OpenAI 共同创始人、前特斯拉 AI 负责人 Andrej Karpathy 于 2026 年 2 月 21 日在 X 上发文表示：「Claws are now a new layer on top of LLM agents（Claw 现在是位于 LLM 代理之上的新一层）」。他将 Claw 描述为构建在聊天型 LLM 与代码执行型代理之上的“上位层”。

他在另一则帖子中写道：「First there was chat, then there was code, now there is claw. Ez（先有 Chat，再有 Code，现在是 Claw，这是自然的演进）」。在他看来，Claw 是继聊天式 LLM、代码执行型代理之后的下一阶段概念。

什么是「Claw」：站在代理之上的“上位层”

按照 Karpathy 的解释，Claw 并不是单一的 LLM 代理，而是位于其之上的一层基础架构，用来负责：

• orchestration（统筹与编排）
• scheduling（任务调度与执行管理）
• context（跨任务的上下文与状态管理）
• tool calls（对外部工具与服务的统一调用）
• persistence（长期、可持续的状态与记忆保存）

传统的 LLM 代理通常围绕某个具体任务运行：在有限上下文内调用工具、完成一次性或短期的工作流程。而 Claw 被设想为一个更高层的“控制平面”，可以长期管理多个代理与任务，协调它们的执行顺序、共享上下文，并维护持续存在的系统状态。

换言之，如果说单个 LLM 代理是“执行者”，那么 Claw 更像是“调度与管理层”，负责把不同代理、工具和任务组织成一个可持续运转的整体系统。

“像无法无天的西部荒野，是安全噩梦”——对现有实现的警惕

尽管 Karpathy 对 Claw 这一抽象层本身持肯定态度，但他对当前的具体实现，尤其是 OpenClaw，表达了强烈担忧。

他提到，OpenClaw 的代码规模已经接近 40 万行，在他看来，这更像是“凭感觉堆砌出来的巨大怪物代码库”。在这样的系统中托管个人数据或 API 密钥，他认为必须极其谨慎。

Karpathy 指出，围绕这类系统，已经出现多种安全隐患与攻击面，包括但不限于：

• 对外开放的实例暴露在互联网，可被远程访问；
• 存在可远程执行任意代码的潜在漏洞；
• 依赖库、打包与分发链路中可能被植入恶意代码的供应链攻击风险；
• 恶意或已被入侵的「skill（技能）」被注册进系统，从内部发起攻击的可能性。

在他看来，目前围绕 OpenClaw 一类系统的生态“几乎像一个无法无天的西部荒野，是安全上的噩梦”。他强调，虽然 Claw 作为上位层的构想很有吸引力，但在工程实现层面，安全性、可审计性和可控性仍是尚未解决的重大难题。

从 NanoClaw 看「skills」：小而可审计的设计思路

不过，Karpathy 并非对所有 Claw 实现都持否定态度。他对体量庞大、结构复杂的实现保持高度警惕的同时，也对更小型、结构清晰、便于人和 AI 审查的项目表现出兴趣。

其中一个例子就是 NanoClaw。Karpathy 注意到，NanoClaw 的核心引擎代码大约只有 4000 行，相比动辄数十万行的系统要精简得多。他认为，这种规模更有利于：

• 人类开发者和 AI 模型理解整体结构与控制流程；
• 追踪系统行为、定位问题来源；
• 进行安全审计与漏洞排查。

他尤其关注 NanoClaw 中被称为「skills（技能）」的扩展机制。传统软件在扩展功能时，往往依赖越来越复杂的配置文件和条件分支；而 NanoClaw 的思路是：通过技能来直接修改和扩展代码本身。

例如，用户发出「/add-telegram」这样的指令后，AI 代理会自动修改自身代码，为系统添加与 Telegram 的集成功能。通过这种方式，系统避免在配置和条件分支上不断堆叠复杂度，而是把变化集中在可审查、可版本化的技能扩展中。

Karpathy 从“最易被 fork 的代码仓库”这一角度，对这种设计给予了正面评价：核心保持尽可能精简，把差异化需求和复杂度尽量外移到技能层，通过可插拔的技能组合来适配不同场景。

他还提到，除了 NanoClaw 之外，社区中已经陆续出现 nanobot、zeroclaw、ironclaw、picoclaw 等多个以「claw」为核心概念的项目。不同前缀、不同实现路线的出现，说明 Claw 已不再只是某个单一产品的名称，而正在演变为一个在社区中逐渐扩散的通用概念：一种位于 LLM 代理之上的“控制与编排层”的设计思路。