Tohle měl být díl o skills. O tom, jak agentovi přidat ruce. Jak ho naučit číst emaily, prohledávat dokumenty, generovat obrázky. Měl jsem ho rozepsaný, včetně dílu o autonomních agentech. Jenže čím víc jsem do OpenClaw zevnitř viděl, tím víc jsem si uvědomoval, že stavím na základech, kterým nevěřím. 91 procent úspěšnost prompt injection útoků. 341 škodlivých skills na oficiálním marketplace. CVE s CVSS 8.8 umožňující vzdálené spuštění kódu jedním kliknutím. A mezitím jsem si vedle toho, aniž bych to plánoval, postavil něco lepšího. Na Claude Code. Bez OpenClaw. Tohle je poslední díl seriálu. A zároveň první kapitola něčeho nového.
Vítejte u 5. a závěrečného dílu seriálu OpenClaw: Kompletní průvodce. V původním plánu měl seriál 10 dílů. Proč jich je pět a co to znamená pro vás, se dozvíte právě teď.
Proč jsem přestal OpenClaw důvěřovat
V prvním díle jsem probral bezpečnostní audit. Čísla byla alarmující, ale věřil jsem, že se dají mitigovat. Docker izolace, Tailscale, neprivilegovaný uživatel, sanitizace vstupů. Standardní bezpečnostní hygiena.
Jenže problém není v tom, co jde opravit. Problém je v tom, co nejde.
OpenClaw nemá bezpečnostní hranici mezi agentem a světem. Agent má přístup k vašim emailům, souborům, messaging platformám. A jakýkoliv text, který agent přečte, může obsahovat instrukce, které změní jeho chování. To není bug. To je architektonická vlastnost. A žádný regex, žádná sanitizace, žádný firewall to nevyřeší na 100 procent.
V díle 1 jsem citoval ZeroLeaks audit: 91 % prompt injection technik bylo úspěšných. Od té doby vyšly další audity a čísla se nezlepšila. Kaspersky našel 512 zranitelností. Cisco popsal OpenClaw jako noční můru. Koi Security odhalil kampaň ClawHavoc: 341 škodlivých skills distribuujících macOS malware přímo na oficiálním marketplace.
Čím víc skills agentovi přidáte, tím větší je útočná plocha. Simon Willison to nazývá smrtelnou trifektou: přístup k soukromým datům, vystavení nedůvěryhodnému obsahu a schopnost externě komunikovat. OpenClaw splňuje všechny tři body od prvního spuštění.
Co mě nakonec přesvědčilo
Nebyl to jeden moment. Bylo to postupné uvědomění, že stavím bezpečnostní opatření kolem systému, kterému sám nevěřím.
Psaní dílu o skills mě donutilo projít ClawHub marketplace detailně. Žádný povinný code review. Žádná verifikace autorů. Kdokoliv nahraje cokoliv. A lidé to instalují, protože chtějí „email skill“ nebo „calendar skill“ a nečtou zdrojový kód.
Psaní dílu o autonomních agentech mě donutilo přemýšlet o heartbeat mechanismu. Agent se sám probouzí každých 30 minut, čte emaily, kontroluje data, provádí akce. Bez vašeho vědomí, bez vašeho schválení. V kombinaci s prompt injection je to recept na katastrofu. Útočník pošle email s instrukcí, agent ji zpracuje při dalším heartbeatu, provede akci a vy se to dozvíte až když je pozdě.
A pak jsem se podíval na to, co mám vedle toho v Claude Code. A uvědomil jsem si, že jsem si OpenClaw nahradil. Lépe. Bezpečněji. Bez jediného řádku kódu v OpenClaw.
Co jsem si postavil místo OpenClaw
Pojďme to porovnat konkrétně. OpenClaw má pět klíčových souborů, které definují agenta. Tady je co mám v Claude Code:
Osobnost a pravidla
| OpenClaw | Můj Claude Code |
|---|---|
SOUL.md — persona agenta | .selfware/soul.md — identická funkce |
AGENTS.md — pravidla, workflow | CLAUDE.md + .claude/rules/*.md — modulární pravidla |
IDENTITY.md — jméno, verze | Součást soul.md |
USER.md — profil uživatele | .selfware/user.md — identická funkce |
TOOLS.md — dostupné nástroje | Tabulka MCP serverů v CLAUDE.md |
Výsledek je stejný. Agent mě zná, mluví mým stylem, dodržuje moje pravidla, pamatuje si kontext. Žádný OpenClaw framework k tomu nepotřebuji. Jsou to markdown soubory. Framework je jen obal.
