Andrej Karpathy⼜造词了。
上⼀次是“vibe coding”——不看代码 ,⽤⾃然语⾔告诉 AI 你想要什么 ,它替你写。这个词从⼀条推⽂变成了全⾏业通⽤语。这⼀次他拎出来的词是 Claw。
他说了什么
Karpathy 发了条长推:买了台新 Mac mini ,准备周末折腾 OpenClaw——最近爆火的开源 AI Agent 项⽬,GitHub 上 20 万颗星。
OpenClaw 是什么?简单说 ,就是⼀个“住在你电脑⾥的 AI 助⼿ ”。 它不只是你问它答——它能⾃⼰读邮件、管⽇历、操作⽂件、跑脚本 ,你出门了它还在⼲活。你通过微信、Telegram、WhatsApp 这些聊天软件跟它说话 ,它就去执⾏。
但 Karpathy 话锋⼀转 ,说⾃⼰⼼⾥有点打⿎:这东西有 40 万⾏代码 ,很⼤⼀部分是 AI“vibe coding”出来的——⼈都没细看过。 ⽽且正在被⿊客⼤规模攻击 ,实例被暴露、恶意代码混进插件市场的报告已经⼀堆了。他的原话:“彻底的蛮荒西部 ,安全噩梦。 ”
不只是 Karpathy⼀个⼈这么觉得。 NanoClaw 的作者 Gavriel Cohen 接受 The New Stack 采访时讲了个更具体的故事:装完 OpenClaw 那天晚上他没睡着。 Cohen 做开发的⼈,习惯审查每⼀个依赖 ,结果发现 OpenClaw 把他⾃⼰⼏个⽉前写的⼀个 GitHub⼩项⽬加进了依赖——只有⼏百颗星 ,好久没⼈维护。他说:“稍微做过代码审查的⼈看到这个包 ,都不应该往⾥加。 ”更离谱的是 ,他只让 Agent 监控⼏个 WhatsApp 群 ,结果它把所有 WhatsApp 消息都存进了本地数据库。
Cohen 在 NanoClaw 的 README⾥把 OpenClaw 的家底扒了个⼲净:52 个模块、8 个配置管理⽂件、45+依赖、15 个渠道的抽象层。 安全靠的是应⽤层的⽩名单和配对码 ,不是操作系统级的隔离。所有东西挤在⼀个 Node 进程⾥ ,共享内存。 Cohen 说得很直⽩:“OpenClaw 让全世界看到了⼀个激动⼈⼼的东西 ,但 50 万⾏没⼈审查过的代码连着你的⼀切——这地基 ,你敢往上⾯盖楼吗?”
话说回来 ,Karpathy 说:但我喜欢这个概念。
他给了⼀个判断:Claw 是 AI 技术栈上的新⼀层。打个⽐⽅——ChatGPT 这类⼤模型是“顾问”,你问⼀ 句它答⼀句 ,不问就不动。AI Agent 是“执⾏者”,你给它⼀个任务 ,它⾃⼰拆解步骤、调⽤⼯具、把事 办了——但办完就下线了。 Claw 是“常驻员⼯ ”——不下线 ,有记忆 ,有⽇程 ,能⾃⼰安排事情、定时执⾏、主动汇报。你睡了它还在⼲活。
那 Claw 和 Agent 到底什么关系?不是并列的两个东西——Claw 把 Agent 包在⾥⾯。Agent 是那个能⼲活的⼈ ,Claw 是给这个⼈配的办公室、 ⼿机、 ⼯作⽇志和排班表。往具体了说 ,Claw 在 Agent 之上加了⼏样东西:⼀个⼀直活着的进程(不是⼲完就退出)、⼀套调度机制(能⾃⼰定时触发任务)、消息路由 (统⼀对接各种聊天软件)、持久记忆(跨会话记住上下⽂)、 以及⼀个绑在具体硬件上的本地运⾏时(能碰你的⽂件和局域⽹设备)。 Karpathy 的原话是“a new layeron top of LLM agents”——不是替代 Agent ,是让 Agent 能“住下来”的那层基础设施。
⼀个⼩项⽬,为什么让⼤神兴奋
整条推⽂⾥信息密度最⾼的部分 ,是他聊⼀个叫 NanoClaw 的⼩项⽬ 。
NanoClaw 是 OpenClaw 的轻量替代品——体量不到 OpenClaw 的 1%。 Cohen 在 README⾸页第⼀句话就是:“同样的核⼼功能 ,8 分钟就能看懂的代码库。 ”核⼼代码只有⼏百⾏ ,整个项⽬⼤约 35000 个 Token ,只占 Claude Code 上下⽂窗⼝的 17%。每个 Agent 跑在真正的 Linux 容器⾥ ,做到了⽂件系统级 的隔离。 Cohen 打了个⽐⽅: 哪怕发⽣Prompt 注⼊攻击 ,“爆炸半径也被死死限制在那个容器和对应的通信渠道⾥ ”——⽽OpenClaw 呢?你家庭群的 Agent 和连着⼯作代码仓库的 Agent 跑在同⼀个进程 ,共享内存 ,中间没有任何操作系统级的墙。
