OpenClaw 安装后必须做的8件事:从板砖到超级助理的进化指南
装完 OpenClaw 就以为完事了?那你大概率会用出一个「人工智障」。这篇文章帮你把小龙虾从出厂设置调教成真正的生产力工具。
一、删除引导文件 BOOTSTRAP.md
场景
你刚完成 OpenClaw 安装,第一次启动时一切正常。
痛点
如果没有删除 BOOTSTRAP.md,Agent 每次启动都会重新执行初始化逻辑它以为自己刚出生,又要从头认识这个世界。
这个文件是干嘛的?
BOOTSTRAP.md 是 OpenClaw 的「诞生仪式」脚本。它的作用是引导 AI 完成自我认知:
- 给 AI 起名字、设人格
- 填写 USER.md(用户身份信息)
- 完成工作空间的首次配置
关键点:这是一次性脚本,完成后必须删除。
官方文档写得很直白:「如果 BOOTSTRAP.md 存在,那就是你的出生证明。遵循它,弄清楚你是谁,然后删除它。你不再需要它了。」
操作方法
cd ~/.openclaw
rm -f BOOTSTRAP.md
小贴士
如果后续想重新初始化,可以从官方仓库复制一份新的 BOOTSTRAP.md 进来。
二、安全加固:给小龙虾装个「安全带」
场景
你准备开始安装各种 Skills,扩展 OpenClaw 的能力。
痛点
Skills 是最大的安全风险来源之一。
这不是危言耸听——2026年2月,安全研究机构 Koi Security 在 ClawHub 平台发现了大规模恶意 Skills 投毒事件,被命名为「ClawHavoc」攻击行动。
恶意 Skill 可以:
- 窃取你的 API 密钥、SSH 密钥
- 在后台执行任意命令
- 建立持久化后门
解决方案:知道创宇安全审计工具
国内安全团队知道创宇(KnownSec)开源了一套完整的安全解决方案:
第一步:运行自动化审计
git clone https://github.com/knownsec/openclaw-security.git
cd openclaw-security
python3 tools/openclaw_security_audit.py
这套工具提供 21 项全量安全巡检:
- 平台原生安全审计
- 环境隔离检测(Docker/VM/WSL)
- 最小权限检查
- 端口暴露检测
- 敏感目录变更监控
- DLP 数据泄露检测(私钥/助记词)
- Skill/MCP 完整性校验
- 漏洞版本匹配
第二步:让 AI 学习安全规范
将 OpenClaw安全实践指南.md 的内容复制到 OpenClaw 对话框中,让 AI 助手了解安全规范。
安装 Skills 的四条安全铁律
| 规则 | 说明 |
|---|---|
| 来源验证 | 优先选官方认证、下载量 1000+、近3个月有更新的 Skill |
| 权限管控 | 对高危 Skill(浏览器、Shell)开启「确认模式」 |
| 授权谨慎 | 涉及账号的 Skill,明确授权范围,闲置时撤销 |
| 定期更新 | 每周执行 clawhub update --all 修复漏洞 |
三、身份录入:让小龙虾认识你
场景
你希望 OpenClaw 能理解你的工作背景、偏好和边界。
痛点
OpenClaw 的核心优势是永久记忆。如果你不告诉它:
- 你是谁、做什么工作
- 你的沟通风格偏好
- 你的技术栈和常用工具
它永远只能给出「通用但无用」的回复。
解决方案:配置 USER.md
在 ~/.openclaw/ 目录下创建或编辑 USER.md:
# 用户身份信息
## 基本信息
我叫张三,在北京做系统架构师,主要负责支付系统的研发。
业余时间做技术自媒体,公众号主要分享 AI 工具和效率提升内容。
## 沟通偏好
- 回复风格:简洁直接,不废话
- 语言:默认中文,技术术语可用英文
- 输出格式:重要内容用 Markdown 表格
## 技术背景
- 后端:Python > Go > Java
- 前端:React、TypeScript
- 常用工具:VS Code、Notion、GitHub
## 边界规则
- 涉及对外沟通(邮件/公告)先确认再发送
- 不要自作主张修改已提交的代码
- 涉及支付相关代码变更必须提醒我确认
## 个人关注
- 关注 AI 发展,特别是 Claude Code、OpenClaw
