500行代码的震撼：NanoClaw让我重新理解了AI Agent

大家好，我是小智，专注 AI 工具，AI 智能体和编程提效

前言前两天刚给大家安利了OpenClaw，结果我这手还没停，刷Hacker News的时候又看到一个帖子，标题不长——"NanoClaw: Clawdbot in 500 lines of TS with Apple container isolation"。528个赞，GitHub上6600多颗星。点进去之前我还以为是又一个”我用AI写了个玩具”的Show HN。看完之后愣了好几秒。

它是OpenClaw的“纳米复刻版”，但更极端。说它狠，是因为它不仅仅是代码少，它简直就是为了“Claude Code”而生的。事情是这样的：有个叫OpenClaw的项目，做AI Agent的，52个模块，功能很全，跑在一个Node进程里，权限基本拉满。然后一个开发者看了代码，觉得不对劲——52个模块，他没法在合理时间内审计完，但这玩意要拿到他电脑上一堆权限。他的选择不是提PR修bug，而是用500行TypeScript重写了核心逻辑。这就诞生了NanoClaw。

我试用下来的第一感觉就是：干净。太干净了。它没有安装向导，没有 Dashboard，甚至连配置文件都没有。它的逻辑特别直接：如果你想改变 AI 的行为，别去改什么config.json，直接让 AI 改源码！这种“定制即代码”的理念，彻底抛弃了传统软件那些臃肿的插件和配置。给你们看个直观的对比，感受一下什么叫“极简”：

项目	OpenClaw	NanoClaw
模块数	52+	极少
依赖	45+	极少依赖
配置	多个 YAML/JSON	0 配置文件
启动	安装 + 面板	Claude Code 直接引导
安全	应用级	操作系统级

它砍掉了一切不必要的中间件，只保留了最核心的链路：
WhatsApp (baileys) → SQLite (存储) → Polling Loop (轮询) → Container (执行环境)它的目标很明确：足够小，小到 AI 自己就能维护它。它的核心功能虽然小，但该有的都有：

•WhatsApp I/O：直接用手机和 Claude 聊天，不需要前端界面。
•群组隔离：每个群组都有独立的上下文和记忆，互不干扰。
•定时任务：真正可用的周期性 Agent。
•Web 访问：能搜索，能抓网页内容。
•容器隔离：Apple Container/Docker 沙箱，安全有保障。
•可选 Skills：Gmail、未来的 Telegram、Slack 全部走 Skill。

天才般的“技能注入”NanoClaw最让我惊喜的是它的扩展方式。传统的开源项目，你想加个 Telegram 支持，得提交几十个文件，改核心逻辑，所有人更新后体积都会变大。但NanoClaw不一样。它提出了“不要添加 Features，添加 Skills”。你想支持 Telegram？只需要提交一个SKILL.md。这个 Markdown 文件里写的是教 Claude 如何把当前代码改造成支持 Telegram 版本的 Prompt 和步骤！当你在对话框里输入：/add-telegram

Claude Code会读取这个Skill，然后在你的本地代码上进行“即时重构”。这意味着，NanoClaw的核心仓库永远保持极简，而它的能力可以通过“技能注入”无限扩展。这才是真正的“千人千面”。目前社区正在急求这些Skills，有能力的极客可以去抢个首发：

•/add-slack、/add-discord（通信渠道扩展）
•/setup-windows（Windows 适配指南）
•/add-clear（会话上下文压缩）

真正有意思的是安全思路这事让我想了挺久的一个问题：AI Agent跑在你电脑上的时候，你真的想过它的权限边界在哪吗？现在市面上的AI Agent怎么处理安全？基本上都是应用层权限检查。代码里写一堆if/else：这个目录不许访问，那个命令不许执行。听起来很合理对吧？问题是，你写了100条规则，漏掉第101条，Agent就能从那个口子钻出去。以前用OpenClaw，我总是不太敢在主力机上跑，因为它是应用层安全，所有 Agent 代码跑在同一个 Node 进程里。但 NanoClaw 的安全逻辑是：“我不信 Agent，我信操作系统”。它把安全这件事从应用层踢到了内核层，使用了Apple Container。这是macOS Tahoe引入的新特性，每个容器其实是一个轻量级的虚拟机，有自己独立的Linux内核。效果是什么呢？假设你有两个WhatsApp群——”Work”和”Personal”，每个群的Agent跑在各自的容器里。Work群的Agent想读Personal群的文件？直接被 hypervisor 挡住。从Work容器的视角来看，Personal的文件压根不存在。即便 Agent 在容器里拿到了 root 权限——随便，它是自己那个 VM 里的 root，但 VM 外面的东西它碰不到。这点真的太重要了。在 NanoClaw 上，我终于可以放心让 AI 写代码、跑脚本，而不是祈祷它别发疯。HN社区的争论这帖子底下的评论区相当精彩，好几个方向同时在吵。一个是钱。有人说自己48小时烧了2000多美金的API费用。AI Agent的运行成本这件事，现在被严重低估了。另一个是安全哲学的根本分歧。支持NanoClaw的人认为容器隔离是对的方向。反对的人说，你从 GitHub 上拉一个 500 行的项目，给它容器权限，这跟你信任这 500 行代码有什么区别？我觉得NanoClaw赢在思路上：不是去修代码里的bug，而是让整个运行环境成为一个笼子——bug再多，出不了这个笼子。就在最近，MCP协议自己爆出了3个RCE漏洞。连Anthropic自己的代码都被打穿了。这更让我确信，Apple Container这样的轻量VM、hypervisor级别的隔离，可能才是AI Agent安全的正确基础设施。一点思考NanoClaw并不是要取代OpenClaw。它更像是在问一个更本质的问题：当 AI 已经会写代码时，Agent 框架还需要这么复杂吗？它给出的答案是：系统越小，安全越靠近 OS；行为越写在代码里，进化越交给 AI 本身。Agent 才越像“活的东西”。500行代码重要吗？其实不太重要。重要的是”一个人能完全理解的代码量”这个概念。52个模块你审计不完，500行你可以。在”安全敏感”的场景下，可审计性本身就是一种安全特性。项目地址https://github.com/gavrielc/nanoclaw

往期推荐阅读