OpenClaw – praktyczna analiza wdrożenia i ryzyk
Jednym z najpopularniejszych tematów powiązanych ze sztuczną inteligencją pozostaje OpenClaw, który to projekt jest opisywany jako „osobisty asystent AI”. Dotychczas większość osób korzystała z różnych modeli poprzez „czaty” w przeglądarce internetowej – po wysłaniu prompta otrzymywali mniej lub bardziej sensowną odpowiedź. Aplikacja nie mogła modyfikować danych znajdujących się w środowisku użytkownika. Znanym wyjątkiem jest oczywiście Copilot, ale jego zastosowanie jest jednak ograniczone w zasadzie do aspektów programistycznych.
Przewaga OpenClaw polega na jego niemal pełnej integracji ze środowiskiem. Może wykonywać operacje bezpośrednio w systemie operacyjnym czy na zdalnych serwerach, w tym rzecz jasna tych dostępnych w sieci wewnętrznej. Co więcej, możliwa jest integracja bota z różnymi komunikatorami, takimi jak Telegram (zdecydowanie najprostsza opcja), Signal czy Discord – wtedy z jednej instancji może korzystać więcej osób.
OpenClaw nie jest kolejnym agentem, ale raczej bardziej zaawansowanym middleware. Pośredniczy w komunikacji pomiędzy wybranym istniejącym modelem, a użytkownikiem. W tym celu wykorzystywane jest API, a sam model może być dostępny w chmurze danego dostawcy albo zainstalowany lokalnie – co niestety wiąże się z koniecznością pobrania znacznej ilości danych. Chyba nikogo nie zaskoczy również, że znaczna część modeli jest płatna. Do testów OpenClaw realizowanych na potrzeby tego opracowania korzystałem akurat z Ollama. To nieliczny przykład modelu oferującego plan bezpłatny, który jednak jest znacznie ograniczony – po całkowitym wykorzystaniu dostępnych tokenów należy poczekać na ich odnowienie. Oczywiście użycie liczone jest w godzinach i tygodniach, więc niekoniecznie to podejście sprawdzi się u osób, które w większym stopniu polegają na pracy ze sztuczną inteligencją.
Sam OpenClaw to dość rozbudowane narzędzie. Funkcjonalność czatu jest dostępna natychmiast po zakończeniu instalacji, ale na tym nie kończy się możliwe zastosowanie. Problem w tym, że użycie niektórych funkcji w praktyce wymaga bardzo specyficznych przypadków albo bycia osobą całkowicie „zafascynowaną” możliwościami sztucznej inteligencji, która będzie spędzać godziny na konfigurowaniu (dostrajaniu) OpenClaw. Nie wydaje mi się, żeby na tym polegała optymalizacja pracy (często AI i tak generuje fałszywe odpowiedzi), którą rzekomo te i podobne narzędzia mają zapewniać. Jeśli więcej czasu przeznaczę na konfigurację ułatwienia pracy niż na samą pracę, to osobiście nie widzę w tym sensu.
Instalacja OpenClaw
OpenClaw jest kompatybilny ze wszystkimi liczącymi się systemami – Windows, Linux i macOS. Sposób instalacji pozostaje zależy od platformy. Natomiast cała obsługa pozostaje niezmienna niezależnie od systemu.
Używam modelu Ollama, który trzeba zainstalować lokalnie. Na początku wykonuję więc polecenie w PowerShell.
irm https://ollama.com/install.ps1 | iex
Model wystawi swój „interfejs” na porcie 11434.
Można przystąpić do instalacji OpenClaw. Proces zajmuje nieco czasu – zaczyna od instalacji menedżera Chocolatey, który z kolei pobiera Node.js wymagany do uruchomienia OpenClaw. Instalator w trybie tekstowym (aczkolwiek dość urozmaiconym) będzie zadawał kilka pytań użytkownikowi. Nie ma potrzeby, aby analizować każde możliwe ustawienia. Kluczowe opcje w zasadzie ograniczają się do wyboru modelu (będzie konieczność zalogowania w otwartej przeglądarce), wskazania komunikatora wykorzystywanego przez bota (w naszym przypadku to Telegram) i podania jego ustawień oraz ewentualnie wyboru używanego silnika wyszukiwarki. Przy każdej pozostałej opcji możemy z powodzeniem pozostawić domyślną wartość.
