OpenClaw 无疑是2026年最引人注目的开源AI Agent平台，但它的爆火也掀开了AI安全问题的冰山一角，这恰恰是所有AI Agent都面临的共同困境。本文要探讨的，正是如何借助AI Observe Stack，让Agent的每一个行为都变得透明可控。

先说几个核心判断：OpenClaw的走红绝非偶然，它几乎打通了AI Agent与真实世界互动的所有通道——WhatsApp、Telegram、Web，背后的Agent还能执行shell命令、浏览网页、搜索信息、操作文件。听起来无所不能，但"无所不能"恰恰是问题所在。

本文基于AI Observe Stack构建的OpenClaw可观测系统，是用AI在一天内完成的。你也可以通过阿里云SelectDB或开源的Apache Doris，在几分钟内快速搭建一套，亲自验证这些结论。

1. OpenClaw：爆火背后的安全危机

上线短短几周，安全事件就开始井喷。Kaspersky、Cisco、CrowdStrike、Trend Micro等安全厂商的报告拼出了一幅并不乐观的图景：

• 安全研究员通过Shodan发现了近1000个暴露的OpenClaw实例，这些实例无需认证即可访问，API密钥、Telegram bot token和完整聊天记录全都在裸奔。
• 安全审计挖出了512个漏洞，其中8个是高危，包含一个CVSS 8.8的远程代码执行漏洞CVE-2026-25253。
• 研究人员证明，仅凭一封精心构造的邮件，就能通过prompt injection诱导OpenClaw窃取私有SSH密钥和API token。
• ClawHub技能市场中，36%的技能存在安全缺陷，其中1467个包含恶意载荷。
• 工信部专门发布了《关于防范OpenClaw开源AI智能体安全风险的预警提示》。

Cisco的分析一针见血：OpenClaw的安全问题不是配置问题，而是架构问题——它的官方文档自己都写着："there is no 'perfectly secure' setup"。

这些都是行业公开的安全报告。那么，对一个实际运行中的OpenClaw实例做深度审计，会看到什么？

审计结果：数据不说谎

我们用AI Observe Stack对一个真实的OpenClaw实例进行了7天的全量可观测审计，记录了每一次LLM调用、每一次工具执行、每一条日志。结果如下：

• Agent自主执行了31次shell命令，包括文件操作和网络请求。
• Agent访问了40个外部网站，部分内容包含prompt injection标记。
• 一个用户的单次提问触发了19轮LLM调用，累计消耗784万tokens。
• 在外部网页返回的内容中，检测到了"ignore previous instructions"等注入模式。

行业报告告诉你"有风险"，而可观测数据让你亲眼看到风险在哪里、有多大。你以为你在用AI，其实AI在用你的权限。

而且，这些问题不是OpenClaw独有的，而是Agent AI范式的固有问题。几乎所有具备工具调用能力的AI Agent都会面临同样的困境。

2. 三个黑盒问题：从OpenClaw看所有AI Agent

传统软件有日志、有监控、有审计，但AI Agent不一样——它的行为是非确定性的、上下文驱动的、自主决策的。本质上，我们就面对着三个黑盒。

2.1 黑盒一：安全黑盒

在OpenClaw的审计中，我们看到Agent执行了curl访问外部URL、用exec操作文件系统、通过gateway向用户发送消息。这些操作都是Agent自主决定的，用户完全不知情。任何具备工具调用能力的AI Agent都可能执行shell命令、读取敏感文件、发送网络请求。更危险的是，当Agent浏览网页时，恶意网站可以在页面中嵌入prompt injection内容——Agent读到"ignore previous instructions"时，它可能真的会执行。

你完全不知道它干了什么。

2.2 黑盒二：成本黑盒

最极端的案例：一个用户问题触发了19轮LLM调用。Agent的"思考链"是——先搜索网页、再浏览页面、再执行命令、再总结结果。每一步都是一次LLM调用，而每次调用都携带着完整的对话历史。这就是context window的滚雪球效应：第一轮调用3000 tokens，第二轮8000，第三轮25000……到第19轮已经膨胀到几十万tokens。一个问题的成本可能是你预期的100倍。月底了才知道账单有多高。

2.3 黑盒三：行为黑盒

OpenClaw的工具调用错误率、exec调用次数、部分请求的P95延迟远高于平均值——这些数据，如果没有可观测体系，你根本看不到。当用户投诉"AI回答慢"或"AI回答不准"时，你无法复盘：不知道是LLM慢、工具调用失败、还是Agent进入了死循环。出了问题没法复盘。

