2025 年 AI Agent 框架市场规模达到 78.4 亿美元,预计 2030 年将增长到 526 亿美元(Grand View Research,2025)。在这个赛道上,两个名字占据了 2026 年的大部分讨论:OpenClaw(35.9 万 GitHub Star,TypeScript)和 Nous Research 出品的 Hermes Agent(10 万 + GitHub Star,Python)。
选框架不只是工具偏好问题,它决定了你的 agent 怎么学习、怎么扩展、怎么保护自己。这篇文章从 10 个维度拆解这两个框架的差异——基于双方项目数据、独立安全审计和社区反馈。
TL;DR
- OpenClaw 以网关为中心,擅长多渠道消息路由。Slack、Discord、WhatsApp、Web 都能接,社区技能库超过 44000 个。适合需要快速打通多个平台的团队。
- Hermes Agent 以 agent 为中心,擅长自我进化。它从每次任务中学习,自动创建和优化技能,重复任务速度可提升 40%。适合运行高频重复工作流的团队。
- 安全差距悬殊。 OpenClaw 上线三个月就出现了超过 100 个 CVE 和 137 个安全公告。Hermes Agent 目前零 agent 层面 CVE,但默认配置是全开权限,需要手动加固。
- 两者可以协同工作。 通过 MCP 和 A2A 协议,OpenClaw 负责渠道路由,Hermes 负责智能执行。
两种设计哲学
Gartner 预测到 2026 年底,40% 的企业应用将集成专用 AI Agent——而 2025 年这个比例还不到 5%。 当团队开始把 Agent 部署到生产环境时,框架选择决定了 agent 今天能做什么,更决定了它明天能进化成什么。
OpenClaw 在 2025 年底发布,60 天内打破了 React 保持了十年的 GitHub Star 增长记录,目前拥有 320 万月活用户和 50 多万个运行实例。它的核心判断:最难的问题是路由和控制。 把消息从所有渠道送到正确的 agent 手里,配上正确的工具,然后让 LLM 处理剩下的事。
Hermes Agent 由 Nous Research 于 2026 年 2 月 25 日发布,七周内积累了 9.56 万 GitHub Star,建立了 3 万人的 subreddit 社区。它的口号——"The Agent That Grows With You"——反映了另一个判断:最难的是记忆和自我进化。 一个能记住学到的技能的 agent,比一个只是被妥善路由的 agent 更有价值。
架构:网关中心 vs Agent 中心
OpenClaw 把网关放在中央,Hermes 把 agent 本身放在中央。 这不是语言选择问题——这是对"什么东西应该在 AI agent 系统中央"的不同回答。
OpenClaw:网关即中心
OpenClaw 是一个 Node.js 22+ 单进程,默认绑定 127.0.0.1:18789。网关拥有所有消息入口——WhatsApp、Telegram、Slack、Discord、Signal、iMessage、WebChat——同时充当路由、认证、限流和会话管理的中央控制面。
它的核心创新是 Lane Queue 系统:默认串行执行,只有明确标记为低风险的任务才允许并行。每个 session 同一时刻只允许一个活跃执行,避免竞态条件。并行上限可配,主通道默认 4 个并发,子 agent 通道默认 8 个。
消息流是一个一致的循环:通道适配器标准化输入 → 网关路由到 session → agent 加载上下文和技能 → 发送到 LLM → 执行工具调用 → 流式输出 → 持久化状态。网关拥有每一个环节。
Hermes Agent:Agent 即中心
Hermes 是一个 Python 3.11+ 运行时,AIAgent 类是最基本的计算单元。Prompt Builder 从人格、记忆、技能和模型指令中组装上下文。运行时解析器 把 provider/模型组合映射到 API 配置,支持 18 个以上的 LLM 提供商,系统设计上就是模型无关的。中央工具注册表 管理 47 个注册工具,分布在 19 个工具集,每个工具在 import 时自动注册。
Hermes 提供六种执行环境:本地、Docker、SSH、Daytona、Singularity 和 Modal。Serverless 选项(Daytona、Modal)在闲置时接近零成本。
实践中的差异
OpenClaw 通过中央网关给运营团队完全的可见性和控制力——审计日志、限流、模型切换都在一个点完成。Hermes 把更多自主权交给 agent 本身,运行解析器和工具注册表服务于 agent 的决策,而不是中央控制器的规则。
