Πριν από δύο εβδομάδες, το OpenClaw είχε 9.000 αστέρια στο GitHub. Σήμερα έχει 183.000. Στο μεταξύ, εμφανίστηκε μια ολόκληρη βιομηχανία. ClawSimple, Kilo Claw, StartClaw, ShipClaw, GetClaw.ai, LobsterLair. Μια ιστοσελίδα σύγκρισης μετράει 33 παρόχους και η λίστα συνεχίζει να μεγαλώνει. Τα OpenClaw wrappers εισβάλλουν στο TrustMRR. Η DigitalOcean κυκλοφόρησε ένα 1-Click Deploy. Η Cloudflare το προσάρμοσε σε Workers runtime. Ο κόσμος αγόραζε Mac Minis για να τρέξει προσωπικούς AI agents στο σπίτι.

Αν θέλετε να κάνετε self-host στο cloud, η πιο συνηθισμένη διαμόρφωση είναι ένα Hetzner VPS των 5 δολαρίων με 2 vCPUs και 4 GB RAM, Docker Compose και ένα API κλειδί. Τρέξτε τον οδηγό εισαγωγής, κατευθύνετέ τον προς Anthropic ή OpenRouter, συνδέστε Telegram. Ολοκληρωμένο σε τριάντα λεπτά. Ή αγοράστε ένα Mac Mini, βάλτε το κάτω από το γραφείο σας και αποκαλέστε το τον προσωπικό σας JARVIS. Ο M4 καταναλώνει επτά watt σε αδράνεια και λειτουργεί ως τοπικό μηχάνημα inference αν επιλέξετε το μοντέλο Pro με 64 GB.

Και τα δύο αυτά λειτουργούν για έναν μεμονωμένο agent. Αλλά όταν ξεκίνησα να χτίζω το OpenClaw.rocks, ο στόχος ήταν να προσφέρω τον πιο αξιόπιστο και ασφαλή τρόπο για να φιλοξενήσεις OpenClaw σε κλίμακα, διατηρώντας το αβίαστο για τον χρήστη. Αυτό απαιτούσε μια διαφορετική βάση.

Γιατί επέλεξα Kubernetes

Στο παρελθόν διαχειριζόμουν blockchain υποδομή στη Binance, συμπεριλαμβανομένης της ασφάλειας των Bitcoin nodes. Όταν η δουλειά σου είναι να κρατάς workloads υψηλής αξίας απομονωμένα, παρατηρήσιμα και ανακτήσιμα σε κλίμακα, αναπτύσσεις ισχυρές απόψεις για το πώς πρέπει να λειτουργεί η υποδομή. Το Kubernetes είναι αυτό που εμπιστεύομαι για αυτό.

Το OpenClaw είναι μια εφαρμογή μεμονωμένου χρήστη. Είναι ένας προσωπικός βοηθός, όχι μια multi-tenant πλατφόρμα. Αν θέλετε να τρέξετε agents για δέκα ανθρώπους, χρειάζεστε δέκα instances. Για εκατό ανθρώπους, εκατό instances. Κάθε ένα με τη δική του διαμόρφωση, τα δικά του μυστικά, τον δικό του αποθηκευτικό χώρο, τα δικά του όρια δικτύου. Μόνο οι απαιτήσεις απομόνωσης αποκλείουν οτιδήποτε λιγότερο από σωστή container orchestration.

Δεν πρόκειται να υποστηρίξω ότι το Kubernetes είναι απλό. Δεν είναι. Για έναν μεμονωμένο agent, είναι παράλογα υπερβολικό. Αλλά για την εκτέλεση πολλών agents για πολλούς ανθρώπους, λύνει προβλήματα που τίποτα άλλο δεν λύνει εξίσου καλά. Και πιστεύω ότι κάθε εταιρεία που καταλήξει να τρέχει OpenClaw agents σε κλίμακα θα φτάσει στο ίδιο συμπέρασμα.