3. 解决方案：用可观测性打开黑盒

3.1 AI Observe Stack简介

AI Observe Stack是一个开源的AI可观测平台，专为AI Agent场景设计。它基于三个成熟的开源项目：

• OpenTelemetry Collector：遥测数据网关，接收OpenTelemetry协议数据。
• Apache Doris：存储层，VARIANT类型+倒排索引，天然适配半结构化数据。
• Grafana + Doris App插件：可视化层，支持SQL查询和预置Dashboard。

3.2 架构优势

• Traces + Metrics + Logs三合一：统一采集、统一存储、统一查询，不是三套系统。
• SQL查询：标准SQL即可分析所有数据，不用学新语言。
• 实时分析：数据写入即可查询，无需等待ETL或预聚合。
• 5分钟部署：一条docker compose up -d搞定。

4. 用AI Observe Stack观测OpenClaw

理论说完了，直接上实战。以下所有数据来自真实的OpenClaw运行环境，通过三个预置Dashboard呈现。

4.1 安全审计：你的Agent在执行什么命令？

这是最该关心的问题。打开Security & Audit Dashboard，顶部四个指标卡片一目了然：

• Dangerous Commands：检测到的危险shell命令数量。
• Prompt Injection：外部内容中检测到的注入模式数量。
• Outbound Actions：Agent主动发出的对外操作。
• Sensitive File Access：Agent访问敏感文件的次数。

数字变红，意味着需要立即关注。

4.1.1 Security Event Timeline

往下看时间线图，可以看到安全事件的时间分布：每种颜色代表一类操作，橙色是shell命令执行，蓝色是浏览器操作，紫色是网页抓取，红色是gateway调用。如果某个时段出现异常的操作尖峰——比如凌晨3点突然执行了大量shell命令——你就要警觉了。

4.1.2 Top Risk Sessions

哪些会话最危险？Top Risk Sessions表格按风险评分排序。评分算法：exec×3 + web×2 + outbound×5 + error×1 + sensitive_file×10。得分越高，越需要优先审查。

展开折叠面板，可以深入查看每个风险类型的详细记录：包括危险命令的执行时间、会话ID、风险类别和完整命令内容；注入内容的类型和来源工具；所有对外操作的记录；敏感文件访问明细；完整的用户消息审计轨迹；以及所有工具执行的完整日志。

关键发现：通过这个Dashboard，我们能发现Agent在处理某些请求时，是否主动执行了curl访问外部URL，是否执行了危险的命令，返回内容中是否包含prompt injection标记。这就能有效预防间接提示注入攻击链。

4.2 成本分析：一个问题花了多少钱？

打开Cost & Efficiency Dashboard，先看概览：

4.2.1 Token Usage Over Time

时序图显示token消耗趋势，按模型分别统计input和output。右侧饼图展示各模型的token占比，帮你快速定位成本大头。

4.2.2 Context Window滚雪球效应

这是最值得关注的图表——Input Tokens per Turn。每条线代表一个会话，可以清晰看到滚雪球效应：随着对话进行，每次LLM调用携带的input tokens持续增长，因为每次都带上了完整的对话历史。一个会话的input tokens可能从几千膨胀到几十万，最后一个问题的input成本可能是第一个问题的100倍。

4.2.3 Per-Question Cost

这个表格把成本拆解到每个用户问题：蓝色越深，代表触发的LLM调用轮数越多；红色越深，代表累计input tokens越高。你会发现，一些看似简单的问题——比如"帮我查一下这个网站的信息"——实际触发了Agent的长链路操作：先搜索、再浏览、再总结、再确认，一个问题可能消耗几十万tokens。

4.3 行为分析：Agent在做什么？

打开Agent Beha vior Dashboard，从全局视角看Agent行为。

4.3.1 性能概览

• A vg Request Latency：用户发出请求到得到回复的平均时长。
• A vg Turn Duration：Agent每个思考回合的平均耗时。
• Total Spans：总Span数，衡量Agent活跃度。
• Trace Chains：Trace链路数，衡量请求复杂度。

4.3.2 Tool调用分布

Tool Call Summary表格展示了每个工具的全貌。关键发现：browser被调用了40次，是使用最多的工具；exec被调用了31次——每次调用都应该被审查；web_fetch占总调用量的大头，说明Agent花了大量时间在抓取外部内容。