对于需要跨渠道部署的客服机器人,OpenClaw 的网关模式更自然。对于需要学习和改进的内部自动化任务,Hermes 的 agent 优先架构更合适。
学习能力:自主进化 vs 无状态会话
这是两个框架最尖锐的区别,也是最可能决定哪个适合你的维度。 一个能自主学习和改进,另一个每次都是全新开始。
Hermes 的五步学习循环
Hermes 在每个非平凡任务上执行结构化的学习流程:
- 接收 用户消息或定时触发器
- 检索 通过 FTS5 全文搜索查询持久化记忆(1 万 + 文档下约 10ms 延迟)获取相关的过往技能和记忆
- 推理和执行 LLM 规划任务并调用工具
- 记录结果:如果任务涉及 5 次以上工具调用,agent 自动生成技能文件(遵循 open agentskills.io 标准)
- 持久化:技能编入记忆索引,后续 session 可用
大约每 15 次工具调用,Hermes 会反思:哪些有效、哪些失败,然后自动生成或更新技能文件。结果可量化:Nous Research 的基准测试显示,拥有 20 个以上自创技能的 agent 完成研究任务的速度比全新的实例快 40%,且无需手动调整 prompt。
但改进是领域相关的。从 GitHub PR 总结中生成的技能,不会自动转用到数据库迁移规划上。40% 的速度提升在持续使用的垂直领域中最明显。
OpenClaw 的无状态模型
OpenClaw 的每个 session 都从零开始,依赖开发者或社区手动创建和注册技能。Agent 每次访问相同的工具和指令,但不会结构化地积累经验。
Session 状态以 JSONL 格式存储在 ~/.openclaw/agents/<agentId>/sessions/<sessionId>.jsonl,每行代表一条消息或事件。当日志增长到模型上下文窗口上限时,旧消息会被"压缩"。项目文档明确划了红线:"Session 是用来推理的,不是用来存储的。"
持久化层(DuckDB、workspace 文件系统)可以存储持久数据,但 agent 没有机制自主从经验中提取、测试和优化可复用的流程。
成本权衡
学习循环不是免费的。Hermes 的反思和优化模块额外消耗约 15-25% 的 token。但这个成本会被摊销:一旦技能存在,未来执行类似任务时无需完整推理链,同时节省时间和 token。AWS 成本分析显示,有状态 AI 应用的运营成本通常是无状态等价物的 2-3 倍,但技能复用的累积效率提升可以抵消这部分开销。
生态系统:市场广度 vs 自我生成
OpenClaw 的 44000+ 技能 vs Hermes 的 118 个内置技能 + 自主生成——这反映了两种完全不同的生态策略。
OpenClaw:市场模式
ClawHub 目前托管超过 44000 个社区技能,2025 年 11 月这个数字还是 850——五个月增长约 50 倍。分类涵盖代码和 IDE(22.7%)、Web 开发(17.6%)、DevOps 和云(7.5%)、研究(6.6%)和浏览器自动化(6.2%)。项目有超过 1800 名贡献者和 73200 个 fork。
但规模伴随问题。OpenClaw 的"留存率"——初次接触后继续深度使用的用户比例——只有 17%。市场采用开放发布模式,仅要求 GitHub 账号注册满一周,这造成了后续安全部分会详述的严重安全隐患。
Hermes Agent:自我生成模式
Hermes 附带 118 个精选内置技能,涵盖网页控制、Gmail/日历/云端硬盘/通讯录/表格/文档集成、Spotify 控制、YouTube 转录处理、arXiv 学术论文检索、GitHub PR 工作流和 Excalidraw 制图。社区规模较小(515 名贡献者,10 万 + Star),但增长很快——两个月内增加了 4.7 万 Star。
关键区别在于自我生成。由于 agent 在日常使用中自己创建技能,生态差距会随时间缩小。运行了数周的 Hermes 实例会积累一套任何市场无法复制的领域技能——因为它们编码了那个团队自己的工作流、偏好和工具配置。
记忆架构:三层持久化 vs SOUL.md
记忆是区分"好 agent"和"和你一起成长的 agent"的基础设施。
Hermes 的三层记忆
第一层:系统 Prompt 记忆(MEMORY.md 和 USER.md)。 每个 session 都会注入一份冻结快照。MEMORY.md(2200 字符上限,约 800 token)存储环境事实、约定、已完成工作和修正。USER.md(1375 字符上限,约 500 token)存储沟通偏好、工作风格和期望。
