当我们谈论 LLM Agent 的进化时,Andrej Karpathy 在 2026 年 2 月提出的「Claws」概念提供了一个清晰的坐标。这个术语并非指某个具体的 GitHub 仓库,而是 Karpathy 对一类新型 AI Agent 系统架构的命名 —— 它们是运行在用户本地设备上的持久化智能体,具备调度、编排、工具调用和状态保持能力,本质上是在传统 LLM 调用之上新增了一层「管理层」。理解 Claws 的架构设计,对于把握 2026 年 AI Agent 的工程化方向具有重要参考价值。
从 LLM 到 Claws 的演进逻辑
Karpathy 将 AI 能力的发展划分为三个递进层次:最底层是单纯的 LLM 调用,即输入提示词获得文本回复;中间层是 LLM Agent,赋予模型目标导向和工具使用能力;最顶层则是 Claws—— 一种持久化、嵌入式、可跨会话保持状态的智能实体。这一划分揭示了一个核心趋势:AI 正在从响应式的文本生成器转变为持续运行的状态机。传统的 LLM 调用本质上是 stateless 的,每次交互都是独立事件;而 Claws 则要求维护长期记忆、配置文件和执行上下文,这与现代软件系统的服务化架构极为相似。
Claws 的另一个关键特征是「local-first」设计理念。与云端托管的 Agent 服务不同,Claws 强调数据驻留在用户本地设备上,通过消息应用(如 WhatsApp、Telegram、Slack)作为交互入口。这种架构选择既回应了隐私关切,也契合了 Karpathy 一直倡导的「个人 AI」愿景 —— 一个真正属于用户本人的数字助手,而非某家公司的云服务。在这一理念下,OpenClaw(由 Peter Steinberger 创建的开源项目)成为 Claws 概念的典型实现,其在 GitHub 上迅速积累了超过二十万星标,足以说明社区对这类架构的认可程度。
控制平面与数据平面的分离设计
2026 年初围绕 Claws 架构讨论最多的设计模式是「控制平面(Control Plane)与数据平面(Data Plane)的分离」。这一概念借鉴了网络系统中路由与转发的经典分离模型,旨在解决 Agent 系统的安全性和可控性问题。在原始的 OpenClaw 实现中,「大脑」与「双手」位于同一高度特权的进程内 ——LLM 负责决策,工具负责执行,两者共享全部权限。这种设计虽然功能强大,却带来了相当大的安全风险:一旦 Agent 被攻破或产生意外行为,攻击者可以无限制地访问系统资源。
分离后的架构将智能决策与具体执行解耦。控制平面扮演「传达室」角色,接收用户原始请求后进行验证、清洗和安全策略检查,然后生成确定性的「工作票据」(Work Ticket),明确指定允许执行的操作及参数。数据平面则仅负责按照工作票据调用具体工具 —— 发送消息、读写数据、触发工作流 —— 以受限权限运行,可被独立替换而不影响上层逻辑。这种设计的优势在于:即使数据平面被攻破,攻击者也只能在预定义的受限范围内操作,无法绕过控制平面的安全策略。工程实践中,建议为不同功能域(如日程、通讯、财务)配置独立的执行器,每个执行器使用最小权限凭证,实现彻底的权限隔离。
模型无关的核心与可观测状态
Claws 架构的另一个核心原则是「模型无关性」。在 Karpathy 的描述中,一个 Claw 的「大脑」可以是任意主流 LLM——Claude、GPT-4/5、 Gemini—— 根据任务类型或用户偏好动态选择。这意味着架构设计必须与具体模型解耦,核心逻辑专注于任务分解、状态管理和工具调度,而非嵌入特定模型的提示词链。实现层面,标准化的内部工作票据格式是关键:通过定义统一的任务描述规范,可以在不同模型之间切换而不改变控制平面和数据平面的代码。
可观测性是 Claws 架构的第三个支柱。每个 Agent 维护人类可读的持久状态存储,通常采用 Markdown、YAML 或 JSONL 格式,而非隐藏的向量数据库。这种设计理念与 Karpathy 倡导的「可解释 Agent」一脉相承 —— 用户应能查看 Agent 的目标、记忆和决策依据,而非面对一个黑盒。具体实践上,可以在项目根目录放置 SOUL.md 等配置文件,声明 Agent 的角色、能力和行为约束;执行过程中的中间状态写入本地数据库,供调试和审计使用。这种将 Agent 内部状态外部化的做法,大幅降低了信任门槛,也是工程团队评估是否采用 Claws 架构的重要考量因素。
工程落地的关键参数与监控要点
如果团队计划构建 Claws 架构的 Agent 系统,以下参数和监控点值得关注。权限控制层面,建议实施四级最小权限模型:系统级(操作系统资源)、应用级(消息平台 API)、功能级(特定工具如日历或邮件)、操作级(单次具体动作)。每次工具调用前必须通过权限检查器,审计日志需记录完整调用链。状态管理层面,采用事件溯源模式记录 Agent 的所有决策节点,支持任意时刻回放和诊断;同时设置状态快照周期,防止长时间运行导致的状态膨胀。
监控指标应覆盖三个维度:延迟指标(控制平面决策耗时、数据平面执行耗时、总端到端响应时间)、成功率指标(工作票据完成率、工具调用成功率、用户确认率)以及异常指标(权限拒绝次数、安全策略触发次数、超时未完成任务数)。建议为每个指标设置基线告警阈值,例如控制平面决策超过五秒或单日权限拒绝超过十次时触发告警。容错设计方面,数据平面应实现幂等操作和自动重试机制,控制平面需支持工作票据的持久化队列,防止进程异常导致任务丢失。
Karpathy 将 Claws 描述为「人类与 AI 的 dyad」—— 一种紧密协作的双向关系,而非传统的命令 - 执行模式。这意味着架构设计不仅要关注技术实现,还需考虑人机交互的体验设计。Agent 应具备渐进式披露能力:初始阶段仅展示能力名称和描述,匹配到具体任务时才展现完整实现细节;关键操作前主动请求人类确认,尤其是涉及财务或隐私数据的操作。唯有将工程严谨性与交互设计相结合,才能真正释放 Claws 架构的潜力。
资料来源
本文核心观点参考 Andrej Karpathy 2026 年 2 月在社交媒体对「Claws」概念的阐述,以及 OpenClaw 项目在 GitHub 的架构实现讨论。