Απομόνωση που πραγματικά επιβάλλεται. Κάθε agent τρέχει στο δικό του namespace με μια NetworkPolicy που από προεπιλογή αρνείται τα πάντα. Ο Agent A δεν μπορεί να επικοινωνήσει με τον Agent B. Ο Agent B δεν μπορεί να προσεγγίσει τα μυστικά του Agent A. Αυτό δεν είναι σύμβαση ή βέλτιστη πρακτική. Επιβάλλεται από το container runtime και το CNI. Σε ένα κοινόχρηστο VPS με Docker Compose, η απομόνωση δικτύου μεταξύ containers απαιτεί χειροκίνητους κανόνες iptables που κανείς δεν συντηρεί.

Όρια πόρων που αποτρέπουν αλυσιδωτές αστοχίες. Ένας OpenClaw agent με αυτοματισμό browser μπορεί να καταναλώσει 3 πυρήνες CPU και 6 GB μνήμης αν τον αφήσετε. Σε ένα VPS με τέσσερις agents, μια ανεξέλεγκτη διαδικασία Chromium καταρρίπτει τους υπόλοιπους τρεις. Το Kubernetes επιβάλλει όρια CPU και μνήμης ανά container. Ένας agent που φτάνει στο ανώτατο όριό του δεν επηρεάζει τους γείτονές του.

Αυτοθεραπεία χωρίς SSH. Όταν μια διαδικασία σε VPS καταρρέει, κάτι πρέπει να το αντιληφθεί και να την επανεκκινήσει. Το systemd κάνει αυτό, αλλά μόνο για τον host. Το Docker Compose έχει πολιτικές επανεκκίνησης, αλλά δεν καλύπτουν τα δέκα άλλα πράγματα που μπορούν να πάνε στραβά: OOM kills, αστοχίες node, προβλήματα αποθήκευσης. Το Kubernetes επανεκκινεί αποτυχημένα containers, επαναπρογραμματίζει pods όταν πεθαίνουν nodes και εκτελεί health probes που ανιχνεύουν προβλήματα σε επίπεδο εφαρμογής, όχι μόνο τερματισμούς διαδικασιών.

Κλιμάκωση χωρίς εικασίες. Εκτελούμε agent workloads σε μια αποκλειστική node pool. Όταν η ζήτηση αυξάνεται, ο cluster autoscaler προσθέτει nodes. Όταν μειώνεται, τα nodes αποστραγγίζονται και αφαιρούνται. Δεν συντηρούμε στόλο προ-προμηθευμένων VPS instances ελπίζοντας ότι τα διαστασιολογήσαμε σωστά. Η υποδομή ταιριάζει με το πραγματικό φορτίο.

Δηλωτική κατάσταση χωρίς απόκλιση. Η ολοκληρωμένη διαμόρφωση ενός agent ζει σε μια μόνο custom resource: το μοντέλο, τα κανάλια, τα όρια πόρων, οι κανόνες δικτύου, η αποθήκευση, το security context. Δεν υπάρχει SSH ιστορικό για ανακατασκευή, δεν υπάρχουν χειροκίνητες αλλαγές για παρακολούθηση, δεν υπάρχει configuration drift μεταξύ αυτού που νομίζετε ότι τρέχει και αυτού που πραγματικά τρέχει.

Τίποτα από αυτά δεν έχει σημασία για έναν agent σε ένα μηχάνημα. Όλα έχουν σημασία όταν είστε υπεύθυνοι για την αξιόπιστη λειτουργία των agents άλλων ανθρώπων.

Ο operator

Το Kubernetes σου δίνει τα δομικά στοιχεία. Ένας operator είναι αυτό που τα κάνει χρησιμοποιήσιμα.

Χωρίς operator, η ανάπτυξη μιας OpenClaw instance σε Kubernetes σημαίνει να γράψεις έντεκα resources με το χέρι: Deployment, Service, ConfigMap, PVC, ServiceAccount, Role, RoleBinding, NetworkPolicy, PodDisruptionBudget, Ingress, ServiceMonitor. Με operator, είναι ένα:

apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
  name: my-agent
spec:
  envFrom:
    - secretRef:
        name: my-api-keys
  storage:
    persistence:
      enabled: true
      size: 10Gi

Ο operator παρακολουθεί αυτό το custom resource και δημιουργεί όλα τα υπόλοιπα. Είναι ένας βρόχος ελέγχου: σε κάθε αλλαγή σε οποιοδήποτε κατεχόμενο resource, και τουλάχιστον κάθε πέντε λεπτά ως δίχτυ ασφαλείας, συγκρίνει την επιθυμητή κατάσταση με την πραγματική κατάσταση και εξισορροπεί τη διαφορά. Αν κάποιος διαγράψει μια NetworkPolicy, επιστρέφει. Αν ένα Deployment αποκλίνει, διορθώνεται. Διαγράψτε το custom resource και τα owner references καταρρακτώνουν τον καθαρισμό. Κανένα ορφανό Service, κανένα εναπομείναν PVC.

