的 TypeScript 核心,让每个智能体运行在自己的操作系统级 Linux 容器中。它登上 Hacker News 首页,获得 VentureBeat 和 The Register 的报道,并被开发者誉为"可控、可审计、灵活"。约 7,200 个 GitHub 星标,它是轻量级 OpenClaw 替代方案中最聚焦安全的一个。
OpenLegion 是一个安全优先的 AI 智能体框架,具备强制 Docker 容器隔离、密钥库代理凭证管理、单智能体预算执行,以及舰队模型协调(黑板 + 发布/订阅 + 交接)。
NanoClaw 和 OpenLegion 是该领域两个 都 把操作系统级容器隔离作为主要安全边界的框架。问题是:在这个基础之上还有什么?
OpenLegion 与 NanoClaw 有什么区别?
NanoClaw 是构建在 Anthropic 的 Claude Agent SDK 之上的极简(约 500 行核心)TypeScript AI 智能体助手。每个智能体运行在带敏感文件阻断和基于 stdin 密钥传递的隔离 Linux 容器中。OpenLegion 是基于 Python 的安全优先框架,在 Docker 容器隔离之上叠加了密钥库代理凭证管理、单智能体预算执行、舰队模型协调(黑板 + 发布/订阅 + 交接)、100+ LLM 提供商和多智能体舰队编排。NanoClaw 在哲学上极简;OpenLegion 在设计上全面。
摘要
| 维度 | OpenLegion | NanoClaw |
|---|---|---|
| 主要聚焦 | 生产安全基础设施 | 激进极简 + 容器隔离 |
| 语言 | Python | TypeScript(约 500 行核心) |
| 代码库总量 | ~77,000 行 | ~3,900 行(约 15 个文件) |
| 智能体隔离 | 每智能体 Docker 容器 | 每智能体 Linux 容器(Apple Container/Docker) |
| 凭证安全 | 密钥库代理 —— 智能体永远看不到密钥 | Stdin JSON 注入;敏感文件黑名单 |
| 预算控制 | 单智能体日/月硬性截止 | 无内置 |
| 编排 | 舰队模型协调(黑板 + 发布/订阅 + 交接) | 聊天驱动;无工作流引擎 |
| LLM 提供商 | 通过 LiteLLM 支持 100+ | 仅 Claude(Anthropic Agent SDK) |
| 消息渠道 | 5 | 4(WhatsApp、Telegram、Discord、Slack) |
| 多智能体 | 含单智能体 ACL 的舰队模板 | Agent Swarms(Claude Code 团队) |
| 定制模型 | 配置 + 插件 | "Skills over Features" —— 由 AI 改写源码 |
| GitHub 星标 | ~59 | ~7,200 |
| 许可证 | PolyForm Perimeter License 1.0.1 | MIT |
| 已知 CVE | 0 | 0 |
如果你符合以下情况,请选择 NanoClaw……
激进的可审计性是你的最高优先级。 NanoClaw 约 500 行的核心 8 分钟即可读完。每一行安全相关代码对单个审查者可见。智能体领域没有任何框架比这更可审计。
你专门基于 Claude 构建。 NanoClaw 直接构建在 Anthropic 的 Claude Agent SDK 之上。如果你的技术栈是 Claude 优先,并希望与 Claude Code 的 agent-teams 能力实现最紧密的集成,NanoClaw 就是为此而生。
你想要 AI 原生的定制。 NanoClaw 的"Skills over Features"哲学意味着添加渠道或能力的方式是让 Claude Code 直接改写 NanoClaw 的源码。没有插件系统,没有配置层——AI 修改代码本身。这不合常规,但通过设计消除了功能膨胀。
你需要把 WhatsApp 作为一等渠道。 NanoClaw 通过 Baileys 库的 WhatsApp 集成是内置且测试良好的,带二维码配对和按群组的记忆文件。
容器隔离重要,但简洁更重要。 NanoClaw 让你获得操作系统级隔离,而无需学习 Docker 编排、舰队模型协调或多智能体配置。每个智能体一个容器,通过对话配置。
如果你符合以下情况,请选择 OpenLegion……
你需要超越文件阻断的凭证隔离。 NanoClaw 阻断对敏感文件(.ssh、.gnupg、.aws、.azure、.gcloud)的访问,并通过 stdin JSON 传递密钥。然而,为了让 Claude Code 在容器内认证,会挂载 Anthropic 凭证——这意味着智能体 可以 通过 Bash 或文件操作发现这些凭证。OpenLegion 的密钥库代理在架构上不同:智能体通过在网络层注入凭证的代理发起 API 调用。智能体环境中根本没有凭证可被发现。
