Claws giờ đây là một lớp mới được thêm lên trên các tác tử LLM

 (twitter.com/karpathy)
14 điểm bởi GN⁺ 2026-02-22 | 2 bình luận | Chia sẻ qua WhatsApp
  • Sau khi các tác tử được thêm lên trên LLM, một lớp Claws đã xuất hiện để đảm nhiệm điều phối, lập lịch, quản lý ngữ cảnh, gọi công cụ và tính bền vững ở phía trên đó
  • Trừu tượng hóa cấu trúc thực thi của tác tử lên thêm một bậc để đạt được mức tự động hóa và khả năng cấu hình ở cấp cao hơn
  • OpenClaw được cấu thành với quy mô khoảng 400.000 dòng mã, và tồn tại lo ngại về cấu trúc ủy quyền dữ liệu cá nhân và khóa
  • Đã xuất hiện nhiều rủi ro bảo mật như các instance bị lộ, lỗ hổng RCE, ô nhiễm chuỗi cung ứng, và các trường hợp skills độc hại hoặc bị hỏng trong registry
  • Hệ sinh thái hiện tại gần như một “miền viễn Tây” và là môi trường gần với một cơn ác mộng về bảo mật
  • NanoClaw có core engine khoảng 4.000 dòng nên là một cấu trúc tương đối nhỏ gọn
    • Quy mô mã đủ nhỏ để có thể nắm được trong đầu, có lợi về mặt quản lý, kiểm toán và tính linh hoạt
  • Về cơ bản, mọi thực thi đều được chạy trong môi trường container
  • Áp dụng cách cấu hình thông qua skills thay vì tệp cấu hình
    • Lệnh /add-telegram chỉ cho tác tử cách chỉnh sửa mã thực tế
    • Một cách tiếp cận mới dựa trên AI giúp giảm các tệp cấu hình phức tạp và cấu trúc phân nhánh điều kiện
  • Chiến lược meta tạo ra một repository dễ fork nhất có thể, rồi để skills biến đổi nó thành nhiều cấu hình khác nhau là một ý tưởng rất xuất sắc
  • Nhiều dự án biến thể đã xuất hiện như nanobot, zeroclaw, ironclaw, picoclaw
  • Cũng có các phương án thay thế lưu trữ trên đám mây, nhưng môi trường cục bộ thuận lợi hơn cho thử nghiệm và mở rộng
    • Đồng thời cũng dễ kết nối với các thiết bị tự động hóa gia đình dựa trên mạng nội bộ
  • Sức hấp dẫn về mặt khái niệm của một tác tử số cá nhân hoạt động trên thiết bị vật lý
  • Claws đang định vị себя như một lớp mới của AI stack và định nghĩa cấu trúc của giai đoạn sau tác tử
  • Cấu hình cuối cùng cụ thể của tôi vẫn chưa được chốt, nhưng tôi có kỳ vọng rất cao vào nó như một cấu trúc mang tính thử nghiệm và có thể mở rộng

Bài viết liên quan

2 bình luận

 
xguru 2026-02-22

NanoClaw – trợ lý Claude viết bằng TypeScript chỉ với 500 dòng, chạy trong môi trường cô lập container của Apple

Lúc công khai thì là 500 dòng, nhưng giờ có vẻ đã thành 4000 dòng rồi ??
 
GN⁺ 2026-02-22
Ý kiến trên Hacker News

  • Nhiều bình luận có công kích cá nhân đã bị xóa
    Trên HN, dù bất đồng quan điểm thì tuyệt đối cũng không được công kích cá nhân. Điều đó làm tổn hại mục đích của trang web
    Nếu gần đây bạn chưa đọc lại hướng dẫn, rất nên xem lại

    • Không có công kích cá nhân, chỉ là sự bất mãn về việc cứ liên tục đổi thương hiệu cho cùng một chức năng. Vì không có đổi mới thực sự nên mọi người mới tức giận. Nếu chuyện này xảy ra vào thời đầu của REST API thì khi đó người ta cũng sẽ phẫn nộ như vậy

  • Xét về mặt bảo mật, có Claw cũng giống như có trợ lý con người hay tư vấn viên
    Cũng như bạn không giao quyền truy cập email cá nhân hay tài khoản ngân hàng, nên thiết lập kiểu cấp một email riêng và thẻ công ty với quyền hạn giới hạn

    • Nhưng với chính trị gia hay lãnh đạo, việc trợ lý quản lý email hoặc SNS là chuyện khá phổ biến
      Dù không giao tài khoản ngân hàng, đôi khi họ vẫn cấp quyền truy cập cho kế toán hoặc cố vấn tài chính

