Před dvěma týdny měl OpenClaw 9 000 hvězd na GitHub. Dnes jich má 183 000. Mezitím se objevil celý nový průmysl. ClawSimple, Kilo Claw, StartClaw, ShipClaw, GetClaw.ai, LobsterLair. Jeden srovnávací web eviduje 33 poskytovatelů a seznam stále roste. Wrappery OpenClaw zaplavují TrustMRR. DigitalOcean vydal nasazení jedním kliknutím. Cloudflare ho přizpůsobil jako Workers runtime. Lidé si kupovali Mac Mini, aby si doma provozovali osobní AI agenty.

Pokud chcete hostovat sami v cloudu, nejběžnější konfigurace je VPS na Hetzner za 5 dolarů se 2 vCPU a 4 GB RAM, Docker Compose a API klíč. Spusťte průvodce nastavením, připojte ho k Anthropic nebo OpenRouter, propojte s Telegram. Hotovo za třicet minut. Nebo si kupte Mac Mini, dejte ho pod stůl a nazvěte ho svým osobním JARVIS. M4 spotřebovává sedm wattů v nečinnosti a slouží i jako lokální inferenční stroj, pokud zvolíte model Pro se 64 GB.

Obě varianty fungují pro jednoho agenta. Ale když jsem začal stavět OpenClaw.rocks, cílem bylo nabídnout nejspolehlivější a nejbezpečnější způsob hostování OpenClaw ve velkém měřítku a přitom to pro uživatele zachovat jednoduché. To vyžadovalo jiný základ.

Proč jsem zvolil Kubernetes

Dříve jsem spravoval blockchainovou infrastrukturu v Binance, včetně zabezpečení uzlů Bitcoin. Když je vaší prací udržovat vysoce hodnotné pracovní zátěže izolované, pozorovatelné a obnovitelné ve velkém měřítku, vyvinete si silné názory na to, jak by měla infrastruktura fungovat. Kubernetes je to, čemu v tomto ohledu důvěřuji.

OpenClaw je jedouživatelská aplikace. Je to osobní asistent, ne multi-tenantní platforma. Pokud chcete provozovat agenty pro deset lidí, potřebujete deset instancí. Pro sto lidí sto instancí. Každá s vlastní konfigurací, vlastními tajnými klíči, vlastním úložištěm, vlastními síťovými hranicemi. Samotné požadavky na izolaci vylučují cokoli menšího než řádnou orchestraci kontejnerů.

Nebudu tvrdit, že Kubernetes je jednoduchý. Není. Pro jednoho agenta je to absurdní přehánění. Ale pro provoz mnoha agentů pro mnoho lidí řeší problémy, které nic jiného neřeší stejně dobře. A myslím si, že každá společnost, která nakonec bude provozovat OpenClaw agenty ve velkém měřítku, dojde ke stejnému závěru.

Izolace, která je skutečně vynucená. Každý agent běží ve vlastním namespace s NetworkPolicy, která ve výchozím nastavení vše odmítá. Agent A nemůže komunikovat s Agentem B. Agent B se nedostane k tajným klíčům Agenta A. Toto není konvence ani osvědčený postup. Je to vynuceno container runtime a CNI. Na sdíleném VPS s Docker Compose vyžaduje síťová izolace mezi kontejnery ruční pravidla iptables, která nikdo nespravuje.

Limity zdrojů, které zabraňují kaskádovým selháním. OpenClaw agent s automatizací prohlížeče může spotřebovat 3 jádra CPU a 6 GB paměti, pokud mu to dovolíte. Na VPS se čtyřmi agenty jeden nekontrolovaný proces Chromium zabije ostatní tři. Kubernetes vynucuje limity CPU a paměti na kontejner. Agent, který dosáhne svého stropu, neovlivní své sousedy.

Samooprava bez SSH. Když se proces na VPS zhroutí, něco to musí zaznamenat a restartovat ho. systemd to dělá, ale pouze pro hostitele. Docker Compose má politiky restartu, ale nepokrývají deset dalších věcí, které se mohou pokazit: OOM killy, výpadky uzlů, problémy s úložištěm. Kubernetes restartuje selhané kontejnery, přeplánuje pody, když uzly odejdou, a spouští health probes, které detekují problémy na aplikační úrovni, ne jen ukončení procesů.

