Prije dva tjedna OpenClaw je imao 9.000 zvjezdica na GitHub. Danas ih ima 183.000. U međuvremenu je nastala čitava industrija. ClawSimple, Kilo Claw, StartClaw, ShipClaw, GetClaw.ai, LobsterLair. Jedna stranica za usporedbu broji 33 pružatelja i popis nastavlja rasti. OpenClaw wrapperi preplavili su TrustMRR. DigitalOcean je izdao pokretanje jednim klikom. Cloudflare ga je prilagodio u Workers okruženje. Ljudi su kupovali Mac Minije kako bi pokretali osobne AI agente kod kuće.

Ako želite sami hostati u oblaku, najčešća konfiguracija je Hetzner VPS od 5 dolara s 2 vCPU-a i 4 GB RAM-a, Docker Compose i API ključ. Pokrenite čarobnjak za postavljanje, povežite ga s Anthropic ili OpenRouter, spojite Telegram. Gotovo za trideset minuta. Ili kupite Mac Mini, stavite ga pod stol i nazovite ga svojim osobnim JARVIS-om. M4 troši sedam vati u stanju mirovanja i služi kao lokalni stroj za inferenciju ako odaberete Pro model sa 64 GB.

Obje opcije funkcioniraju za jednog agenta. Ali kada sam počeo graditi OpenClaw.rocks, cilj je bio ponuditi najpouzdaniji i najsigurniji način hostanja OpenClaw-a u velikom mjerilu, a da korisnicima bude jednostavno. To je zahtijevalo drugačije temelje.

Zašto sam odabrao Kubernetes

Ranije sam upravljao blockchain infrastrukturom u Binance, uključujući osiguravanje Bitcoin čvorova. Kada vam je posao održavati visokovrijedna radna opterećenja izolirana, promatrana i obnovljiva u velikom mjerilu, razvijate čvrsta mišljenja o tome kako bi infrastruktura trebala funkcionirati. Kubernetes je ono čemu u tome vjerujem.

OpenClaw je aplikacija za jednog korisnika. To je osobni asistent, a ne multi-tenant platforma. Ako želite pokretati agente za deset osoba, trebate deset instanci. Za sto osoba, sto instanci. Svaka sa svojom konfiguracijom, svojim tajnama, svojom pohranom, svojim mrežnim granicama. Sami zahtjevi za izolaciju isključuju sve manje od odgovarajuće orkestracije kontejnera.

Neću tvrditi da je Kubernetes jednostavan. Nije. Za jednog agenta apsurdan je pretjeranost. Ali za pokretanje mnogih agenata za mnogo ljudi rješava probleme koje ništa drugo ne rješava jednako dobro. I mislim da će svaka tvrtka koja na kraju bude pokretala OpenClaw agente u velikom mjerilu doći do istog zaključka.

Izolacija koja se stvarno provodi. Svaki agent radi u vlastitom namespace-u s NetworkPolicy koja prema zadanim postavkama odbija sve. Agent A ne može komunicirati s Agentom B. Agent B ne može pristupiti tajnama Agenta A. Ovo nije konvencija ili dobra praksa. Provodi je container runtime i CNI. Na dijeljenom VPS-u s Docker Compose mrežna izolacija između kontejnera zahtijeva ručna iptables pravila koja nitko ne održava.

Ograničenja resursa koja sprječavaju kaskadne kvarove. OpenClaw agent s automatizacijom preglednika može potrošiti 3 CPU jezgre i 6 GB memorije ako mu se dopusti. Na VPS-u s četiri agenta, jedan nekontroliran Chromium proces ubija ostala tri. Kubernetes provodi ograničenja CPU-a i memorije po kontejneru. Jedan agent koji dosegne svoj plafon ne utječe na susjede.

Samoizlječenje bez SSH-a. Kada se proces na VPS-u sruši, nešto to mora primijetiti i ponovno ga pokrenuti. systemd to čini, ali samo za host. Docker Compose ima politike ponovnog pokretanja, ali ne pokrivaju deset drugih stvari koje mogu poći po zlu: OOM ubijanja, kvarovi čvorova, problemi s pohranom. Kubernetes ponovno pokreće neuspjele kontejnere, ponovno raspoređuje podove kada čvorovi padnu i pokreće health probe koji otkrivaju probleme na razini aplikacije, a ne samo završetke procesa.