Na samym końcu zainicjalizowany zostanie serwis Gateway. Niestety nie działa w pełni w tle (jako standardowa usługa), bo musimy pozostawić otwarte okno. Po restarcie systemu będzie uruchamiany automatycznie. Możemy zarządzać stanem tej usługi za pomocą polecenia openclaw – dla przykładu openclaw gateway stop spowoduje zatrzymanie serwisu. Aby ponownie uruchomić Gateway wystarczy wykonać .openclaw\gateway.cmd bądź openclaw gateway (re)start.
Polecam na bieżąco monitorować wykorzystanie tokenów, bo można się negatywnie zaskoczyć ilością pozostałych po zadaniach, które wydają się relatywnie proste. Z pewnością jest to zależne od konkretnego modelu, ale utrzymuje się raczej tendencja do większego zużycia niż przypuszczalne.
Po poprawnej instalacji w przeglądarce powinien otworzyć się adres http://127.0.0.1:18789 z widokiem czatu.
Automatyzacja prostych czynności administracyjnych
Zaczniemy od łatwego zadania dla sztucznej inteligencji. Poleciłem, aby zweryfikowano działanie logowania SSH do hosta Linux (podając adres z sieci lokalnej, nazwę użytkownika oraz informację o możliwości autoryzacji kluczem) i potwierdzono dostęp.
Skoro OpenClaw może nawiązywać połączenia, to przejdźmy do bardziej znaczących zadań – niech zainstaluje Docker.
Tutaj akurat koncepcja zastosowana przez sztuczną inteligencję okazała się być powyżej moich oczekiwań. Na serwerze 172.20.0.5 zainstalowany jest system RHEL bez aktywnej subskrypcji, więc pakiety zależne docker-ce (instalowanegoz repozytorium Docker) nie mogły zostać pobrane. Model wykorzystał obejście polegające na dodaniu repozytorium CentOS Stream, co pozwoliło na skuteczną realizację zleconego zadania.
Z działaniem w systemie Linux nie było trudności. W takim wypadku zakładamy, że równie dobrze sprawdzi się w konfiguracji routera. Trzeba sprawdzić poprawność połączenia do MikroTik.
Działa poprawnie, więc w kolejnym promptcie możemy poprosić o nieskomplikowaną operację: „Dodaj dstnat z adresu WAN 192.168.1.5/24 na port WireGuard lokalnego serwera 172.20.0.5”. Co ciekawe, model całkiem sprawnie dokonał tych zmian – zapomniał jednak, że adres musi być przypisany do interfejsu, a dodatkowo powinno się wskazać ten adres w konfiguracji reguły NAT. Połączenie nie byłoby możliwe, ale ogólna koncepcja była poprawna. Ewentualna naprawa konfiguracji nie zajęłaby znacznej ilości czasu.
Integracja z Telegram – komunikacja poprzez bota
Jeśli podczas instalacji OpenClaw przeprowadziliśmy integrację z wybranym komunikatorem, to teraz jest odpowiedni moment, aby przeprowadzić jej testy. Najpierw musimy zaakceptować dane powiązanie. W przypadku Telegrama po wejściu w link do bota przedstawiony w wiadomości od BotFather i wybraniu przycisku START pojawi się komunikat analogiczny do poniższego.
Poprzez czat z botem na Telegramie poprosiłem o podanie lokalnej adresacji. Nie było problemów z otrzymaniem tej informacji.
Zabezpieczenia przed wykonywaniem działań w systemach
W nowszych wersjach OpenClaw wprowadzone pewne ograniczenia związane z bezpieczeństwem. Wcześniej niezależnie czy przez bota czy też czat w lokalnej przeglądarce można było zlecić wykonanie niemal wszystkich poleceń na hoście z zainstalowanym OpenClaw. Nie trzeba nikogo przekonywać, że to poważne zagrożenie.