35000Token 这个数字为什么重要?因为 AI agent 可以⼀⼝⽓读完 NanoClaw 的全部代码 ,完全理解,直接上⼿写新功能。 OpenClaw 的 40 万⾏得跨好多个上下⽂窗⼝——⼈看不完 ,AI 也看不完。
Karpathy 特别喜欢两点。第⼀ ,代码少到“装得进我脑⼦ ,也装得进 AI 的脑⼦ ”——看得懂、查得清、改得动。第⼆ ,NanoClaw 有⼀个让他“有点炸脑”的设计:⽤Skills 代替配置⽂件。
什么意思?举个例⼦。
传统做法:你想让 AI 助⼿接⼊Telegram ,得去改配置⽂件 ,填 API 密钥 ,写⼀堆判断逻辑——“消息从 Telegram 来⾛这条路 ,从微信来⾛那条路”。功能越加越多 ,配置⽂件越来越厚 ,最后配置本⾝变成了 ⼀坨谁都不想碰的怪兽。
NanoClaw 的做法:你跟 AI 说⼀句/add-telegram 。AI 读取这条“Skill”——其实就是⼀份说明书 ,告诉 AI“要接⼊Telegram ,改哪些⽂件、 怎么改”。然后 AI⾃⼰动⼿改代码 ,搞定。
不是⼈写配置 ,是 AI 照着知识改代码。
Cohen 管这套思路叫“Skills over Features”——技能优先于功能。 NanoClaw 明确不⿎励往主分⽀提交新功能:你想加 Slack⽀持?别提 PR ,写⼀个 Skill。 Cohen 说得⼲脆:“每个⼈应该只拥有跑⾃⼰Agent 所需的那些代码。 它不是瑞⼠军⼑ ,是⼀个安全的底座 ,你通过跟 AI 对话来定制。 ”
Karpathy 从这⾥提炼出⼀句话 ,我觉得是整条推⽂最核⼼的洞察:
写⼀个最⼤程度可被改造的代码底座 ,然后⽤Skills 把它变成任何你想要的样⼦。
原⽂:“the implied new meta is to write the most maximally forkable repo and then have skills that fork it into any desired more exotic configuration.”
说⽩了:最厉害的软件不是功能最多的 ,⽽是最容易被改成任何样⼦的。
Karpathy 的回复⽐原推还猛
Cohen 在推⽂下⾯现⾝ ,解释了设计思路。他说 Skills 系统像“shadcn for integrations”。
shadcn 是前端圈很⽕的 UI 组件库。别的组件库让你装⼀个包、通过参数配置来⽤;shadcn 是直接把源代码复制进你的项⽬——代码就是你的 ,想怎么改怎么改。⼀个组件就是加⼀个⽂件、改⼏个接⼊点,⼲净利落。
Skills 对“集成”做了⼀样的事:不是配出来的 ,是⻓在你代码⾥的。
Karpathy 接的这⼀句更猛。 他说这让他想起了深度学习⾥⼀篇经典论⽂——2017 年的 MAML。
MAML⼲嘛的?最通俗地说:普通的 AI 训练——拿⼀万张猫的图⽚ ,训练出⼀个识别猫的模型。换成识别狗?重新来。
MAML 的思路——不追求把“识别猫”练到极致 ,追求练出⼀个底⼦ ,不管丢过来什么新任务——猫、狗、花——只要看⼏个例⼦就能学会。 不当单项冠军 ,当最快上⼿的万能选⼿。
Karpathy 说他⼀直琢磨⼀个问题:这个思路搬到软件领域 ,对应的是什么?现在他看到了——最容易被 fork(复制并修改)的代码仓库。
NanoClaw 就是软件版的 MAML:不把功能堆到最全 ,把底座做到“谁拿到⼿ ,⼏步就能改成⾃⼰想要的样⼦ ”。
⼀句话:学会怎么学 ,⽐学会什么重要。容易被改 ,⽐功能⻬全重要。
这不只是理论。 Cohen 兄弟已经拿 NanoClaw 在跑⾃⼰的公司了。他们的 AI 营销公司 Qwibit 有个 NanoClaw 实例叫“Andy”,管着整条销售管线。Andy 每天早上 9 点⾃动汇报线索状态、分配当天任务。 ⽩天兄弟俩往 WhatsApp 群⾥随⼿转各种客⼾笔记、 邮件线索 ,Andy⾃⼰解析、更新知识库和数 据库、设好跟进提醒。 Cohen 说:“我不直接碰销售管线了 ,Andy 替我管。 ”——这就是 Claw 从概念变成⽇常的样⼦。