Škálování bez hádání. Pracovní zátěže agentů provozujeme na dedikovaném poolu uzlů. Když poptávka roste, cluster autoscaler přidá uzly. Když klesá, uzly jsou vyprázdněny a odstraněny. Neudržujeme flotilu předem připravených VPS instancí v naději, že jsme správně odhadli velikost. Infrastruktura odpovídá skutečné zátěži.

Deklarativní stav bez driftu. Celá konfigurace agenta žije v jednom custom resource: model, kanály, limity zdrojů, síťová pravidla, úložiště, bezpečnostní kontext. Žádná SSH historie k rekonstrukci, žádné ruční úpravy ke sledování, žádný konfigurační drift mezi tím, co si myslíte, že běží, a tím, co skutečně běží.

Nic z toho nezáleží pro jednoho agenta na jednom stroji. Vše záleží, když nesete odpovědnost za spolehlivý chod agentů jiných lidí.

Operator

Kubernetes poskytuje stavební bloky. Operator je to, co je dělá použitelnými.

Bez Operatoru znamená nasazení OpenClaw instance na Kubernetes ruční napsání jedenácti zdrojů: Deployment, Service, ConfigMap, PVC, ServiceAccount, Role, RoleBinding, NetworkPolicy, PodDisruptionBudget, Ingress, ServiceMonitor. S Operatorem stačí jeden:

apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
  name: my-agent
spec:
  envFrom:
    - secretRef:
        name: my-api-keys
  storage:
    persistence:
      enabled: true
      size: 10Gi

Operator sleduje tento custom resource a vytváří vše ostatní. Je to řídicí smyčka: při každé změně jakéhokoli spravovaného zdroje a alespoň jednou za pět minut jako záchranná síť porovnává požadovaný stav se skutečným a vyrovnává rozdíl. Pokud někdo smaže NetworkPolicy, vrátí se. Pokud Deployment odchýlí, je opraven. Smažte custom resource a owner reference kaskádově provedou úklid. Žádné osiřelé Services, žádné zbylé PVCs.

Dnes ho zveřejňujeme jako open source: github.com/OpenClaw-rocks/k8s-operator.

Bezpečnost ve výchozím nastavení, ne z checklistu

SecurityScorecard minulý týden našel 135 000 instancí OpenClaw vystavených na veřejném internetu. CVE-2026-25253 demonstrovalo vzdálené spuštění kódu jedním kliknutím prostřednictvím exfiltrace gateway tokenů. Gartner doporučil organizacím ho zcela zablokovat. V registru ClawHub bylo nalezeno 341 škodlivých skillů.

Takto vypadá realita provozování AI agentů v roce 2026. Výchozí konfigurace OpenClaw naslouchá na 0.0.0.0 bez autentizace. Na VPS bez správně nakonfigurovaného firewallu jste jeden sken portů od toho, než dáte cizinci shell přístup k vašemu serveru. Popsali jsme celý rozsah bezpečnostní krize a proč ani gateway token nestačí.

Operator zastává opačný přístup. Bezpečnost je strukturální, ne volitelná:

  • Ve výchozím nastavení ne-root. UID 1000, všechny Linux capability odstraněny, seccomp RuntimeDefault. Validační webhook odmítne jakoukoli specifikaci, která nastaví runAsUser: 0. Museli byste webhook odstranit, abyste mohli běžet jako root.
  • Síťová izolace ve výchozím nastavení. Výchozí deny-all NetworkPolicy na každé instanci. Příchozí: pouze stejný namespace. Odchozí: pouze DNS a HTTPS. Vše ostatní je zablokováno, pokud to explicitně neotevřete.
  • RBAC s nejmenšími oprávněními. Každá instance dostane vlastní ServiceAccount s Role, který uděluje pouze get a watch na vlastní ConfigMap. Agent nemůže číst tajné klíče, konfiguraci ani stav jiného agenta.
  • Samotný Operator běží jako UID 65532 (distroless nonroot), kořenový souborový systém pouze pro čtení, všechny capability odstraněny, HTTP/2 zakázáno pro zmírnění CVE-2023-44487.