你需要不止一家 LLM 提供商。 NanoClaw 在设计上只支持 Claude。如果你的部署需要 GPT-4、Gemini、Llama、Mistral 或任何非 Anthropic 模型,NanoClaw 无法服务你。OpenLegion 通过 LiteLLM 支持 100+ 提供商,自带 API 密钥且零加价。
你需要单智能体预算执行。 NanoClaw 没有机制限制单智能体 API 支出。在 Anthropic 按 token 计价的 Claude API 下,失控的智能体群可能积累显著成本。OpenLegion 强制单智能体日和月限额,自动硬性截止。
你需要可审计的多智能体舰队协调。 NanoClaw 的 Agent Swarms 是聊天驱动的——Claude Code 在对话中协调专门智能体。这灵活但非确定性。OpenLegion 的舰队模型协调按智能体定义显式的交接记录、工具访问和依赖。协调在执行前可审计。
你需要扩展到个人使用之外。 NanoClaw 被设计为个人 AI 助手。其架构——单进程 Node.js、AI 改写源码、无配置管理——并不天然适合带角色访问、合规要求或多租户隔离的舰队部署。
安全模型对比
密钥存放在哪里
NanoClaw 通过 stdin JSON 把密钥传递给智能体——它们从不被加载到 process.env。敏感文件路径(.ssh、.gnupg、.aws 等)通过显式黑名单被阻断。容器以非 root 运行,项目挂载为只读。已知限制: 为了让 Claude Code 认证,Anthropic 凭证被挂载,意味着智能体可以在容器内通过 Bash 或文件操作发现这些凭证。
OpenLegion 把凭证存放在智能体无法访问的密钥库中。API 调用通过在网络层注入凭证的密钥库代理路由。智能体容器内不存在凭证文件、环境变量或挂载的密钥。即使智能体获得任意代码执行,也没有凭证可找。
隔离模型
两个框架都使用操作系统级容器隔离。 NanoClaw 在 macOS 上使用 Apple Container 或在 Linux 上使用 Docker,每个智能体拥有独立的文件系统、IPC 命名空间和进程空间。挂载白名单控制智能体可访问的目录。OpenLegion 使用带非 root 执行、无 Docker 套接字、no-new-privileges 以及容器级资源上限(CPU、内存、网络)的 Docker 容器。
隔离边界相当。区别在于容器 内部 发生的事:NanoClaw 给智能体宽泛的能力(shell 访问、文件读写、网页浏览、Chromium),辅以文件级黑名单。OpenLegion 通过 YAML 定义的工具访问和单智能体 ACL 约束智能体。
预算控制
NanoClaw 没有内置预算执行。Claude API 使用按 Anthropic 的标准 token 费率计费,无单智能体限额。
OpenLegion 强制单智能体日和月支出限额,自动硬性截止。
NanoClaw 的生态:它做得最好的事
"Skills over Features" 哲学
NanoClaw 最激进的设计选择是:定制通过代码改写发生,而不是通过配置。想加 LINE 支持?让 Claude Code 加——它会直接修改 NanoClaw 的源文件。想要新工具?Claude Code 写并集成它。这完全消除了传统的插件架构。结果是每个 NanoClaw 部署都是为其用户量身定制的独特分叉,这既是优点(无膨胀)也是限制(没有共享插件生态)。
Agent Swarms
NanoClaw 声称是首个支持 Agent Swarms 的个人 AI 助手——专门智能体组成的团队在同一聊天中协作处理复杂任务。群中的每个智能体获得隔离的记忆上下文。这利用了 Claude Code 原生的 agent-teams 能力,对复杂个人工作流是真实可用的能力。
8 分钟审计
约 500 行核心代码,NanoClaw 比任何竞争框架都更快可审计。对于把对代码库的信任视为头等大事且正式安全审计不实际的个人开发者或小团队,这种透明度具有独特价值。
常见的生产关切
单提供商锁定。 仅 Claude 意味着 Anthropic 宕机时无回退、无法对简单任务使用更便宜模型,并完全依赖于 Anthropic 的定价决策。
凭证泄漏向量。 挂载的 Anthropic 凭证代表容器隔离模型中已知、有文档记录的缺口。在容器内具备 shell 访问的智能体可以读取这些凭证。
没有工作流引擎。 智能体协调是聊天驱动且非确定性。无法定义、版本控制或预先审计多步骤工作流。
扩展性限制。 单进程 Node.js、AI 改写源码以及缺失的配置管理使舰队部署不切实际。
OpenLegion 的不同覆盖
OpenLegion 在相同的容器隔离基础上构建生产基础设施:密钥库代理消除凭证挂载问题、舰队模型协调提供可审计的多智能体舰队协调、单智能体预算防止成本失控、100+ 提供商支持消除厂商锁定,以及单智能体 ACL 启用基于角色的工具访问。
托管 vs 自托管的权衡
NanoClaw 需要 Node.js 和 Apple Container(macOS)或 Docker(Linux)。设置是交互式的——通过 Claude Code 对话配置,而不是编辑配置文件。自托管是唯一选项;没有托管服务。