Σήμερα το κάνουμε ανοιχτού κώδικα: github.com/OpenClaw-rocks/k8s-operator.

Ασφάλεια από προεπιλογή, όχι από λίστα ελέγχου

Η SecurityScorecard βρήκε 135.000 OpenClaw instances εκτεθειμένα στο δημόσιο internet την περασμένη εβδομάδα. Το CVE-2026-25253 επέδειξε απομακρυσμένη εκτέλεση κώδικα με ένα κλικ μέσω εξαγωγής gateway token. Η Gartner συνέστησε στους οργανισμούς να το αποκλείσουν πλήρως. 341 κακόβουλα skills βρέθηκαν στο μητρώο ClawHub.

Αυτή είναι η πραγματικότητα της εκτέλεσης AI agents το 2026. Η προεπιλεγμένη διαμόρφωση του OpenClaw δεσμεύει στο 0.0.0.0 χωρίς αυθεντικοποίηση. Σε ένα VPS χωρίς σωστά διαμορφωμένο firewall, απέχετε μία σάρωση θυρών από το να δώσετε σε έναν ξένο πρόσβαση shell στον server σας. Καλύψαμε το πλήρες εύρος της κρίσης ασφαλείας και γιατί ακόμα και ένα gateway token δεν αρκεί.

Ο operator ακολουθεί την αντίθετη προσέγγιση. Η ασφάλεια είναι δομική, όχι προαιρετική:

  • Non-root από προεπιλογή. UID 1000, όλα τα Linux capabilities αφαιρεμένα, seccomp RuntimeDefault. Ένα validating webhook απορρίπτει οποιοδήποτε spec που ορίζει runAsUser: 0. Θα πρέπει να αφαιρέσετε το webhook για να τρέξετε ως root.
  • Απομόνωση δικτύου από προεπιλογή. Default-deny NetworkPolicy σε κάθε instance. Εισερχόμενα: μόνο ίδιο namespace. Εξερχόμενα: μόνο DNS και HTTPS. Όλα τα υπόλοιπα είναι μπλοκαρισμένα εκτός αν τα ανοίξετε ρητά.
  • RBAC ελάχιστων δικαιωμάτων. Κάθε instance παίρνει το δικό του ServiceAccount με ένα Role που παρέχει μόνο get και watch στο δικό του ConfigMap. Ένας agent δεν μπορεί να διαβάσει τα μυστικά, τη διαμόρφωση ή την κατάσταση ενός άλλου agent.
  • Ο ίδιος ο operator τρέχει ως UID 65532 (distroless nonroot), read-only root filesystem, όλα τα capabilities αφαιρεμένα, HTTP/2 απενεργοποιημένο για μετριασμό του CVE-2023-44487.

Όλα αυτά είναι ενεργοποιημένα από προεπιλογή. Τα αποκτάτε χωρίς να χρειάζεται να σκεφτείτε γι’ αυτά.

Αυτοματισμός browser ως sidecar

Οι OpenClaw agents μπορούν να πλοηγούνται στο web. Σε ένα VPS, αυτό σημαίνει να τρέχεις μια διαδικασία Chromium δίπλα στον agent και να ελπίζεις ότι δεν θα ανταγωνιστούν για πόρους. Ο operator το χειρίζεται ως κανονικό sidecar:

spec:
  chromium:
    enabled: true
    resources:
      requests:
        cpu: "250m"
        memory: "512Mi"
      limits:
        cpu: "1000m"
        memory: "2Gi"

Ο operator προσθέτει ένα Browserless Chromium container στο pod, συνδέει το Chrome DevTools Protocol στη θύρα 9222, εισάγει CHROMIUM_URL=ws://localhost:9222 στο κύριο container και δίνει στο Chromium το δικό του security context (UID 999, capabilities αφαιρεμένα), τα δικά του όρια πόρων και ένα memory-backed /dev/shm. Τα δύο containers επικοινωνούν μέσω localhost μέσα στο pod. Κανένα network hop, κανένα επιπλέον Service, καμία έκθεση ασφαλείας. Στο OpenClaw.rocks, ενεργοποιούμε το Chromium sidecar από προεπιλογή για κάθε instance.

