Pred dvomi týždňami mal OpenClaw 9 000 hviezd na GitHub. Dnes ich má 183 000. Medzitým sa objavil celý nový priemysel. ClawSimple, Kilo Claw, StartClaw, ShipClaw, GetClaw.ai, LobsterLair. Jeden porovnávací web eviduje 33 poskytovateľov a zoznam stále rastie. Wrappery OpenClaw zaplavujú TrustMRR. DigitalOcean vydal nasadenie jedným kliknutím. Cloudflare ho prispôsobil ako Workers runtime. Ľudia si kupovali Mac Mini, aby si doma prevádzkovali osobných AI agentov.

Ak chcete hostovať sami v cloude, najbežnejšia konfigurácia je VPS na Hetzner za 5 dolárov s 2 vCPU a 4 GB RAM, Docker Compose a API kľúč. Spustite sprievodcu nastavením, pripojte ho k Anthropic alebo OpenRouter, prepojte s Telegram. Hotové za tridsať minút. Alebo si kúpte Mac Mini, dajte ho pod stôl a nazvite ho svojím osobným JARVIS. M4 spotrebúva sedem wattov v nečinnosti a slúži aj ako lokálny inferenčný stroj, ak si vyberiete model Pro so 64 GB.

Obe varianty fungujú pre jedného agenta. Ale keď som začal stavať OpenClaw.rocks, cieľom bolo ponúknuť najspoľahlivejší a najbezpečnejší spôsob hostovania OpenClaw vo veľkom meradle a pritom to pre používateľa zachovať jednoduché. To si vyžadovalo iný základ.

Prečo som si vybral Kubernetes

Predtým som spravoval blockchainovú infraštruktúru v Binance, vrátane zabezpečenia uzlov Bitcoin. Keď je vašou prácou udržiavať vysoko hodnotné pracovné záťaže izolované, pozorovateľné a obnoviteľné vo veľkom meradle, vyvinete si silné názory na to, ako by mala infraštruktúra fungovať. Kubernetes je to, čomu v tomto smere dôverujem.

OpenClaw je jednopoužívateľská aplikácia. Je to osobný asistent, nie multi-tenantná platforma. Ak chcete prevádzkovať agentov pre desať ľudí, potrebujete desať inštancií. Pre sto ľudí sto inštancií. Každá s vlastnou konfiguráciou, vlastnými tajnými kľúčmi, vlastným úložiskom, vlastnými sieťovými hranicami. Samotné požiadavky na izoláciu vylučujú čokoľvek menšie ako riadnu orchestráciu kontajnerov.

Nebudem tvrdiť, že Kubernetes je jednoduchý. Nie je. Pre jedného agenta je to absurdný nadmier. Ale na prevádzku mnohých agentov pre mnohých ľudí rieši problémy, ktoré nič iné nerieši tak dobre. A myslím si, že každá spoločnosť, ktorá nakoniec bude prevádzkovať OpenClaw agentov vo veľkom meradle, dôjde k rovnakému záveru.

Izolácia, ktorá je skutočne vynútená. Každý agent beží vo vlastnom namespace s NetworkPolicy, ktorá v predvolenom nastavení všetko odmieta. Agent A nemôže komunikovať s Agentom B. Agent B sa nedostane k tajným kľúčom Agenta A. Toto nie je konvencia ani osvedčený postup. Je to vynútené container runtime a CNI. Na zdieľanom VPS s Docker Compose vyžaduje sieťová izolácia medzi kontajnermi manuálne pravidlá iptables, ktoré nikto nespravuje.

Limity zdrojov, ktoré zabraňujú kaskádovým zlyhaniam. OpenClaw agent s automatizáciou prehliadača môže spotrebovať 3 jadrá CPU a 6 GB pamäte, ak mu to dovolíte. Na VPS so štyrmi agentmi jeden nekontrolovaný proces Chromium zabije ostatné tri. Kubernetes vynucuje limity CPU a pamäte na kontajner. Agent, ktorý dosiahne svoj strop, neovplyvní svojich susedov.

Samooprava bez SSH. Keď sa proces na VPS zrúti, niečo to musí zaregistrovať a reštartovať ho. systemd to robí, ale iba pre hostiteľa. Docker Compose má politiky reštartu, ale nepokrývajú desať ďalších vecí, ktoré sa môžu pokaziť: OOM killy, výpadky uzlov, problémy s úložiskom. Kubernetes reštartuje zlyhané kontajnery, preplánuje pody, keď uzly padnú, a spúšťa health proby, ktoré detegujú problémy na aplikačnej úrovni, nielen ukončenia procesov.