Skaliranje bez nagađanja. Radna opterećenja agenata pokrećemo na namjenskom poolu čvorova. Kada potražnja raste, cluster autoscaler dodaje čvorove. Kada pada, čvorovi se isprazne i uklone. Ne održavamo flotu unaprijed pripremljenih VPS instanci nadajući se da smo pogodili veličinu. Infrastruktura odgovara stvarnom opterećenju.

Deklarativno stanje bez odstupanja. Cjelokupna konfiguracija agenta živi u jednom custom resource-u: model, kanali, ograničenja resursa, mrežna pravila, pohrana, sigurnosni kontekst. Nema SSH povijesti za rekonstrukciju, nema ručnih uređivanja za praćenje, nema konfiguracijskog odstupanja između onoga što mislite da radi i onoga što stvarno radi.

Ništa od ovoga nije bitno za jednog agenta na jednom stroju. Sve je bitno kada ste odgovorni za pouzdan rad agenata drugih ljudi.

Operator

Kubernetes pruža gradivne elemente. Operator je ono što ih čini upotrebljivima.

Bez Operatora, postavljanje OpenClaw instance na Kubernetes znači ručno pisanje jedanaest resursa: Deployment, Service, ConfigMap, PVC, ServiceAccount, Role, RoleBinding, NetworkPolicy, PodDisruptionBudget, Ingress, ServiceMonitor. S Operatorom, potreban je samo jedan:

apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
  name: my-agent
spec:
  envFrom:
    - secretRef:
        name: my-api-keys
  storage:
    persistence:
      enabled: true
      size: 10Gi

Operator nadzire ovaj custom resource i stvara sve ostalo. To je kontrolna petlja: pri svakoj promjeni bilo kojeg upravljanog resursa, i najmanje jednom svakih pet minuta kao sigurnosna mreža, uspoređuje željeno stanje sa stvarnim i usklađuje razliku. Ako netko obriše NetworkPolicy, vraća se. Ako Deployment odstupi, ispravlja se. Obrišite custom resource i owner reference-i kaskadno izvršavaju čišćenje. Nema napuštenih Services-a, nema zaostalih PVC-ova.

Danas ga objavljujemo kao open source: github.com/OpenClaw-rocks/k8s-operator.

Sigurnost prema zadanim postavkama, a ne prema popisu

SecurityScorecard je prošli tjedan pronašao 135.000 OpenClaw instanci izloženih javnom internetu. CVE-2026-25253 demonstrirao je izvršavanje udaljenog koda jednim klikom putem eksfiltracije gateway tokena. Gartner je preporučio organizacijama da ga potpuno blokiraju. U registru ClawHub pronađen je 341 zlonamjerni skill.

Ovo je stvarnost pokretanja AI agenata u 2026. Zadana konfiguracija OpenClaw-a osluškuje na 0.0.0.0 bez autentifikacije. Na VPS-u bez pravilno konfiguriranog vatrozida, udaljeni ste jedno skeniranje portova od toga da strancu date shell pristup vašem poslužitelju. Obradili smo puni opseg sigurnosne krize i zašto čak ni gateway token nije dovoljan.

Operator zauzima suprotan pristup. Sigurnost je strukturna, ne opcionalna:

  • Ne-root prema zadanim postavkama. UID 1000, sve Linux capabilities uklonjene, seccomp RuntimeDefault. Webhook za validaciju odbija svaku specifikaciju koja postavlja runAsUser: 0. Morali biste ukloniti webhook da biste pokrenuli kao root.
  • Mrežna izolacija prema zadanim postavkama. Zadana deny-all NetworkPolicy na svakoj instanci. Dolazno: samo isti namespace. Odlazno: samo DNS i HTTPS. Sve ostalo je blokirano osim ako to izričito ne otvorite.
  • RBAC s najmanjim ovlastima. Svaka instanca dobiva vlastiti ServiceAccount s Role koji daje samo get i watch na vlastiti ConfigMap. Agent ne može čitati tajne, konfiguraciju ili stanje drugog agenta.
  • Sam Operator radi kao UID 65532 (distroless nonroot), datotečni sustav samo za čitanje, sve capabilities uklonjene, HTTP/2 onemogućen radi ublažavanja CVE-2023-44487.