Toto vše je ve výchozím nastavení aktivní. Získáte to, aniž byste o tom museli přemýšlet.

Automatizace prohlížeče jako sidecar

OpenClaw agenti mohou procházet web. Na VPS to znamená spustit proces Chromium vedle agenta a doufat, že se o zdroje nebudou přetahovat. Operator to řeší jako řádný sidecar:

spec:
  chromium:
    enabled: true
    resources:
      requests:
        cpu: "250m"
        memory: "512Mi"
      limits:
        cpu: "1000m"
        memory: "2Gi"

Operator přidá kontejner Browserless Chromium do podu, propojí Chrome DevTools Protocol na portu 9222, vloží CHROMIUM_URL=ws://localhost:9222 do hlavního kontejneru a dá Chromiu vlastní bezpečnostní kontext (UID 999, capability odstraněny), vlastní limity zdrojů a paměťově podporovaný /dev/shm. Dva kontejnery komunikují přes localhost uvnitř podu. Žádný síťový skok, žádný další Service, žádná bezpečnostní expozice. Na OpenClaw.rocks povolujeme Chromium sidecar ve výchozím nastavení pro každou instanci.

Co je v repozitáři

Napsáno v Go 1.24 s controller-runtime (Kubebuilder vzor). Licence Apache 2.0.

  • Kompletní CRD se 127KB validačním schématem OpenAPI
  • Helm Chart (také jako OCI artefakt na GHCR)
  • Kustomize overlaye pro ty, kteří je preferují
  • Grafana dashboard a Prometheus alerty v docs/monitoring/
  • E2E testy na Kind v CI
  • Multi-arch buildy (amd64/arm64)

Operator je také uveden na OperatorHub a Artifact Hub, takže ho můžete objevit a nainstalovat přes registry, které již používáte.

Instalace:

helm install openclaw-operator \
  oci://ghcr.io/openclaw-rocks/charts/openclaw-operator \
  --namespace openclaw-operator-system \
  --create-namespace

Nasazení agenta:

apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
  name: my-agent
spec:
  config:
    raw:
      agents:
        defaults:
          model:
            primary: "anthropic/claude-sonnet-4-20250514"
  envFrom:
    - secretRef:
        name: my-api-keys
  chromium:
    enabled: true
  storage:
    persistence:
      enabled: true

Automatizace prohlížeče, trvalé úložiště, síťová izolace, monitorování stavu, automatická nasazování konfigurací. Jeden zdroj. kubectl apply.

Proč open source

Tento Operator jsem vytvořil, abych vyřešil svůj vlastní problém. Provozuji hostingovou platformu pro OpenClaw agenty a potřeboval jsem produkční Kubernetes nástroje. Operator je výsledkem této práce.

Ale také si myslím, že každá společnost provozující OpenClaw agenty ve velkém měřítku nakonec skončí na Kubernetes a bude čelit stejným problémům jako já: výchozí bezpečnostní nastavení, konfigurace NetworkPolicy, Chromium sidecar, nasazování konfigurací. Ekosystém je dva týdny starý a už je fragmentovaný. Každý řeší tyto problémy nezávisle.

Náklady na vývoj softwaru se blíží nule. A jak jsem argumentoval v OpenClaw je nový Linux, otevřenost brání fragmentaci. Operator není můj obranný příkop. Pokud něco je, je to značka a důvěra, kterou buduji sdílením práce jako je tato. A pokud ani to neobstojí, baví mě stavět, psát a sdílet. To stačí. Ponechat Operator jako proprietární by znamenalo, že každý infrastrukturní tým znovu objeví stejná úskalí, která jsem objevil já. To je plýtvání, ne konkurenční výhoda.

Tento Operator provozujeme v produkci. Každý agent na OpenClaw.rocks přes něj prochází.

Kód je na github.com/OpenClaw-rocks/k8s-operator. Issues a PR vítány.

Pokud to raději nechcete spravovat sami, přesně k tomu slouží OpenClaw.rocks.