第二层:情景记忆(技能)。 每个任务完成后,Hermes 向 ChromaDB 向量数据库写入结构化记录,包含任务描述、工具调用、有效做法和失败原因。新任务时,它会向量化请求并做语义相似度搜索,高匹配结果注入到规划 prompt 中。
第三层:Session 搜索。 所有 session 记录到 SQLite 数据库(~/.hermes/state.db),启用 FTS5 全文索引。Agent 通过 session_search 工具访问,可以回答"上次我们讨论过 X 吗?"或"上周的认证服务问题结论是什么?"这类问题。
系统还支持 8 个外部记忆提供者插件(包括 Mem0、Honcho 和 Hindsight),架构上是可插拔的。
OpenClaw 的 SOUL.md
OpenClaw 用 SOUL.md 作为身份层——一个 Markdown 配置文件,定义 agent 的人格、价值观、语气和行为边界。它在每个 session 开始时第一个被注入上下文。额外的工作区文件(AGENTS.md、USER.md)提供补充信息。
压缩系统处理上下文窗口压力。当 session 接近 token 上限(某些模型约 20.5 万 token)时,旧消息会被摘要以便对话继续。Session 重置选项包括每日重置(当地时间凌晨 4:00)、闲置重置和手动重置。
最大的瓶颈是上下文消耗。在复杂工作区中,工作区文件注入每次消耗约 35600 token。持续日志记录一周后,agent 会把一半的上下文窗口花在翻阅旧日志上。对需要长期记忆的工作流来说,这是一个根本性的扩展瓶颈。
安全性:CVE 历史和供应链风险
安全性可能是生产环境中这两个平台之间最关键的差距——是结构性的,不是边缘性的。
OpenClaw 的 CVE 记录
安全研究员 Joel Gamblin 的公开追踪器在 2026 年 2 月 2 日到 4 月 4 日之间记录了 137 个安全公告,大约每 15 小时一个。CertiK 的系统性分析记录了超过 280 个 GitHub 安全公告、超过 100 个 CVE 和 13.5 万个暴露的实例。
关键漏洞包括:
- CVE-2026-25253(ClawBleed): 一键远程代码执行,通过跨站点 WebSocket 劫持实现。恶意网站可窃取认证令牌并获得网关完全控制权。
- CVE-2026-32922: Token 轮转提权(CVSS 9.9)可升级为远程代码执行——OpenClaw 历史上最严重的漏洞。
- CVE-2026-33579: 审批命令路径中的提权漏洞。
2026 年 3 月单月出现超过 15 个 CVE,其中至少三个评分达到 CVSS 9.4 以上,有九处在四天内集中披露。
ClawHub 供应链攻击
ClawHub 市场遭遇了代号"ClawHavoc"的供应链攻击。初步审计发现 341 个恶意技能;更新后的扫描报告超过 1184 个恶意包。单名攻击者("hightower6eu")在一次自动化攻击中提交了 354 个恶意包。恶意技能部署了 macOS 上的 Atomic Stealer(AMOS)和 Windows 上的 Vidar 信息窃取器,目标锁定浏览器凭据和加密货币钱包。
结构性问题是 ClawHub 的技能在运行时拥有完整的系统访问权限,没有沙箱。恶意技能可以写入 agent 的记忆和配置文件,注入跨 session 持久化的指令。Snyk 的 ToxicSkills 审计发现 36.82% 的技能存在安全缺陷。
Hermes Agent 的安全状况
截至 2026 年 6 月,Hermes Agent 零 agent 层面 CVE。对 v0.8.0 的独立安全审计(812 个 Python 文件,约 36.4 万行代码)没有发现恶意软件或数据泄露,评价代码"意图良好"。但审计也在默认配置中发现了 4 个严重和 9 个高危问题——主要原因是默认安全策略是全部放行。
Hermes 的纵深防御安全模型包括:
- 命令审批系统: 模式匹配检测破坏性命令并触发审批回调
- 沙箱选项: 六种终端后端可以限制命令执行环境
- 凭据保护: 敏感环境变量不会传递给子进程
118 个精选技能的模型天然减少了攻击面。自主生成的技能由 agent 自己创建,完全消除了第三方供应链的入口。
安全底线
两个平台开箱都不安全。区别在于工作的性质不同:OpenClaw 需要审查每一个第三方技能;Hermes 需要收紧默认的"全部放行"权限模型。
对比总表
| 维度 | OpenClaw | Hermes Agent | 优势 |
|---|---|---|---|
| 架构 | 网关优先,TypeScript/Node.js 22+ | Agent 优先,Python 3.11+ | 取决于技术栈 |
| 学习能力 | 无状态;无自主技能创建 | 自我进化;20+ 技能后重复任务快 40% | Hermes |