  • Khi tôi tạo một công cụ agent dựa trên CLI, có một cơ chế an toàn tôi đã thêm vào
    Muốn thực hiện hành động nguy hiểm (ví dụ: gửi email hàng loạt) thì phải yêu cầu mật khẩu dùng một lần (OTP)
    Công cụ sẽ chỉ thị cho agent yêu cầu người dùng nhập OTP, và nếu không có thì không thể tiếp tục
    Tôi vẫn chưa thử Claw, nhưng tôi nghĩ cấu trúc có con người can thiệp như thế này là bắt buộc
    Vì vậy tôi tự viết toàn bộ CLI cho agent để tăng khả năng kiểm soát

    • Điện toán ngày nay đang dần giống Sim City: chỉ lập một kế hoạch mơ hồ rồi mong hệ thống tự vận hành ổn thỏa. Có cảm giác vẻ đẹp của những quy tắc có thể dự đoán được đang biến mất
    • Một cách khác là mô phỏng quy trình phê duyệt kiểu doanh nghiệp. Các tác vụ quan trọng sẽ có một người phê duyệt (approver) riêng, agent gửi tin nhắn cho người đó để xin duyệt. Đây là cách tin vào kênh phê duyệt thay vì dùng OTP
    • Nhưng lại có câu hỏi là phải cưỡng chế tiêu chí “không được gửi email cho quá nhiều người” như thế nào
    • Tôi đang tự chạy Claw của mình trên fly.io. Các việc cần con người can thiệp như email, tin nhắn Slack... được tách thành “activity”, tạo link và chỉ được thực thi khi tôi phê duyệt
    • Tôi đã làm một phiên bản có LLM nội bộ và lớp điều phối quyền hạn bên ngoài. Tôi cho rằng không cần OTP. Lớp bên ngoài sẽ gửi thông báo cho tôi qua Signal, và mỗi lần như vậy tôi sẽ quyết định có phê duyệt hay không

  • Nếu Claw đã tồn tại từ trước thì Internet có lẽ đã khác
    Cấu trúc menu đơn giản dựa trên giao thức Gopher có thể còn phù hợp với LLM hơn
    Nếu tương tác xoay quanh agent phía người dùng tăng lên trong tương lai, có lẽ nó sẽ tiến hóa theo hướng đó

    • Chúng ta phải tự tạo ra tương lai đó. Một thế giới nơi mọi dịch vụ chỉ tồn tại dưới dạng API, và agent của tôi sẽ phối hợp chúng
      Nếu YouTube, Gmail, HN, ngân hàng, công ty điện lực đều là API, người dùng có thể tự cấu hình giao diện theo cách họ muốn
      Các công ty sẽ phản đối vì thế độc quyền bị phá vỡ, nhưng công nghệ sẽ ít sinh lời hơn mà lại có giá trị hơn
    • Khoảng năm 1992, trước thời kỳ thẻ IMG, tôi đã thử nghiệm bằng cách tạo các cặp DNS như foo-www, foo-http
      Khi đề xuất CGI xuất hiện, tôi nghĩ “chẳng ai dùng cái này đâu”, nhưng cuối cùng mọi người đều triển khai đặc tả đó. Thật tiếc vì đã bỏ lỡ sự linh hoạt ban đầu của thời kỳ ấy
    • MCP đã đi theo hướng đó rồi. Đó là cấu trúc để LLM truy cập dịch vụ bằng văn bản
      Tôi đang nói chuyện với instance OpenClaw trên máy Mac của mình qua Telegram. Tức là tôi đã dùng một giao diện mới thay cho UI ứng dụng rồi
      Hợp lý hơn là tạo giao diện lấy agent làm trung tâm thay cho cửa sổ dành cho con người, và chỉ giữ lại giao diện để xác minh
    • Về mặt kỹ thuật, mọi website đều có thể cung cấp API, nhưng vì vấn đề động lực lợi ích nên đa số không muốn làm vậy. Trường hợp Google Search API là một ví dụ
    • Có lẽ Claw không thể tồn tại từ trước được. Dữ liệu huấn luyện LLM xuất hiện nhờ WWW phổ biến rộng rãi, và nếu không có hạ tầng đó thì bản thân việc huấn luyện quy mô lớn đã là bất khả thi