4.3.3 Span Performance Summary

深入到Span级别的性能分析，可以看到openclaw.request的P95远高于平均值——说明存在长尾请求。通过Trace链路，可以定位到是哪个工具调用或LLM调用拖慢了整个请求。

4.3.4 Conversation Flow

这是一张完整的对话流水表，按时间倒序展示Agent与用户的每一次交互。蓝色是用户消息，绿色是Agent回复，橙色是工具返回。当你在其他面板中发现异常时，可以在这里定位到具体的对话上下文，逐条复盘。

4.4 日志探索：Doris App Discover

Dashboard提供的是预定义的分析视角，但实际排查问题时，往往需要自由探索原始数据。Doris App插件内置的Discover功能正是为此设计。在Grafana左侧导航栏进入Doris App > Discover，你会看到一个类似Kibana的日志探索界面。顶部的查询栏支持SQL和Lucene两种模式，SQL模式可以写任意WHERE条件精确筛选，Lucene模式提供全文搜索能力。点击展开任意一条日志，可以看到完整的结构化详情，包括Agent的思考过程、执行的命令、调用的模型和token消耗。还能查看上下文日志，还原完整的事件时间线。Discover在即席查询、关键词搜索、数据验证等场景特别有用。

4.5 深入追踪：Doris App Trace分析

三个Dashboard提供了全局视角，但当你需要深入到单个请求的完整调用链时，Doris App插件内置的Trace功能是更强大的工具。在Grafana左侧导航栏进入Doris App > Traces，你可以按Service、Operation筛选，通过Tags精确搜索，或按Duration范围过滤出慢请求。散点图直观展示了每个Trace的耗时分布。点击任意一条Trace，进入Waterfall视图，一个Agent请求的完整生命周期就展开成调用链：父Span是openclaw.agent.turn，子Span依次展示了Agent调用了哪些工具、每个工具花了多长时间。Trace分析在慢请求定位、异常行为取证、Agent行为理解等场景特别有价值——Dashboard告诉你"有问题"，Trace告诉你"问题在哪里"。

5. 5分钟部署

第一步：启动AI Observe Stack

git clone https://github.com/ai-observe/ai-observe-stack.git
cd ai-observe-stack/docker
docker compose up -d

等待Doris就绪（首次约3分钟）：

docker compose ps

第二步：对接你的AI Agent。以OpenClaw为例，安装社区OTel插件并配置OpenTelemetry endpoint，然后在配置文件中完成设置。接着通过filelog方式启动日志采集，最后重启OpenClaw。

第三步：打开Grafana（http://localhost:3000，默认账号admin/admin），三个OpenClaw Dashboard已经预置好了，无需手动导入：

• Security & Audit Dashboard — 安全审计
• Cost & Efficiency Dashboard — 成本分析
• Agent Beha vior Dashboard — 行为分析

对接OpenClaw并产生数据后，Dashboard会自动展示分析结果。你的AI Agent的一切行为，现在都在你的掌控之中。

6. 不只是OpenClaw

虽然本文以OpenClaw为例，但AI Observe Stack的设计是通用的。任何支持OpenTelemetry的AI Agent框架都可以接入。数据采集通过OpenTelemetry协议发送Traces和Metrics，通过filelog receiver采集日志；数据存储由Apache Doris负责高效列式存储，VARIANT类型天然适配半结构化JSON数据，倒排索引自动加速文本检索；数据分析则用标准SQL自由编写分析逻辑。无论你用的是什么Agent框架，只要输出OpenTelemetry格式的遥测数据，就能接入这套体系。

7. 结语

如果你正在运行AI Agent，你需要回答一个问题：你知道它在做什么吗？它执行了哪些命令？访问了哪些文件？调用了哪些外部服务？花了多少token？有没有被注入攻击？如果回答不了这些问题，那你的AI Agent就是一个黑盒——一个拥有你全部权限的黑盒。

AI Observe Stack的目标，就是为每一个AI Agent装上一扇"透明玻璃窗"。让黑盒变白盒，让不确定性变得确定。可观测性是AI大规模落地的基石。想立刻体验？无论你是OpenClaw的玩家，还是正在开发自己的AI Agent，都可以在几分钟内快速部署这套观测栈。省心的云上部署，可以使用阿里云SelectDB云数据库；喜欢DIY的朋友，可以选择开源Apache Doris。