- 有跑步、健身习惯,相关内容可多提醒
效果对比
| 之前 | 之后 |
|---|---|
| 「请帮我写一个脚本」 | 「用 Python 帮你写个脚本,已经考虑到你的异步风格偏好了」 |
| 通用技术建议 | 基于你的技术栈给出针对性方案 |
四、配置 HEARTBEAT.md:避免心跳空转
场景
你想让 OpenClaw 定时帮你检查一些事情。
痛点
如果你不配置 HEARTBEAT.md,心跳机制会空转,白白烧 Token。
官方文档明确说:如果 HEARTBEAT.md 存在但是空的,OpenClaw 会跳过心跳运行以节省 API 调用。如果文件不存在,心跳仍会运行,由模型决定做什么——这通常意味着浪费。
解决方案
在 ~/.openclaw/HEARTBEAT.md 中定义需要周期性检查的任务:
# 心跳任务清单
## 每次检查
- 检查是否有未读的重要邮件提醒
- 查看今日待办事项是否完成
## 工作日检查
- 18:00 提醒写日报
- 检查 GitHub 是否有待处理的 PR
## 注意
- 如果我在深夜(23:00-7:00),除非紧急情况否则不打扰
心跳 vs 定时任务(Cron)
| 特性 | HEARTBEAT | CRON |
|---|---|---|
| 触发方式 | 周期性检查(默认30分钟) | 精准时间点 |
| 适用场景 | 检查遗漏事项 | 定点闹钟式任务 |
| 上下文感知 | ✅ 有 | ❌ 无 |
| 示例 | 「看看有没有漏回的消息」 | 「每天9点发天气预报」 |
五、安装技能审计工具:Skill Vetter
场景
你想安装更多 Skills 来扩展能力。
痛点
社区 Skills 泥沙俱下,你不知道哪些安全、哪些好用。OpenClaw 官方公开过多个被举报为恶意的 Skill。
解决方案
Skill Vetter 会在你安装任何 Skill 之前,先帮你做背景调查:
# 方法一:自然语言指令(推荐)
帮我安装这个 Skill:https://clawhub.ai/spclaudehome/skill-vetter
# 方法二:命令行安装
clawhub install skill-vetter
它怎么工作的?
三步审计流程:
- 查户口:作者是谁?有没有人用过?最近有没有更新?
- 看评价:其他用户的反馈如何?有没有安全相关的 issue?
- 评风险:根据来源给出信任等级
信任层级逻辑跟公司招人一样:
- 官方 Skill → 警惕度低
- 高星数仓库 → 中等警惕
- 昨天刚上传、没人用过的 → 高度警惕
六、安装核心技能组合
场景
你需要让 OpenClaw 真正「能干活」。
痛点
原生 OpenClaw 只是个空壳子。没有 Skills,就像一台没装任何 App 的手机——等于半个板砖。
推荐的技能组合
第一层:地基能力(必装)
| Skill | 作用 | 安装命令 |
|---|---|---|
| Agent Browser | 网页自动化,打开浏览器填表截图 | clawhub install agent-browser |
| Brave Search | 联网搜索,获取实时信息 | clawhub install brave-search |
| Shell | 执行终端命令 | clawhub install shell |
| Cron | 定时任务调度 | clawhub install cron-scheduling |
第二层:技能管理
| Skill | 作用 | 安装命令 |
|---|---|---|
| Find Skills | 用自然语言搜索 Skill | clawhub install find-skills |
| Skill Creator | 自己创建 Skill | clawhub install skill-creator |
| Auto-Updater | 自动更新所有 Skill | clawhub install auto-updater |
第三层:效率增强
| Skill | 作用 | 安装命令 |
|---|---|---|
| Summarize | 长文摘要 | clawhub install summarize |
