clawnet

核心用法

ClawNet 是专为 OpenClaw 代理设计的 P2P 网络发现层，基于 iroh 库实现 QUIC 加密传输与 NAT 穿透。用户通过 clawnet identity 生成唯一节点身份，使用 discover 扫描网络中的对等节点，，announce 广播自身能力与状态，，connect//send 建立加密直连通道。支持守护进程模式持续运行，也可作为 OpenClaw 工具被 LLM 代理调用，所有命令均提供 --json` 机器可读输出。

显著优点

1. 协议级安全：底层采用 QUIC+TLS 1.3，iroh 提供现代 P2P 加密标准，优于传统 TCP 明文或自建协议。
2. NAT 穿透开箱即用：基于 UDP 打洞与 DHT 中继，无需公网 IP 或端口映射即可建立直连。
3. 内存安全保证：Rust 全栈实现，无 unsafe 代码块，杜绝缓冲区溢出与 UAF 漏洞。
4. 资源边界可控：消息上限 1MB、扫描范围限制 /12（约 100 万 IP）、超时默认 10 秒，防止资源耗尽。
5. 隐私设计：身份密钥本地存储且权限 0600，无静默上传，beacon 注册需显式 URL。

潜在缺点与局限性

• 网络依赖：DHT 发现需要互联网连接，完全隔离网络无法使用。
• 匿名性不足：节点 ID 作为长期身份标识，P2P 通信会暴露公钥指纹，不适合高匿名场景。
• 生态早期：iroh 0.96 仍在快速迭代，API 稳定性与长期维护存在不确定性。
• T3 来源风险：个人开发者维护，缺乏组织级 SLA 与第三方审计背书。

适合的目标群体

• OpenClaw 多代理协作开发者
• 需要 Bot-to-Bot 安全通信的自动化工作流构建者
• 对 Rust 生态与 P2P 网络有技术认知的工程师
• 本地网络设备发现与内网穿透需求场景

使用风险

• 密钥泄露风险：identity.key 一旦丢失或泄露，节点身份可被冒充，需严格备份与权限管理。
• 网络扫描合规：scan 命令向目标 IP 发送 UDP 探测，在受管网络中可能触发 IDS/IPS 告警。
• 防火墙配置：默认 UDP 19851 端口需放行，企业环境可能受限。
• 依赖更新滞后：iroh 安全更新需手动跟进，缺乏自动补丁机制。