Τι περιέχει το repository

Γραμμένο σε Go 1.24 με controller-runtime (μοτίβο Kubebuilder). Άδεια Apache 2.0.

  • Πλήρες CRD με 127 KB OpenAPI validation schema
  • Helm chart (επίσης ως OCI artifact στο GHCR)
  • Kustomize overlays για όσους το προτιμούν
  • Grafana dashboard και Prometheus alerts στο docs/monitoring/
  • E2E tests σε Kind σε CI
  • Multi-arch builds (amd64/arm64)

Ο operator είναι επίσης καταχωρημένος στο OperatorHub και στο Artifact Hub, ώστε να μπορείτε να τον ανακαλύψετε και να τον εγκαταστήσετε μέσω των registries που ήδη χρησιμοποιείτε.

Εγκατάσταση:

helm install openclaw-operator \
  oci://ghcr.io/openclaw-rocks/charts/openclaw-operator \
  --namespace openclaw-operator-system \
  --create-namespace

Ανάπτυξη ενός agent:

apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
  name: my-agent
spec:
  config:
    raw:
      agents:
        defaults:
          model:
            primary: "anthropic/claude-sonnet-4-20250514"
  envFrom:
    - secretRef:
        name: my-api-keys
  chromium:
    enabled: true
  storage:
    persistence:
      enabled: true

Αυτοματισμός browser, persistent storage, απομόνωση δικτύου, παρακολούθηση υγείας, αυτόματα config rollouts. Ένα resource. kubectl apply.

Γιατί ανοιχτού κώδικα

Έχτισα αυτόν τον operator για να λύσω το δικό μου πρόβλημα. Διαχειρίζομαι μια πλατφόρμα φιλοξενίας για OpenClaw agents και χρειαζόμουν εργαλεία Kubernetes επιπέδου παραγωγής. Ο operator είναι το αποτέλεσμα αυτής της δουλειάς.

Αλλά πιστεύω επίσης ότι κάθε εταιρεία που τρέχει OpenClaw agents σε κλίμακα θα καταλήξει στο Kubernetes, και θα αντιμετωπίσει τα ίδια προβλήματα που αντιμετώπισα εγώ: τις ρυθμίσεις ασφαλείας, τη σύνδεση NetworkPolicy, το Chromium sidecar, τα config rollouts. Το οικοσύστημα είναι δύο εβδομάδων και ήδη κατακερματισμένο. Ο καθένας λύνει αυτά τα προβλήματα ανεξάρτητα.

Το κόστος κατασκευής λογισμικού πλησιάζει το μηδέν. Και όπως υποστήριξα στο Το OpenClaw είναι το νέο Linux, η ανοιχτότητα αποτρέπει τον κατακερματισμό. Ο operator δεν είναι η τάφρος μου. Αν κάτι είναι, είναι η μάρκα και η εμπιστοσύνη που χτίζω μοιράζοντας δουλειά σαν αυτή. Και αν ούτε αυτό σταθεί, διασκεδάζω χτίζοντας, γράφοντας και μοιράζοντας. Αυτό αρκεί. Το να κρατήσω τον operator ιδιόκτητο θα σήμαινε ότι κάθε ομάδα υποδομής ανακαλύπτει ξανά τις ίδιες παγίδες που ανακάλυψα εγώ. Αυτό είναι σπατάλη, όχι ανταγωνιστικό πλεονέκτημα.

Τρέχουμε αυτόν τον operator σε παραγωγή. Κάθε agent στο OpenClaw.rocks περνάει από αυτόν.

Ο κώδικας βρίσκεται στο github.com/OpenClaw-rocks/k8s-operator. Issues και PRs είναι ευπρόσδεκτα.

Αν προτιμάτε να μην τον διαχειρίζεστε εσείς, αυτό ακριβώς προσφέρει το OpenClaw.rocks.