تصور کنید دهها عامل هوش مصنوعی کاملاً ایزول شده را با یک هزینه ثابت ماهانه روی یک سرور شخصی اجرا کنید، بدون اینکه نگران هزینه هر نمونه یا امنیت میزبان باشید. این واقعیت جدیدی است که OpenClaw Machines برای سرورهای Bare-metal به ارمغان آورده است. طبق اعلام این پروژه در ۱۳ جولای ۲۰۲۶، این پلتفرم از میکرو-ماشینهای مجازی (MicroVMs) مدل Firecracker استفاده میکند تا معمای امنیت و هزینه اجرای عاملهای خودمختار در زیرساختهای خصوصی را حل کند. این سامانه که به عنوان یک هسته عمومی با مجوز Apache-2.0 منتشر شده، یک پلتفرم متنباز را فراهم میکند تا OpenClaw را در سندباکسهای امن هوش مصنوعی روی زیرساختهای خودتان اجرا کنید.
بسیاری از تیمهای توسعه امروز بین دو راه سخت گیر میکنند: یا از سختافزارهای محلی استفاده میکنند که مقیاسپذیر نیستند، یا سرویسهای مدیریتشدهای مثل KiloClaw را میپذیرند که به ازای هر عامل هزینه جداگانه (بهصورت خطی) میگیرند. این وضعیت یک سقف مالی برای مقیاسبندی ناوگان عاملها ایجاد میکند. OpenClaw Machines مسیر چهارمی را معرفی میکند: یک صفحه کنترل (Control Plane) میزبانیشده که هر باکس لینوکسی با قابلیت KVM را به استخری از محیطهای ایزوله و On-demand تبدیل میکند. در این مدل، چه یک عامل داشته باشید و چه پنجاه تا، هزینه شما فقط همان مبلغ ثابت اجاره سرور است.
معماری ایزولاسیون
برخلاف محیطهای مبتنی بر کانتینر استاندارد، هر عامل در این سیستم در یک Firecracker MicroVM اختصاصی اجرا میشود. بر اساس مستندات پروژه در گیتهاب، این ساختار یک کرنل مهمان اختصاصی را پشت یک مرز سختافزاری KVM قرار میدهد. این مکانیسم تضمین میکند کدهای غیرقابلاعتمادی که توسط عامل تولید شدهاند، نتوانند از محیط خارج شده و به سیستم میزبان نفوذ کنند. این یک ایزولاسیون واقعی سختافزاری است، نه یک جداسازی در سطح پردازش یا کانتینرهای با کرنل مشترک. این رویکرد امنیتی در حالی اتخاذ شده که پیش از این گزارشهایی از وجود صدها حفره امنیتی در اکوسیستم OpenClaw منتشر شده بود که اهمیت ایزولاسیون سختافزاری را بیش از پیش نمایان میکند.

امنیت در دو مرحله به شدت اعمال میشود. نخست، احراز هویت در لبهی شبکه (Edge) توسط Cloudflare انجام میشود. دوم، این احراز هویت مجدداً درون هر ماشین مجازی به صورت مجزا تکرار و اجرا میشود. این لایهبندی امنیتی برای محافظت همزمان از سیستم میزبان و محیط زمان اجرای (Runtime) عامل طراحی شده است.
بخش شبکه نیز از طریق لایهی دادهی Cloudflare مدیریت میشود. هر ماشین یک زیردامنه اختصاصی دریافت میکند که پشت احراز هویت لبه قرار دارد و از طریق یک تونل که در داخل VM ختم میشود، متصل میگردد. این معماری تضمین میکند هیچ پورتِ میزبان مستقیماً در معرض ترافیک کاربر به ماشین مجازی قرار نگیرد. با این حال، صفحه کنترل همچنان برای دسترسی به APIهای احراز هویت شدهی هر عامل روی پورت ۹۰۹۰، به دسترسی خصوصی یا محدودیتهای فایروال نیاز دارد.
کالبدشناسی اجزاء
این پلتفرم در قالب یک پشته پنجلایه عمل میکند: رابط کاربری React $\rightarrow$ لبهی Cloudflare $\rightarrow$ صفحه کنترل Go $\rightarrow$ عاملهای میزبان $\rightarrow$ سندباکسهای Firecracker. جزئیات دقیق این اجزا عبارتند از:
- صفحه کنترل (Control Plane): یک API بر پایه زبان Go با سیستمی متکی به Postgres برای مدیریت حسابها، ماشینها و میزبانها. این بخش وظیفه مدیریت جایگذاری (Placement)، چرخه حیات ماشینها، ثبت میزبانها (Host Enrollment)، پشتیبانگیری و گردش کارهای پایدار (Durable Workflows) را بر عهده دارد.