  • Cốt lõi thật sự của Claw là nó là agent lấy người dùng làm trung tâm
    Kiểu AI mà mọi người ghét là AI do doanh nghiệp kiểm soát. Claw là thứ thuộc sở hữu của người dùng, thậm chí còn được người dùng đặt tên
    Nó giống như sự khác biệt giữa một người bạn đồng hành kiểu R2D2 và một robot humanoid bản sao đang cố bán đồ cho tôi

    • Đồng ý. Những thế lực mạnh sẵn có như các nhà cung cấp OS có lẽ chỉ cố tích hợp mô hình lấy người dùng làm trung tâm này vào sản phẩm của họ sau khi nó đã trải qua một mức độ hỗn loạn nhất định
    • Nhưng còn tùy “người dùng” là ai. Là người khởi chạy agent, hay là người tương tác với nó? Vế sau có thể trở thành nạn nhân

  • Tôi tò mò không biết chính xác “Claw” là gì.
    Có phải là AI truy cập dữ liệu cá nhân như email không?
    Nếu chạy bằng local LLM trong container thì có an toàn không?

    • Theo tôi, đó là một hình thức mới của trợ lý số cá nhân.
      • Cá nhân trực tiếp sử dụng
      • Truy cập terminal có thể thực thi mã
      • Tích hợp ứng dụng chat
      • Khả năng chạy theo lịch
      • Truy cập dữ liệu nhạy cảm như email, lịch, tệp
        Có thể chạy trên phần cứng tiêu dùng hoặc VPS. Một thị trường mới đang mở ra
    • Với tôi, nó giống cron-for-agents: chạy theo chu kỳ, kiểm tra hộp thư đến và tự động xử lý công việc
      Nó dùng thông tin xác thực của tôi để làm việc một cách bất đồng bộ. Đơn giản nhưng thú vị
    • Nhưng chạy trong container không làm biến mất rủi ro cốt lõi
    • Có người châm biếm rằng Claw chỉ đơn giản là “một trạng thái tâm lý tự phơi mình một cách liều lĩnh vì không muốn tụt lại trong cơn sốt AI”
    • Nhìn về mặt kỹ thuật, Claw là “agent trong hàng đợi”. Tức là LLM và tool tạo thành các vòng lặp, còn những vòng lặp đó được nối với nhau qua hàng đợi

  • Tóm tắt của tôi: OpenClaw có mức rủi ro bảo mật 5/5
    Ngay cả NanoClaw được audit hoàn hảo thì cũng tầm 4/5
    Có con người can thiệp thì tốt hơn, nhưng hiệu dụng lại giảm rất nhanh
    LLM rất giỏi trong việc tạo guardrail từ đặc tả ngôn ngữ hay test, nhưng tôi cho rằng tính ổn định quan trọng hơn

  • Có vẻ cái tên “Claw” sẽ trở thành cách gọi chung cho các agent AI cá nhân kiểu OpenClaw

    • Thật thú vị khi nhìn thuật ngữ này lan truyền kiểu viral. Biết đâu sau này luật sư sẽ đau đầu vì vấn đề nhãn hiệu. Giống như chữ “press” trong hệ sinh thái WordPress vậy

  • Mốt workflow agent gần đây đang phớt lờ vấn đề cốt lõi là không có ranh giới bảo mật
    Khi LLM có quyền truy cập shell không giới hạn và tải dữ liệu không đáng tin cậy, thì indirect prompt injection là điều không thể tránh khỏi
    Ngoài ra, nếu nhồi các system prompt khổng lồ và schema tool vào ngữ cảnh, khả năng suy luận nền tảng của mô hình sẽ giảm và độ dễ bị tấn công sẽ tăng lên

    • Thực ra ai cũng biết các rủi ro này, nhưng vì tính tiện lợi quá lớn nên họ vẫn chấp nhận dùng
    • Information Flow Control là lý tưởng, nhưng nếu không thay đổi giao thức trên toàn bộ các kênh tích hợp thì không thể hiện thực hóa
    • Không biết có ai có thể chia sẻ nghiên cứu liên quan không

  • Claw gắn thương hiệu cửa hàng còn ra mắt trước cả GTA VI
    Tự làm thì thấy chỉ cần 50 dòng mã là đủ
    Chỉ cần vài dòng thư viện Telegram và claude -p prooompt là được
    Có thể tham khảo mã ví dụ ULTRON
    Tất nhiên agent được giao cho bên ngoài, nhưng chỉ với 50 dòng Bash cũng có thể cho ra kết quả gần như hoàn hảo

    • Nhưng để dùng như một Claw thực thụ thì vẫn cần thêm cron