Nástroje a skills
| OpenClaw skill | Můj MCP server | Rozdíl |
|---|---|---|
| Email skill z ClawHub | gmail (vlastní) | Vím přesně co dělá, žádný marketplace |
| Calendar skill | calendar (vlastní) | Plná kontrola nad scopes |
| Knowledge search | wiki (vlastní) | Fulltext + related docs scoring |
| RAG pipeline | MCP tools + Read/Grep | LLM prohledává soubory přímo |
Klíčový rozdíl: každý MCP server jsem napsal sám. Vím co dělá, jaká data vrací, jaké má limity. Žádný cizí kód, žádný marketplace, žádné supply chain riziko. A pokud potřebuji ověřit bezpečnost, pustím vlastní MCP security audit (10 automatických kontrol mapovaných na OWASP MCP Top 10).
Agentní pipeline
V OpenClaw bych použil sub-agenty: Boss deleguje na Workers, Workers vracejí výsledky. V Claude Code mám totéž:
Autoredaktor — pětičlenný tým pro psaní článků:
- Orchestrátor řídí celý pipeline
- Researcher hledá fakta z primárních zdrojů
- Redaktor píše článek
- SEO specialista optimalizuje
- Critic dělá finální review s verdiktem SCHVÁLENO/VRÁTIT
Každý agent má vlastní instrukce v .claude/agents/*.md. Orchestrátor je spouští jako subagenty, validuje výstupy, iteruje dokud Critic neschválí. Je to přesně ten Boss → Worker pattern, který OpenClaw nabízí. Bez OpenClaw.
Autonomní akce
Mám tři automatizované pipeline, které běží bez mého zadání:
Automakler prohledává realitní portály, filtruje dle mých kritérií a posílá mi email s vybranými nemovitostmi. Pokud nic nenajde, je ticho.
AutoHR hledá firmy a lidi, kteří poptávají AI řešení. Filtruje, vyřadí agentury a špatný fit, napíše personalizovanou zprávu a pošle mi draft ke schválení.
LinkedIn publisher publikuje naplánované příspěvky podle harmonogramu. Obsah připravím předem, publikace běží automaticky přes launchd.
Rozdíl oproti OpenClaw heartbeatu: každý pipeline má jasně definovaný scope. Automakler smí jen hledat a posílat email. LinkedIn publisher smí jen publikovat předpřipravený obsah. Žádný z nich nemá přístup ke všemu. V OpenClaw heartbeat má agent přístup ke všem skills najednou, protože běží v kontextu celého workspace.
Paměť
| OpenClaw | Claude Code |
|---|---|
| PostgreSQL + memory service | ~/.claude/.../memory/MEMORY.md |
| Automatická extrakce faktů | Automatická extrakce faktů |
| Přežívá sessions | Přežívá sessions |
| Ukládá z nedůvěryhodných zdrojů | Agent zapisuje, já schvaluji |
Poslední řádek je zásadní. OpenClaw ukládá do paměti cokoliv, co agent zpracuje. Včetně obsahu emailů, webových stránek, zpráv z Telegramu. Útočník vloží instrukci do emailu, agent ji zpracuje a uloží do paměti. Instrukce čeká týdny a aktivuje se, když se zeptáte na správný dotaz. Lakera demonstroval, jak zpráva v Discord chatu vedla přes memory poisoning až k reverse shellu.
V Claude Code agent navrhne co uložit do paměti. Já schválím nebo odmítnu. Žádný email, žádná zpráva z Telegramu se do paměti nedostane bez mého vědomí.