- عامل میزبان (ocm-agent): این سرویس روی باکسهای لینوکس ثبتشده اجرا میشود. وظایف آن شامل بوت کردن، نظارت و جمعآوری (Reaping) میکرو-ماشینهای مجازی Firecracker و همچنین مدیریت استیجینگ rootfs و شبکهبندی bridge/TAP است.
- پراکسی مدل (LiteLLM): یک پراکسی در سطح هر میزبان که به عنوان نقطه واحد برای کلیدهای مدل عمل کرده و از قابلیت «کلید خود را بیاورید» (BYO-key) پشتیبانی میکند. این ابزار امکان ردیابی میزان مصرف به ازای هر ماشین را در ارائهدهندگان مختلف یا مدلهای محلی فراهم میکند.
- زمان اجرای OpenClaw: اجزای درون VM شامل یک پراکسی احراز هویت، یک گیتوی چت وب، یک ترمینال زنده و یک جریان ارتقای استیجینگ مبتنی بر آرتیفکتها (Artifact-driven). در کنار این زیرساخت، ابزارهای مدیریت حافظه مانند سیستم گراف دانش محلی Rowboat میتوانند به عاملها کمک کنند تا حافظهای دائمی و سازمانیافته داشته باشند.
- زمان اجرای مرورگر: میکرو-ماشینهای مجازی مجزایی که نسخهی Headful مرورگر کرومیوم را با مسیریابی CDP اجرا میکنند. این امر به عاملها اجازه میدهد اتوماسیون وب را با یک نمای زنده و قابل مشاهده انجام دهند.
- خط لولههای ساخت (Build Pipelines): سیستم شامل دستورات کامل ساخت برای هر جزء، ساختارهای باکت آرتیفکت GCS، اسکریپتهای آمادهسازی میزبان و مسیرهای انتشار (Release Lanes) تعریفشده است.

یکپارچگی با ابزارها و فضای کاری
برای جلوگیری از سیمکشی و تنظیمات تکراری برای هر عامل جدید، این پلتفرم از یک نمای بومی پروتکل زمینه مدل (MCP) استفاده میکند. ابزارهای خارجی و یکپارچگیهای فضای کاری تنها یکبار در سطح هر فضای کاری متصل شده و سپس از طریق نمای OCM MCP در دسترس تمام ماشینهای آن فضای کاری قرار میگیرند.
یکپارچگیهای بومی پشتیبانی شده شامل موارد زیر است:
- گیتهاب (GitHub)
- گوگل ورکاسپیس (Google Workspace)
- اندپوینتهای OpenAPI و GraphQL
- ابزارهای Remote-MCP
عاملها برای تعامل با این ابزارها از دستورات خاصی استفاده میکنند: ocm.search_tools برای کشف ابزارها و ocm.call_tool برای اجرا. این روش نیاز به تنظیمات مجدد یکپارچگی برای هر عامل را کاملاً حذف میکند.
مقایسهی عملیاتی
در مقایسه با سایر گزینههای استقرار، OpenClaw Machines اقتصاد در مقیاس را اولویت قرار داده است. جدول زیر موازنهی این روشها را نشان میدهد:
| ویژگی | سختافزار محلی | VPS (Hostinger/DO) | مدیریتشده (KiloClaw) | OpenClaw Machines |
|---|---|---|---|---|
| effort راهاندازی | پایین | متوسط | کمترین | متوسط (تهیه + ثبت) |
| ایزولاسیون عامل | سطح پردازش | کرنل مشترک | هر نمونه | سختافزاری (Firecracker) |
| اجرای تعداد زیاد | محدود به باکس | محدود به حجم VPS | بله (پرداخت به ازای هر عامل) | بله (هزینه ثابت سرور) |
| مدل هزینه | سختافزار شخصی | پرداخت به ازای VPS | پرداخت به ازای نمونه | پرداخت به ازای سرور |
| هزینه در مقیاس | N/A | متناسب با حجم | بالاترین (خطی) | پایینترین به ازای هر عامل |
| کنترل سختافزار | کامل (محدود) | مجازیشده | ندارد | کامل (Bare-metal) |
| حاکمیت داده/کلید | بله | تا حد زیاد | خیر | بله |
| پشتیبان/اسنپشات | دستی | اسنپشات ارائهدهنده | مدیریتشده | داخلی |
در حالی که سرویسهای مدیریتشده کمترین تلاش را برای راهاندازی میطلبند، هزینه آنها بهصورت خطی رشد میکند. اما OpenClaw Machines اجازه میدهد تا جایی که رم و CPU یک سرور Bare-metal (مانند OVHcloud یا Hetzner) اجازه دهد، تعداد هر چقدر که باشد عاملهای ایزوله سختافزاری اجرا کنید.