Škálovanie bez hádania. Pracovné záťaže agentov prevádzkujeme na dedikovanom poole uzlov. Keď dopyt rastie, cluster autoscaler pridá uzly. Keď klesá, uzly sú vyprázdnené a odstránené. Neudržiavame flotilu vopred pripravených VPS inštancií v nádeji, že sme správne odhadli veľkosť. Infraštruktúra zodpovedá skutočnej záťaži.

Deklaratívny stav bez driftu. Celá konfigurácia agenta žije v jednom custom resource: model, kanály, limity zdrojov, sieťové pravidlá, úložisko, bezpečnostný kontext. Žiadna SSH história na rekonštrukciu, žiadne manuálne úpravy na sledovanie, žiadny konfiguračný drift medzi tým, čo si myslíte, že beží, a tým, čo skutočne beží.

Nič z toho nezáleží pre jedného agenta na jednom stroji. Všetko záleží, keď nesiete zodpovednosť za spoľahlivý chod agentov iných ľudí.

Operator

Kubernetes poskytuje stavebné bloky. Operator je to, čo ich robí použiteľnými.

Bez Operatora znamená nasadenie OpenClaw inštancie na Kubernetes ručné napísanie jedenástich zdrojov: Deployment, Service, ConfigMap, PVC, ServiceAccount, Role, RoleBinding, NetworkPolicy, PodDisruptionBudget, Ingress, ServiceMonitor. S Operatorom stačí jeden:

apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
  name: my-agent
spec:
  envFrom:
    - secretRef:
        name: my-api-keys
  storage:
    persistence:
      enabled: true
      size: 10Gi

Operator sleduje tento custom resource a vytvára všetko ostatné. Je to riadiaca slučka: pri každej zmene akéhokoľvek spravovaného zdroja a aspoň raz za päť minút ako záchranná sieť porovnáva požadovaný stav so skutočným a vyrovnáva rozdiel. Ak niekto zmaže NetworkPolicy, vráti sa. Ak Deployment odchýli, je opravený. Zmažte custom resource a owner references kaskádovo vykonajú upratanie. Žiadne osirelé Services, žiadne zvyšné PVCs.

Dnes ho zverejňujeme ako open source: github.com/OpenClaw-rocks/k8s-operator.

Bezpečnosť v predvolenom nastavení, nie z checklistu

SecurityScorecard minulý týždeň našiel 135 000 inštancií OpenClaw vystavených na verejnom internete. CVE-2026-25253 demonštrovalo vzdialené spustenie kódu jedným kliknutím prostredníctvom exfiltrácie gateway tokenov. Gartner odporučil organizáciám ho úplne zablokovať. V registri ClawHub bolo nájdených 341 škodlivých skillov.

Takáto je realita prevádzkovania AI agentov v roku 2026. Predvolená konfigurácia OpenClaw počúva na 0.0.0.0 bez autentizácie. Na VPS bez správne nakonfigurovaného firewallu ste jeden sken portov od toho, než dáte cudzincovi shell prístup k vášmu serveru. Popísali sme celý rozsah bezpečnostnej krízy a prečo ani gateway token nestačí.

Operator zastáva opačný prístup. Bezpečnosť je štrukturálna, nie voliteľná:

  • V predvolenom nastavení nie root. UID 1000, všetky Linux capability odstránené, seccomp RuntimeDefault. Validačný webhook odmietne akúkoľvek špecifikáciu, ktorá nastaví runAsUser: 0. Museli by ste webhook odstrániť, aby ste mohli bežať ako root.
  • Sieťová izolácia v predvolenom nastavení. Predvolená deny-all NetworkPolicy na každej inštancii. Prichádzajúce: iba rovnaký namespace. Odchádzajúce: iba DNS a HTTPS. Všetko ostatné je blokované, pokiaľ to explicitne neotvoríte.
  • RBAC s najmenšími oprávneniami. Každá inštancia dostane vlastný ServiceAccount s Role, ktorý udeľuje iba get a watch na vlastnú ConfigMap. Agent nemôže čítať tajné kľúče, konfiguráciu ani stav iného agenta.
  • Samotný Operator beží ako UID 65532 (distroless nonroot), koreňový súborový systém iba na čítanie, všetky capability odstránené, HTTP/2 zakázaný na zmiernenie CVE-2023-44487.