Sve ovo aktivno je prema zadanim postavkama. Dobivate to bez razmišljanja.

Automatizacija preglednika kao sidecar

OpenClaw agenti mogu pregledavati web. Na VPS-u to znači pokretanje Chromium procesa uz agenta i nadanje da se neće boriti za resurse. Operator to rješava kao pravi sidecar:

spec:
  chromium:
    enabled: true
    resources:
      requests:
        cpu: "250m"
        memory: "512Mi"
      limits:
        cpu: "1000m"
        memory: "2Gi"

Operator dodaje Browserless Chromium kontejner u pod, povezuje Chrome DevTools Protocol na portu 9222, ubacuje CHROMIUM_URL=ws://localhost:9222 u glavni kontejner i daje Chromiumu vlastiti sigurnosni kontekst (UID 999, capabilities uklonjene), vlastita ograničenja resursa i memorijom podržan /dev/shm. Dva kontejnera komuniciraju putem localhost-a unutar poda. Nema mrežnog skoka, nema dodatnog Service-a, nema sigurnosne izloženosti. Na OpenClaw.rocks omogućujemo Chromium sidecar prema zadanim postavkama za svaku instancu.

Što je u repozitoriju

Napisan u Go 1.24 s controller-runtime (Kubebuilder uzorak). Licenca Apache 2.0.

  • Potpuni CRD sa 127KB OpenAPI validacijskom shemom
  • Helm Chart (također kao OCI artefakt na GHCR)
  • Kustomize overlaye za one koji ih preferiraju
  • Grafana nadzorna ploča i Prometheus upozorenja u docs/monitoring/
  • E2E testovi na Kind u CI
  • Multi-arch buildovi (amd64/arm64)

Operator je također naveden na OperatorHub i Artifact Hub, tako da ga možete otkriti i instalirati putem registara koje već koristite.

Instalacija:

helm install openclaw-operator \
  oci://ghcr.io/openclaw-rocks/charts/openclaw-operator \
  --namespace openclaw-operator-system \
  --create-namespace

Postavljanje agenta:

apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
  name: my-agent
spec:
  config:
    raw:
      agents:
        defaults:
          model:
            primary: "anthropic/claude-sonnet-4-20250514"
  envFrom:
    - secretRef:
        name: my-api-keys
  chromium:
    enabled: true
  storage:
    persistence:
      enabled: true

Automatizacija preglednika, trajna pohrana, mrežna izolacija, praćenje zdravlja, automatska postavljanja konfiguracija. Jedan resurs. kubectl apply.

Zašto open source

Izgradio sam ovaj Operator kako bih riješio vlastiti problem. Vodim hosting platformu za OpenClaw agente i trebao sam Kubernetes alate produkcijske razine. Operator je rezultat tog rada.

Ali također mislim da će svaka tvrtka koja pokreće OpenClaw agente u velikom mjerilu na kraju završiti na Kubernetes-u i suočiti se s istim problemima kao i ja: zadane sigurnosne postavke, konfiguracija NetworkPolicy-ja, Chromium sidecar, postavljanja konfiguracija. Ekosustav je star dva tjedna i već je fragmentiran. Svatko rješava ove probleme neovisno.

Trošak izgradnje softvera približava se nuli. I kao što sam argumentirao u OpenClaw je novi Linux, otvorenost sprječava fragmentaciju. Operator nije moj obrambeni jarak. Ako nešto jest, to su marka i povjerenje koje gradim dijeljenjem rada poput ovog. A ako ni to ne opstane, uživam u gradnji, pisanju i dijeljenju. To je dovoljno. Zadržavanje Operatora kao vlasničkog značilo bi da svaki infrastrukturni tim ponovno otkriva iste zamke koje sam otkrio ja. To je rasipanje, a ne konkurentska prednost.

Koristimo ovaj Operator u produkciji. Svaki agent na OpenClaw.rocks prolazi kroz njega.

Kod je na github.com/OpenClaw-rocks/k8s-operator. Issues i PR-ovi su dobrodošli.

Ako to radije ne želite upravljati sami, upravo za to postoji OpenClaw.rocks.