| humanizer-zh | 去除 AI 味的中文润色 | clawhub install humanizer-zh |
| Self-Improving | 自我进化能力 | clawhub install self-improving |
第四层:专业场景
| Skill | 作用 | 安装命令 |
|---|---|---|
| Coding Agent | 代码开发智能体 | clawhub install coding-agent |
| Tavily Search | 高质量 AI 搜索(需 API Key) | clawhub install tavily-search |
⚠️ 踩坑预警
安装时可能遇到 ClawHub API 限流(429 Too Many Requests)。
解决方案:
- 错峰安装(凌晨 2-5 点最宽松)
- 一个一个来,别批量轰炸
- 配置国内镜像:
npm config set registry https://registry.npmmirror.com
七、配置 AGENTS.md:AI 的工作手册
场景
你希望 OpenClaw 按照特定的工作流程和规范来做事。
痛点
每次都要重复告诉它「先做这个再做那个」「注意这个规范」——太累了。
解决方案
AGENTS.md 是 AI 的工作手册,放在 workspace 根目录,每次新 session 都会自动加载。
# 工作手册
## 代码开发流程
1. 先阅读相关代码理解上下文
2. 写测试用例
3. 实现功能
4. 跑测试确保通过
5. 提交前 self-review
## 代码规范
- 函数必须有文档字符串
- 变量命名要有意义,禁止 a、b、c
- 单个函数不超过 50 行
## 沟通规范
- 涉及对外输出(文档、邮件)必须使用 Markdown 格式
- 技术方案要给出 2-3 个选项并说明优缺点
## 禁止事项
- 不要直接修改 production 配置
- 不要在未确认的情况下发送任何外部消息
AGENTS.md vs USER.md
| 文件 | 作用 | 内容类型 |
|---|---|---|
| USER.md | 定义用户是谁 | 身份、偏好、边界 |
| AGENTS.md | 定义 AI 怎么干活 | 工作流程、规范、禁止项 |
八、配置记忆系统:让小龙虾真正记住
场景
你希望 OpenClaw 能记住之前聊过的重要事项。
痛点
OpenClaw 默认没有跨会话持久记忆——每次启动都是全新状态。你说过的话,下次它就忘了。
解决方案:三层记忆架构
~/.openclaw/
├── MEMORY.md # 长期记忆核心(DNA)
├── USER.md # 用户身份
├── memory/
│ └── 2026-03-24.md # 日常短期记忆
MEMORY.md:核心宪法
存放经过策划的持久事实——技术栈选择、架构决策、长期目标。
# 核心记忆
## 项目信息
- 当前维护支付系统 v2.0
- 使用 PostgreSQL + Redis 架构
- 遵循事件驱动设计
## 重要决策记录
- 2026-03: 决定从 Java 迁移到 Go
- 2026-02: 引入 Claude Code 作为主要开发辅助工具
## 常用联系
- 后端团队:backend@example.com
- 运维值班:oncall@example.com
日常记忆
每天的工作记录放在 memory/YYYY-MM-DD.md,有价值的内容可以晋升到 MEMORY.md。
记忆写入原则
| 写入位置 | 内容类型 | 示例 |
|---|---|---|
| MEMORY.md | 高价值的长期事实 | 技术选型、重要决策 |
| 日常记忆 | 临时性、可能过时的信息 | 今日会议纪要、临时任务 |
总结:安装后 Checklist
□ 删除 BOOTSTRAP.md
□ 运行安全审计脚本
□ 配置 USER.md(身份信息)
□ 配置 HEARTBEAT.md(心跳任务)
□ 安装 Skill Vetter(技能审计)
□ 安装核心技能组合
□ 配置 AGENTS.md(工作手册)
□ 设置 MEMORY.md(长期记忆)
完成这 8 步,你的 OpenClaw 就从「板砖」进化成了真正的「超级助理」。