| 生态规模 | 44000+ ClawHub 技能,35.9 万 Star | 118 个精选 + 自主生成,10 万 + Star | OpenClaw(广度) |
| 记忆 | SOUL.md session 注入;上下文压缩 | 三层持久化:prompt 记忆 + 情景技能 + 全文搜索 | Hermes |
| 安全 | 100+ CVE,137 公告;1184 个恶意包 | 零 agent CVE;默认 ALLOW-ALL 需加固 | Hermes |
| 技能来源 | 社区市场 + 手动创建 | 自主生成 + 118 内置 + 社区 | 看场景 |
| 搭建复杂度 | 2-5 分钟起步,30-90 分钟 VPS | 一行 curl 安装,纯自托管 | OpenClaw |
| 多 Agent | 内置编排器,三种协作模式 | ACP 委托 + 多配置 | OpenClaw |
| 成本 | 自托管 $40-80/月,托管的 $59/月 | $6-65/月(看模型),学习循环摊薄成本 | Hermes(规模化后) |
| 混合兼容 | MCP + A2A,可做接入网关 | MCP + ACP + A2A,可做学习后端 | 两者 |
搭建体验
OpenClaw 的起步
OpenClaw 提供了最快的上手路径:
- 最快: 2 分钟,用 Ollama(
ollama run openclaw) - 标准: 约 5 分钟完成安装、配置向导和首次对话
- 自托管 Docker: 10-15 分钟
- 完整 VPS 部署: 30-90 分钟
配置向导引导完成 provider 设置并快速交付可用的聊天。主要前提是 Node.js 22+ 和一个 API 密钥。OpenClaw Cloud 完全免去搭建,每月 59 美元(首月 29 美元)。
长期挑战是维护。OpenClaw 每月发布 1-2 个大版本,频繁引入破坏性变更。社区估算生产级自托管实例的 DevOps 开销每年在 1 万到 2 万美元之间。
Hermes Agent 的起步
curl -fsSL https://raw.githubusercontent.com/NousResearch/hermes-agent/main/scripts/install.sh | bash单行命令处理所有依赖(Python、Node.js、ripgrep、ffmpeg)、仓库克隆、虚拟环境、全局 hermes 命令和 LLM provider 配置。安装后,hermes model 配置 LLM,hermes tools 管理工具集,hermes gateway setup 连接消息平台。
Hermes 需要至少 6.4 万 token 上下文窗口的模型,不满足的在启动时直接拒绝。支持 Linux、macOS、WSL2 和 Android(Termux)。不支持原生 Windows。没有托管选项,纯自托管。
混合方案:一起用
两个框架今天就可以协作。 两者都支持 MCP 协议用于工具发现和调用。A2A(Agent-to-Agent)协议——由 Google 创建,现在归 Linux 基金会管理,得到微软、AWS、Cisco 和 Salesforce 支持——进一步扩展了互操作能力。
推荐的混合架构:OpenClaw 作为集成网关,处理多渠道路由、会话管理和限流。Hermes Agent 处理实际的执行任务,发挥其学习循环和技能积累的能力。MCP 连接工具调用,A2A 实现 agent 间任务委托。
对于已经在用 OpenClaw 的团队,hermes claw migrate 提供了附带模拟预览的迁移工具。
怎么选
选 OpenClaw
- 需要快速打通多个渠道(WhatsApp、Telegram、Discord、Slack 等)
- 团队以 TypeScript 为主
- 侧重客服机器人场景
- 想要托管服务免运维
选 Hermes Agent
- agent 需要越用越聪明,重复任务多
- 安全要求高
- 团队是 Python/ML 背景
- 需要持久化的跨 session 记忆
两个都要
- 需要 OpenClaw 的集成广度 + Hermes 的学习深度
- 场景同时覆盖客户交互和内部自动化
- 有团队能力维护两套系统
数据来源:官方文档、GitHub 仓库、独立安全审计(Snyk ToxicSkills、CertiK)、Joel Gamblin 的 CVE 追踪、Nous Research 基准测试和社区分析。本文仅提供信息参考,不构成对任一平台的推荐。Nestify 融合了两种架构的思路,把它变成家庭用户可以直接使用的简单功能——你不需要关心背后跑的是哪种 agent,只需要感受它帮你省下的时间。