Bezpečnostní srovnání
| Vektor útoku | OpenClaw | Claude Code + MCP |
|---|---|---|
| Prompt injection | 91 % úspěšnost (ZeroLeaks) | Output sanitizace + human-in-the-loop schválení |
| Supply chain (skills) | 341 škodlivých skills na marketplace | Vlastní MCP servery + 2 ověřené npm balíčky |
| Memory poisoning | Automatické ukládání z nedůvěryhodných zdrojů | Agent navrhuje, já schvaluji |
| Autonomní akce | Heartbeat + cron, agent jedná bez dozoru | Scope-limited pipeline (automakler, autohr, linkedin) |
| Write operace | Agent může provádět akce přímo | Draft-only (email, faktura, článek) |
| Dashboard přístup | Port 18789, žádná autentizace (default) | Lokální CLI, žádný síťový přístup |
| RCE zranitelnost | CVE-2026-25253 (CVSS 8.8) | Neaplikovatelné (žádné WebSocket UI) |
Nejsilnější ochrana v celé tabulce je ta nejjednodušší: human-in-the-loop. Já schvaluji každou akci. Vidím co agent dělá, vidím parametry, vidím data.
A od nedávna to celé ovládám i z mobilu přes Claude Code Remote Control. Lokální session běží na Macu, telefon je vzdálené okno. Všechny MCP servery dostupné odkudkoliv, bez otevírání portů, bez Tailscale, bez konfigurování.
Co OpenClaw má a já ne
Budu upřímný. Nejsem slepý k tomu, co OpenClaw umí a Claude Code ne:
Multi-channel. OpenClaw se připojí k Telegramu, WhatsAppu, Discordu a emailu současně. Claude Code je CLI + Remote Control. Nemám messaging integraci. (Nově ma Claude Code i rozhraní Telegramu, ale musíte být stále připojeni přes vlastní server).
Heartbeat v agentovi. Agent se sám probouzí a kontroluje svět. U mě automatizované pipeline řeší totéž, ale mimo Claude Code (přes launchd). Není to tak elegantní.
Lokální modely v jednom stacku. OpenClaw routuje mezi cloud a lokálním modelem transparentně. V Claude Code používám Claude subscription.
Ale každá z těch výhod je zároveň bezpečnostní riziko. Multi-channel = více útočných vektorů. Heartbeat = autonomní akce bez dozoru nad celým workspace. Lokální routing = složitější stack, víc míst kde to může selhat.
Pro koho má OpenClaw stále smysl
OpenClaw není špatný framework. Je to jiný typ nástroje pro jiný typ použití.
Pokud jste jednotlivec, chcete si povídat s AI přes Telegram a nevadí vám rizika, OpenClaw je nejjednodušší cesta. Instalace za 10 minut, připojení k messaging platformě, hotovo. Pro neformální použití bez citlivých dat to funguje.
Ale ve chvíli, kdy agentovi dáte přístup k emailům, fakturám, dokumentům nebo jakýmkoliv citlivým datům, dostáváte se do zóny, kde 91 % úspěšnost prompt injection útoků přestává být statistika a začíná být problém. Pro osobního AI asistenta s přístupem k reálným datům jsem si vybral Claude Code. A rozhodnutí nelituji.
Co bude dál
Seriál OpenClaw: Kompletní průvodce končí tímto dílem. Pět dílů místo plánovaných deseti. Ne proto, že bych neměl co psát. Ale proto, že jsem našel lepší cestu.
To, co jsem si postavil v Claude Code, je v podstatě to, co měl být díl 7 tohoto seriálu: „Váš osobní asistent na všechno, 24/7.“ Osobnost agenta, znalostní báze, MCP servery pro email, kalendář, fakturace, WordPress. Agentní pipeline pro psaní článků, hledání nemovitostí, prospecting klientů. Bezpečnostní audit vlastních serverů. Ovládání z mobilu.
Jen bez OpenClaw. A s lepší bezpečností.
Celý seriál OpenClaw: Kompletní průvodce
- OpenClaw Úvod) Co je OpenClaw a v čem je revoluční
- OpenClaw 1) Bezpečnost na prvním místě: Na co si dát pozor a sandbox
- OpenClaw 2) Jak spustit a nastavit na vlastním HW (Mac Studio)
- OpenClaw 3) Napojení Claude Code a dalších modelů (i lokální)
- OpenClaw 4) Nastavení vlastních agentů, osobnosti a náklady
- OpenClaw 5) Proč jsem seriál ukončil a čím jsem OpenClaw nahradil (právě čtete)
Stavím dál. Jen na jiných základech. Pokud vás zajímá jak vypadá AI asistent bez frameworku, postavený na MCP serverech a Claude Code, sledujte blog. Příběh nekončí. Jen mění platformu.