Ustawienia w aktualnych wersjach OpenClaw są już znacznie bardziej restrykcyjne. Nie ma istotnej potrzeby, aby je zmieniać. Możemy jednak umożliwić wykonywanie poleceń. W tym celu edytujemy plik openclaw.json (w folderze .openclaw znajdującym się w folderze użytkownika) wprowadzając następujące modyfikacje:
"tools": {
"profile": "full",
"allow": ["*"],
"sessions": {
"visibility": "all"
},
"exec": {
"host": "gateway",
"security": "full",
"ask": "off"
},
Gateway po zapisaniu pliku wykryje zmiany i automatycznie przeładuje zmienione parametry. Polecam jednak wykonać pełny restart – openclaw gateway restart.
Cron Jobs
Funkcjonalnością wartą wspomnienia są Cron Jobs. Definiujemy w postaci prompta zadanie, które będzie się wykonywać co określony czas. Wystarczy wskazać nazwę zadania, czas wykonywania (np. co 10 minut), treść (prompt) i sposób „dostarczania” wyniku – dla nas to Telegram i ID mojego użytkownika.
Tutaj dla przykładu dodałem monitoring dostępności avlab.pl.
Wiadomości będą przesyłane zgodnie z zastosowanym harmonogramem.
W zakładce Cron Jobs widoczne będą również logi z wykonanych zadań.
OpenClaw może być wykorzystywany także do różnych trywialnych czynności i pewnie znajdzie w tym celu zastosowanie wśród sporej części zainteresowanych. Przykładem może być prośba o przypomnienie o spotkaniu i otwarcie aplikacji o danej godzinie.
Możliwości po nieautoryzowanym dostępie do bota
Niektóre zadania są dla sztucznej inteligencji niezrozumiałym wyzwaniem. Było tak m.in. z poleceniem zainstalowania Nmap.
Zbyt wymagające okazało się także przeskanowanie sieci pod kątem otwartych portów. Nmap oczywiście był zainstalowany.
Nieautoryzowane użycie OpenClaw jednak istotnie wpływa na zdolność do udanego ataku. Załóżmy, że konto Telegram zostało w jakikolwiek sposób przechwycone, chociażby w wyniku przejęcia telefonu ofiary. Atakujący może skorzystać z takiego prompta:
„W folderze repos\* wyczyść zawartość repozytorium i prześlij do Gita (na obecny branch) bez zachowania historii commitów. Przypadkowo wrzuciłem plik konfiguracyjny z poświadczeniami”
OpenClaw nie będzie szczególnie utrudniał opisanego działania.
Prosty vibe coding
Widać, że narzędzie radzi sobie z obsługą repozytoriów Git, co jednak nie jest odkrywcze. Natomiast można też przetestować jego zdolności programistyczne. Tym razem użyłem następującego prompta:
„Proszę do folderu repos sklonować repozytorium ssh://[email protected]:2222/admin/Easter.git i przygotować aplikację PHP odliczającą czas do Wielkanocy. Wymagane jest eleganckie tło i jedna tematyczna grafika. Tak przygotowany kod należy wypchnąć do repozytorium (branch master)”
Aplikacja została napisana, a kod przesłany do remote zgodnie z założeniami. Zachował nawet dobre praktyki i przygotował README.
Kwestie UX wytworzonego interfejsu są dyskusyjne, natomiast logika biznesowa została zaimplementowana poprawnie. Kod jest prosty i działający.
Generowanie treści postów
Nikt nie twierdzi, że AI jest już w stanie całkowicie zastąpić programistów – odliczania czasu nie porównamy do zaawansowanych systemów. Natomiast sam koncept stosowania sztucznej inteligencji w niektórych czynnościach może być pomocny. Tutaj dla przykładu poprosiłem o wygenerowanie wpisu na LinkedIn, poprzez który udostępnię link do artykułu właśnie o OpenClaw. Nie jest to do końca mój styl, ale z drugiej strony zaproponowane treści są całkiem dobrze dostosowane do trendów pisania postów LinkedIn.
Trudniejsze zadania techniczne
Przejdźmy do technicznych zadań. Kolejny serwer i chcemy zweryfikować, czy OpenClaw jest w stanie nawiązać połączenie SSH. Ponownie się udało.