Toto všetko je v predvolenom nastavení aktívne. Získate to bez toho, aby ste o tom museli premýšľať.

Automatizácia prehliadača ako sidecar

OpenClaw agenti môžu prehliadať web. Na VPS to znamená spustiť proces Chromium vedľa agenta a dúfať, že sa o zdroje nebudú pretahovať. Operator to rieši ako riadny sidecar:

spec:
  chromium:
    enabled: true
    resources:
      requests:
        cpu: "250m"
        memory: "512Mi"
      limits:
        cpu: "1000m"
        memory: "2Gi"

Operator pridá kontajner Browserless Chromium do podu, prepojí Chrome DevTools Protocol na porte 9222, vloží CHROMIUM_URL=ws://localhost:9222 do hlavného kontajnera a dá Chromiu vlastný bezpečnostný kontext (UID 999, capability odstránené), vlastné limity zdrojov a pamäťovo podporovaný /dev/shm. Dva kontajnery komunikujú cez localhost vnútri podu. Žiadny sieťový skok, žiadny ďalší Service, žiadna bezpečnostná expozícia. Na OpenClaw.rocks povoľujeme Chromium sidecar v predvolenom nastavení pre každú inštanciu.

Čo je v repozitári

Napísaný v Go 1.24 s controller-runtime (Kubebuilder vzor). Licencia Apache 2.0.

  • Kompletná CRD so 127KB validačnou schémou OpenAPI
  • Helm Chart (aj ako OCI artefakt na GHCR)
  • Kustomize overlaye pre tých, čo ich preferujú
  • Grafana dashboard a Prometheus alerty v docs/monitoring/
  • E2E testy na Kind v CI
  • Multi-arch buildy (amd64/arm64)

Operator je tiež uvedený na OperatorHub a Artifact Hub, takže ho môžete objaviť a nainštalovať cez registre, ktoré už používate.

Inštalácia:

helm install openclaw-operator \
  oci://ghcr.io/openclaw-rocks/charts/openclaw-operator \
  --namespace openclaw-operator-system \
  --create-namespace

Nasadenie agenta:

apiVersion: openclaw.rocks/v1alpha1
kind: OpenClawInstance
metadata:
  name: my-agent
spec:
  config:
    raw:
      agents:
        defaults:
          model:
            primary: "anthropic/claude-sonnet-4-20250514"
  envFrom:
    - secretRef:
        name: my-api-keys
  chromium:
    enabled: true
  storage:
    persistence:
      enabled: true

Automatizácia prehliadača, trvalé úložisko, sieťová izolácia, monitorovanie stavu, automatické nasadenia konfigurácií. Jeden zdroj. kubectl apply.

Prečo open source

Tohto Operatora som vytvoril, aby som vyriešil svoj vlastný problém. Prevádzkujem hostingovú platformu pre OpenClaw agentov a potreboval som produkčné Kubernetes nástroje. Operator je výsledkom tejto práce.

Ale tiež si myslím, že každá spoločnosť prevádzkujúca OpenClaw agentov vo veľkom meradle nakoniec skončí na Kubernetes a bude čeliť rovnakým problémom ako ja: predvolené bezpečnostné nastavenia, konfigurácia NetworkPolicy, Chromium sidecar, nasadenia konfigurácií. Ekosystém je dva týždne starý a už je fragmentovaný. Každý rieši tieto problémy nezávisle.

Náklady na vývoj softvéru sa blížia nule. A ako som argumentoval v OpenClaw je nový Linux, otvorenosť bráni fragmentácii. Operator nie je môj obranný priekop. Ak niečo ním je, je to značka a dôvera, ktorú budujem zdieľaním práce ako je táto. A ak ani to neobstojí, baví ma stavať, písať a zdieľať. To stačí. Ponechať Operatora ako proprietárny by znamenalo, že každý infraštruktúrny tím znovu objaví rovnaké úskalia, ktoré som objavil ja. To je plytvanie, nie konkurenčná výhoda.

Tohto Operatora prevádzkujeme v produkcii. Každý agent na OpenClaw.rocks cezeň prechádza.

Kód je na github.com/OpenClaw-rocks/k8s-operator. Issues a PR vítané.

Ak to radšej nechcete spravovať sami, presne na to slúži OpenClaw.rocks.