OpenLegion 需要 Python、SQLite 和 Docker。托管平台(即将推出)将以每用户提供 VPS 实例。自托管部署使用标准 Docker 工具。
适用人群
NanoClaw 适合想要带容器隔离、WhatsApp/Telegram 连接和激进代码简洁性的个人 AI 助手的个人开发者。理想用户是 Claude 重度用户,希望拥有比 OpenClaw 更安全的 Claw 风格智能体——并且习惯通过对话而非配置进行修改的 AI 优先定制模型。
OpenLegion 适合在生产环境中部署多智能体系统的团队。理想用户管理处理敏感凭证、需要单智能体支出控制、并因合规要求需要可审计工作流定义的智能体舰队。
诚实的取舍
NanoClaw 和 OpenLegion 是本次对比中仅有的两个 都 使用操作系统级容器隔离的框架。NanoClaw 用约 500 行代码达成了这一点——一项杰出的工程成就,证明容器隔离并不需要框架复杂度。
OpenLegion 进一步追问:生产部署除了容器隔离还需要什么?答案是凭证分离(密钥库代理)、成本控制(单智能体预算)、工作流确定性(舰队模型协调)、提供商独立(100+ 模型)和舰队编排(多智能体 ACL)。这些就是分隔个人助手与生产平台的层级。
如果你想要 500 行代码内的容器隔离个人 Claude 智能体,选 NanoClaw。如果你需要在容器隔离之上的完整生产栈,选 OpenLegion。
如需完整全景,请参见我们的 AI 智能体框架对比。
需要在容器隔离之上的完整生产栈?
常见问题
什么是 NanoClaw?
NanoClaw 是构建在 Anthropic 的 Claude Agent SDK 之上的极简(约 500 行核心)TypeScript AI 智能体助手。它让每个智能体运行在带 WhatsApp、Telegram、Discord 和 Slack 连接的隔离 Linux 容器中。它约有 7,200 个 GitHub 星标,并在开发者社区获得广泛好评。
OpenLegion vs NanoClaw:区别是什么?
两者都使用操作系统级容器隔离。NanoClaw 是约 500 行的个人助手,专门基于 Claude 并采用 AI 驱动的定制。OpenLegion 增加了密钥库代理凭证(智能体永远看不到密钥)、单智能体预算执行、舰队模型协调(黑板 + 发布/订阅 + 交接)、100+ LLM 提供商和多智能体舰队编排。NanoClaw 极简且面向个人;OpenLegion 全面且面向生产。
OpenLegion 是 NanoClaw 的替代方案吗?
是。两者都把容器隔离作为安全基础。OpenLegion 以密钥库代理凭证管理、单智能体成本控制、可审计的舰队模型协调和 100+ LLM 提供商支持来扩展它。超出 NanoClaw 个人助手模型或需要提供商独立的团队,OpenLegion 是自然的下一步。
OpenLegion 和 NanoClaw 在凭证处理上有何对比?
NanoClaw 通过 stdin JSON 传递密钥并阻断敏感文件访问,但为了让 Claude Code 认证而挂载 Anthropic 凭证——智能体可以通过 Bash 发现。OpenLegion 使用密钥库代理,智能体通过注入凭证的代理发起 API 调用。智能体容器内不以任何形式存在凭证。
哪个更适合生产 AI 智能体?
NanoClaw 被设计为个人助手,而非生产平台。它缺乏预算执行、工作流确定性、多提供商支持和舰队管理。OpenLegion 专为生产打造,具备单智能体预算、舰队模型协调、密钥库代理凭证和 100+ 提供商支持。
NanoClaw 支持多家 LLM 提供商吗?
不支持。NanoClaw 专门构建在 Anthropic 的 Claude Agent SDK 之上。它只兼容 Claude 模型。OpenLegion 通过 LiteLLM 支持 100+ 提供商,包括 OpenAI、Anthropic、Google、Meta、Mistral 和本地模型。
我可以从 NanoClaw 迁移到 OpenLegion 吗?
NanoClaw 的 AI 改写源码和聊天驱动配置需要重构为带显式智能体定义、工具访问控制和预算限额的舰队模型协调。Claude 特定的智能体逻辑可迁移,因为 OpenLegion 通过 LiteLLM 支持 Anthropic。详见我们的 AI 智能体编排 页面。
相关对比
| 锚文本 | 目标 |
|---|---|
| OpenLegion vs ZeroClaw | /comparison/zeroclaw |
| OpenLegion vs OpenClaw | /comparison/openclaw |
| OpenLegion vs PicoClaw | /comparison/picoclaw |
| OpenLegion vs nanobot | /comparison/nanobot |
| AI 智能体框架对比 2026 | /learn/ai-agent-frameworks |
| AI 智能体安全分析 | /learn/ai-agent-security |