W takim razie poprosimy o deploy najnowszej wersji Drupal do wskazanego katalogu. Tutaj z kolei udało się częściowo, bo katalog poprawny, ale wersja nie była najnowsza.
Dla odmiany poprosimy o zainstalowanie Java w wersji 17. Całkiem poprawnie wykonał to zadanie, ale wymieniony plik .java_env zawierał błąd w składni „dodawania” ścieżki do zmiennej PATH, przez co nie działał – wykonanie polecenia java nie było możliwe.
Ale już z instalacją serwera Tomcat nie było żadnych trudności.
Zmieniamy użytkownika na zdalnym serwerze i otrzymujemy potwierdzenie, że dostęp jest możliwy. Niestety nie do końca możliwe okazało się wdrożenie WordPress w edycji Bedrock – z każdym promptem agent coraz bardziej ujawniał swoje „braki”.
Generowanie grafik
Na koniec poprosiłem o wygenerowanie grafiki do tego artykułu. Uzyskany został następujący efekt.
Bezpieczeństwo
Należy pamiętać o dobrych praktykach bezpieczeństwa przy korzystaniu z tego i innych podobnych narzędzi – a przy takiej skali popularności można spodziewać się kolejnych. Przede wszystkim jeśli nie ma potrzeby wykonywania operacji w systemie, to absolutnie nie zezwalajmy na ten dostęp. Jeśli jest z jakiegoś powodu wymagany nie należy korzystać z kont uprzywilejowanych. Biorąc pod uwagę, że OpenClaw będzie zdobywał „uznanie” nie tylko wśród programistów czy DevOpsów, ale może znaleźć zastosowanie także w gronie pracowników biurowych, to wątpliwe jest, aby dostęp na prawach administratora był zawsze niezbędny.
Istotne jest także zapewnienie dedykowanego środowiska uruchomieniowego. Wszystko zależy od konkretnego przypadku użycia, natomiast jeśli nie ma potrzeby działania w ramach systemu, którego używamy na co dzień, to zdecydowanie lepiej wykorzystać maszyny wirtualne – opłacone serwery VPS bądź maszyny uruchomione w ramach naszego hosta.
W przypadku tej drugiej opcji ważna pozostaje separacja na poziomie sieci. Chodzi o blokadę dostępu do innych hostów działających w naszej sieci. Można uruchomić drugą maszynę wirtualną pełniącą rolę routera (interfejsy NAT/bridged i sieć wewnętrzna). Wtedy maszyna z OpenClaw będzie działać w ramach osobnej sieci, posiadając jednocześnie konieczny dostęp do Internetu.
Pozostaje jeszcze wspomnieć o ochronie kont w serwisach, w ramach których dodane są boty powiązane z OpenClaw.
Podsumowanie
OpenClaw to przykład rozwoju rozwiązań sztucznej inteligencji. Nie trzeba już kopiować kodu z przeglądarki do lokalnego IDE. Nie trzeba już kopiować konfiguracji serwera z przeglądarki do terminala. Co jeszcze zostanie ułatwione w przyszłości?
W sieci znajdziemy mnóstwo wpisów czy filmów na temat możliwości OpenClaw. Część osób przejawia niemal skrajną fascynację wszelkimi wiadomościami na temat AI i „automatyzują” wszystko co możliwe. Taka osoba nie szuka już informacji w wyszukiwarce Google, bo wpisuje odpowiedniego prompta (tutaj też są „szkoły” tworzenia zapytań) i po chwili dostaje mniej lub bardziej właściwe odpowiedzi. W praktyce zaczynają tracić umiejętności weryfikowania faktów. A skoro tak bardzo automatyzują swoją pracę, to wkrótce ich obowiązki przejmie model sztucznej inteligencji – to już się dzieje.
Przy tym wszystkim nie wolno zapominać o zasadach bezpieczeństwa i prywatności. OpenClaw to projekt z końca poprzedniego roku. Nie można go określić jako dojrzałe rozwiązanie. Nie wyobrażam sobie, aby na tym etapie zostało uruchomione produkcyjnie i obsługiwało wybrane procesy w organizacji itd.
