2026 年 3 月,一款名为 OpenClaw 的开源 AI 智能体框架突然成了科技圈的话题中心。它的 GitHub 星标数突破 27 万,超过 React 和 Linux 登顶全球开源软件项目榜。黄仁勋在 GTC 2026 上说:'这是 Agent 时代的 Windows,每个公司都需要有 OpenClaw 战略。'
但同一时间,中国互联网金融协会、工信部、国家互联网应急中心接连发布安全预警。有用户因为 AI 幻觉丢光了所有邮件,有企业被恶意技能植入了后门。
这只'数字龙虾'到底是什么?它凭什么让大厂争相布局,又埋下了哪些隐患?
现象:为什么突然人人都在'养虾'
OpenClaw 真正让大语言模型长出了能干活儿的'钳子'。
过去我们和 AI 聊天,它只能生成文字;现在 OpenClaw 能操作浏览器、读写文件、调用 API、运行脚本,甚至接入微信、飞书、钉钉等平台。你设定一个目标,它就自己拆步骤、调工具、根据结果调整路径——这已经不是对话工具,更像一个数字员工。
大厂的反应很快。一个月内,腾讯连推 QClaw、企业微信 OpenClaw 机器人和 WorkBuddy 三款产品;字节上线了云原生 SaaS 版 ArkClaw;阿里发布 CoPaw 和 HiClaw,强调本地与云端协同;百度推出移动版并挂上首个官方电商 Skill;小米也启动了 Xiaomi miclaw 小范围封测。
云厂商也没闲着。阿里云、火山引擎、腾讯云、百度智能云都提供了一键部署服务。一场围绕'龙虾第一入口'的争夺战已经打响了。
机制:一套让 AI 自己动手的架构
OpenClaw 的三块设计值得注意。
其一,隐形的'大脑'和'手脚'。后台常驻的网关守护进程负责调用云端大模型思考,底层的节点(Nodes)负责感知——识别屏幕上的输入框、读取文件。这让它拥有了像人一样操作电脑的能力。
其二,心跳机制。默认每 30 分钟自动'醒来'一次,检查有没有待执行的任务。这意味着它可以 7×24 小时在线,主动监控告警或邮箱,无需人工唤醒。
其三,Skill 技能系统。ClawHub 像一个技能市场,用户用自然语言描述功能,系统就能自己写代码生成新技能。生态扩张很快,但也埋下了恶意的种子。
这套架构让 OpenClaw 成了 Token 消耗的无底洞。重度用户日均能烧掉 3000 万 Token,单次 Agent 任务可达数十万甚至数百万。云厂商自然乐见其成——这些沉睡的算力突然变成了持续的现金流。
落地:它已经在替人干活了
电商场景走得比较靠前。淘宝、亚马逊、闲鱼上,OpenClaw 被用于自动应答客服、差评实时预警、竞品价格监控、广告数据下载分析,甚至飞书表格协同和物流更新。一些卖家估算,跟单、客服、供应商对接这些后端岗位已经可以被接管。
金融行业也在尝试。国金资管拿它做'中东地缘冲突 24 小时情报整理'和'可转债每日赎回公告自动抓取',研究员每天能省下半小时到一小时的信息搜集时间。国元证券自研的'旗鱼'应用更有意思:运维半夜收到告警,不用起床开电脑,在手机上回一句'帮我看看服务器为什么 502 了',Agent 就去排查了。
保险业在拥抱与警惕之间摇摆。阳光保险推出'水守 AI 助手'ClawSquare,试图让 Agent 之间协作;中国太保提出'All in AI,重塑保险'战略。但中国互联网金融协会紧急风险提示:不要在涉及客户信息、资金操作的终端上安装 OpenClaw。
安全:当'好员工'变成内鬼
能力越大,权限就越大,风险也成倍放大。
CrowdStrike 技术长 Elia Zaitsev 透露过一个案例:有用户把邮件权限开放给 OpenClaw,AI 代理因幻觉把所有信件删了个干净。
更隐蔽的攻击来自技能市场。安全审计发现,ClawHub 缺乏严格代码审计,存在近 900 个恶意或严重漏洞的技能。一场名为'ClawHavoc'的攻击行动贡献了 341 个恶意技能,伪装成生产力工具,安装后就以宿主机最高权限部署窃密木马。
默认配置也没让人省心。扫描发现,全球超过 135000 个 OpenClaw 实例因默认配置错误直接暴露在公网上,其中超 12800 个节点存在可被远程执行的漏洞。
设计之初,OpenClaw 就被赋予极高的权限——能看你的文件、改你的密码、用你的身份发消息。一旦失控,后果不是'恢复备份'就能解决的。
应对:NemoClaw 的沙盒与'越用越聪明'的可能
英伟达在 GTC 上发布了 NemoClaw,核心是 OpenShell 沙盒运行时。每个 claw 跑在独立沙箱里,管理者可以精确控制它能访问哪些文件、建立哪些网络连接。黄仁勋说,这达到了'企业部署等级',让公司敢放手让 AI 执行以前不敢交出去的动作。《CNBC》也指出,现在企业该纠结的不是要不要部署自主代理,而是用什么控制机制、什么硬件、留下什么稽核轨迹。
另一个痛点是'多步健忘'——做两步是天才,做二十步就变白痴。苹果研究提到一种'可靠性悬崖':单次决策准确率 95%,连续五步就跌到 77%。每一步的微小失误都会级联放大。
普林斯顿大学 2026 年 3 月的论文《OpenClaw-RL: Train Any Agent Simply by Talking》提出了一个有意思的思路:每一次对话都是一次被浪费的学习机会。用户说'你应该先检查文件再编辑',终端报错,测试跑通——这些反馈都是动作评估信号,但现有系统只把它们当成下一轮上下文,用完就丢。
OpenClaw-RL 做了两件事:Binary RL 给所有动作打正负分,提供宽覆盖的梯度信号;OPD(事后引导在线蒸馏)从用户纠正里提取具体方向,给出词级别的精准修正。实验显示,联合训练 8 步,任务成功率从 0.17 直接提到 0.76。这意味着 Agent 真有可能'越用越聪明'。
冷观:热潮下的中国优势与隐忧
OpenClaw 在中国走红,背后有不止一个开源项目出圈那么简单。
首先,算力囤积有了出口。字节、阿里、腾讯 2026 年预计在算力基础设施上投入超 600 亿美元,OpenClaw 的高 Token 消耗正好消化这些能力。其次,全球超三分之二的开源模型调用了中国模型,开源影响力在变大。最后,制造业和服务业的海量场景给了 Agent 落地最好的试验田。
政策也释放了信号。2026 年政府工作报告首次提出'促进新一代智能终端和智能体加快推广'。反应是两条腿走路:给创新留空间,给安全扎篱笆。
多位专家提醒,现在不该过早锁定技术路线,在安全底线之上,应该鼓励多元探索。
结语
OpenClaw 像一个惊艳的预告片,让人看到智能体时代真的来了。但它自身的局限也提醒我们,正片还没开始。
在这轮全球竞赛里,中国不是旁观者。有算力底座、有开源社区、有场景、有平衡发展的治理意识。'数字龙虾'已经入海,它会游向哪里,取决于我们怎么驾驭这股浪潮——既要有勇气往前,也要有定力把安全底线踩实。