AI 时代 ,⽼规矩要改了
Cohen 在采访⾥还聊到⼏条很有冲击⼒的看法——做 NanoClaw 让他意识到 ,AI Agent 正在动摇程序员奉了⼏⼗年的⽼规矩。
“不要重复⾃⼰ ”( DRY 原则)可能过时了。以前写代码贵 ,所以⼤家把通⽤逻辑抽成共享函数 ,改⼀ 处全局⽣效。但 AI Agent 改共享函数的时候 ,改完就⾛ ,不会回头看下游有没有被波及。 反⽽是复制⼀ 份代码更安全——出了问题只炸局部。 Cohen 说:“维护重复代码的成本已经很低了。让 AI 跑⼀遍 ,同样的改动它会铺到所有地⽅ 。 ”
严格的⽂件⾏数限制也该松了。Cohen 早期给 Claude Code 设了 120⾏的上限 ,结果 AI 花在拆⽂件、 重构上的时间⽐写功能还多。现在的模型处理五百到⼀千⾏的⽂件毫⽆压⼒ ,旧规矩反⽽拖后腿。
代码不需要写得多漂亮。每隔三到六个⽉就有更好更便宜的模型出来 ,今天能跑就⾏——⼀年后更强 的 AI 会直接重写。 Cohen 说:“我们今天写的代码 ,不需要为了未来⼏年⽽存在。 ”
这⼏条加在⼀起说的是同⼀件事: 当 AI 成了写代码和维护代码的主⼒ ,软件⼯程的经典原则需要重新校 准——不是因为它们错了 ,是因为成本结构彻底变了。
为什么 Karpathy 坚持买 Mac mini 跑本地
推⽂最后有句话很多⼈⼤概直接划过去了:
有个实体设备被⼀个⼩幽灵“附⾝ ”,变成你的个⼈数字家庭⼩精灵 ,这件事在美学上就很让⼈愉悦。
这不是随⼝⼀说。 Karpathy 去年的年终总结⾥反复⽤ “ghost”(幽灵)描述 AI——⼤语⾔模型不是“慢慢进化出来的动物” ,是“被召唤出来的幽灵” ,智⼒形状很奇怪 ,某些⽅⾯像天才 ,某些⽅⾯像⼩学⽣。
早先这个“幽灵”住在云端 ,你得打开⽹站去找它。后来 Claude Code 出来了 ,“幽灵”搬进了你的终端,帮你写代码。现在 Claw⼜进了⼀步——“幽灵”住进了你家⾥⼀台⼩设备 ,连着你的智能灯泡、你的⽇历、你的聊天软件 ,⽩天替你处理杂事 ,晚上⾃⼰排明天的活。
Karpathy 选本地不选云端 ,不只是技术上的偏好 ,背后是⼀个⼀以贯之的态度:AI 应该是你拥有的、你看得懂的、在你⾝边的东西——不是某家⼤公司的⿊盒⼦。 ⼏百⾏核⼼代码看得完 ,容器跑在我⾃⼰的硬件上 ,每个 Skill 我能审查——都是这个态度的体现。
⼀个新品类正在成型
同⼀天 ,Python 界元⽼Simon Willison 发⽂确认:“Claw”正在变成⼀个⾏业术语 ,指代这⼀整类系统。
这个品类⻓什么样?⼏条特征已经很清晰:
跑在你⾃⼰的硬件上 ,不是别⼈的云服务;
通过聊天软件交互——WhatsApp、Telegram、 Discord ,不⽤专⻔学⼀套新界⾯;
不只是你问它答——它能⾃⼰安排任务、定时执⾏ 、 主动找你汇报;
有持久记忆 ,知道你上周跟它说了什么;
能⼒靠 Skills 扩展 ,像装插件⼀样给它加新本事。
OpenClaw 是引爆点 ,但 Karpathy 真正在意的不是 OpenClaw 这个项⽬——安全上他说了不放⼼。他在意的是这个品类背后的架构层。 NanoClaw、 nanobot、zeroclaw、 ironclaw、 picoclaw……⼀堆名字在冒 ,说明⼤家都在往同⼀个⽅向跑。
⽤Karpathy 的话把这个技术栈重新理⼀遍:⼤模型是顾问→ Agent 是执⾏者→ Claw 是常驻员⼯。
最后这⼀层刚刚⻓出来。很粗糙 ,安全问题⼀堆 ,Karpathy⾃⼰都说是蛮荒西部。但他的判断也很清楚:⽅向对了 ,剩下的是⼯程问题。
Cohen 最近上了趟 CNBC ,回来发推说了句更带劲的话:“整个产品品类正在被⼏⾏⽂字取代。监控⼀ 个⽹站的变化 ,以前是你每⽉花 8 美元订的 SaaS。现在就是⼀条 Prompt。”
Claw ,就是让这条 Prompt 住下来、⼀直跑下去的那层东西。
Karpathy 嘴上说着安全噩梦 ,⾝体很诚实——Mac mini 已经买了。
Karpathy 原帖:htps://x.com/karpathy/status/2024987174077432126