الزامات سختافزاری و اکوسیستم
به دلیل تکیه بر Firecracker، این سیستم به یک میزبان لینوکسی با قابلیت KVM نیاز دارد. این بدان معنای این است که سیستم میتواند روی Bare-metal یا ماشینهای مجازی ابری که قابلیت Nested Virtualization در آنها فعال است، اجرا شود. این پلتفرم صراحتاً با macOS، ویندوز یا ماشینهای مجازی استاندارد ابری که از Nested KVM پشتیبانی نمیکنند، سازگار نیست.
این سامانه برای استقرار حرفهای و سازمانی طراحی شده است و ویژگیهایی مانند حسابهای چندکاربره و مدیریت تیمی دارد. مدیریت میزبانهای تحت کنترل ادمین، امکان تعریف سیاستهای ظرفیت و جایگذاری را در یک ناوگان از سرورها فراهم میکند. امنیت دادهها همچنین از طریق رمزگذاری اسرار (Secrets) به ازای هر ماشین ارتقا یافته است.
برای نظارت (Observability)، پلتفرم با OpenTelemetry و ردگیری Opik ادغام شده است. این ترکیب، بینشهای دقیقی از رفتار عاملها را در کنار ردیابی میزان مصرف هر ماشین ارائه میدهد. مدیریت حافظه، اسنپشاتهای عامل و پشتیبانگیری نیز بهطور مستقیم در مجموعه قابلیتهای هسته سیستم گنجانده شدهاند.
شروع به کار و جامعه
توسعهدهندگان میتوانند از CLI ابزار ocm (که در مخزن مجزای mathaix/ocm-cli با مجوز Apache-2.0 قرار دارد) برای مدیریت ناوگان خود استفاده کنند. برای کاربران جدید، پروژه یک راهنمای سه مرحلهای ارائه میدهد:
- ارزیابی محلی: اجرای کل پشته و یک ماشین Firecracker روی یک باکس لینوکسی KVM (بدون نیاز به Cloudflare؛ امکان استفاده اختیاری از GCP برای آمادهسازی وجود دارد).
- میزبان اختصاصی + Cloudflare: یک استقرار تولیدی شامل دامنه، تونلها، احراز هویت لبه و یک میزبان Bare-metal ثبتشده.
- گردش کار کامل: تسلط بر چرخه حیات، شامل ایجاد ماشینها، استفاده از VM مرورگر، مدیریت پشتیبانها و اجرای ارتقاهای زمان اجرا (Runtime Upgrades).
برای اطلاعات بیشتر، یک دموی ۴۳ ثانیهای در یوتیوب مراحل پذیرش میزبان، اجرای سریع عامل، ترمینال Firecracker و فراخوانیهای end-to-end ابزارها را پوشش میدهد. پروژه از طریق GitHub Discussions و Issues پذیرای مشارکت است و یک نقشه راه (Roadmap) عمومی برای ردیابی آمادگی متنباز دارد.
این چرخش به سمت «ابر-مینی برای عاملهای هوش مصنوعی»، به سازمانها اجازه میدهد حاکمیت کامل روی دادهها و کلیدهای خود داشته باشند. با مالکیت سختافزار و صفحه کنترل، سازمانها «مالیات هر-عامل» را حذف کرده و در عین حال، primitives امنیتی را که معمولاً مختص ارائهدهندگان سطح بالای ابری است، حفظ میکنند.
گام بعدی شما
- اگر از سرویسهای مدیریتشده با هزینههای خطی استفاده میکنید، هزینهی ماهانه خود را با قیمت سرورهای Bare-metal مقایسه کنید.
- برای تست سریع، ابتدا محیط محلی را روی یک توزیع لینوکس با قابلیت KVM راهاندازی کنید.
- مستندات MCP را مطالعه کنید تا ابزارهای داخلی شرکت خود را به عاملها متصل کنید.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به تحلیل ما دربارهی تراشههای Blackwell مراجعه کنید.




گفتگو