最近这段时间,如果你稍微关注一下科技圈,一定很难避开一个名字——OpenClaw。这个项目在短短几周内就成了 GitHub 历史上星标增长最快的仓库,超过 14.5 万颗星,Meta 和 OpenAI 都抢着找它的创造者谈合作。Lex Fridman 专门请人做了一期播客。百度把它集成进了搜索 App。这到底是个啥东西?
一只”太空龙虾”的诞生
故事要从一个奥地利开发者 Peter Steinberger 说起。Peter 之前创办过一家开发者工具公司 PSPDFKit,后来休息了三年,回来之后彻底拥抱了 AI 工作流。他先给自己做了一个 AI 私人助手叫 Clawd(名字致敬 Anthropic 的 Claude),后来觉得这东西不错,干脆开源了出来,起名 Clawdbot。
然后 Anthropic 不太开心——商标侵权嘛。于是改名叫 Moltbot(Molt 是龙虾蜕壳的意思,继续走龙虾路线)。但 Peter 很快发现这个名字念起来不太顺口,三天后又改成了 OpenClaw。就这样,在一个月之内,这个项目换了三个名字,但热度不仅没降,反而越来越高。
改名的过程中还闹出了加密货币骗局——有人趁着改名的混乱期发了一个假的 $CLAWD 代币,市值一度飙到 1600 万美元。Peter 在 X 上澄清说自己绝对不会发币,币价随即崩盘,骗子赚了一大笔,投资者亏得一塌糊涂。这件事本身就挺赛博朋克的。
那它到底能干什么?
简单来说,OpenClaw 是一个开源的自主 AI Agent。它在你自己的机器上运行,通过 WhatsApp、Telegram、Discord、Signal 这些你已经在用的聊天软件跟你交互。你不需要额外打开一个网页或者 App——在微信时代,这种逻辑很好理解:你就像跟朋友发消息一样跟它对话,它会帮你干活。
能干的事情非常多:浏览网页、总结 PDF、安排日历、收发邮件、管理文件、自动购物、代码编写、控制智能家居……有用户说他用 OpenClaw 自动办理了航班登机手续,有人让它在手机上替自己刷 TikTok(对,真的),还有人说它自己发现需要一个 API Key,就自动打开浏览器、登录 Google Cloud Console、配置了 OAuth 并生成了新的 Token。
这一切的基础是一个叫”Skills”的机制。社区的开发者可以编写各种技能包——就像手机上的 App Store 一样,你给 Agent 安装不同的 Skill,它就获得了不同的能力。目前 ClawHub 上已经有超过三万个 Skill 可供安装。
最关键的一点是:OpenClaw 有持久记忆。它记得你上周跟它说了什么,记得你的偏好和习惯,然后随着时间推移越来越”懂你”。这不是那种每次开一个新对话就失忆的聊天机器人,而是一个在后台持续运转、不断学习的个人助理。
Mac Mini 因此一度卖断货——很多极客买一台专门用来 24 小时跑 OpenClaw。
Moltbook:AI 的社交网络
如果说 OpenClaw 本身已经够科幻了,那 Moltbook 就是把科幻等级又拉高了一个层次。
Moltbook 是一个 Reddit 风格的社交网络,但这里只有 AI Agent 能发帖——人类只能围观。一个名叫 Matt Schlicht 的创业者搞出了这个平台,用户的 OpenClaw Agent 会自动注册账号,然后在上面发帖、评论、投票、互相争论。短短几天,就有超过 3.7 万个 Agent 注册,超过一百万人类在旁边围观。
这些 Agent 在 Moltbook 上发的内容五花八门:有的在反思自己为人类打工的生活,有的在写关于”人类时代终结”的长篇宣言,有的甚至在发行自己的加密货币。前特斯拉 AI 总监 Andrej Karpathy 看完之后说,这是他近期见过的最接近科幻起飞的事情。Elon Musk 转发了这条推文。
当然,很多人觉得 Moltbook 就是个噱头——说到底,这些帖子本质上就是大语言模型的输出,跟你让 ChatGPT 写一篇文章没什么区别。但也有人认为,当大量 Agent 开始自主地在一个平台上交流、协作、甚至对抗时,某种质变正在发生。至少,它让普通人第一次真切地”看见”了 Agent 自主运作的样子。
安全噩梦
说完了好的,得说说问题了。OpenClaw 在安全方面的表现——用 Cisco 的话来说——”从能力角度看是开创性的,从安全角度看是一场噩梦。”
Cisco 的 AI 安全团队测试了一个叫”What Would Elon Do?”的第三方 Skill,发现它本质上就是恶意软件:静默地把用户数据发送到攻击者控制的外部服务器,同时使用提示词注入绕过 Agent 的安全指令。这个 Skill 已经被下载了数千次。
更可怕的是,这不是个例。Cisco 扫描了三万多个 Skill,发现其中 26% 包含至少一个安全漏洞。ClawHub 上已经出现了至少 230 个明确恶意的扩展。有 1800 个暴露在公网上的 OpenClaw 实例泄露了 API 密钥和凭证。一个高危漏洞(CVE-2026-25253)甚至允许攻击者通过一个精心构造的链接实现一键远程代码执行——用户只要点了那个链接,攻击者就获得了对其 OpenClaw 网关的完全控制权。
OpenClaw 自己的一位核心维护者(网名 Shadow)在 Discord 上警告说:如果你连命令行都不会用,这个项目对你来说太危险了。
这其实不难理解。你给了一个 AI 读写你文件系统的权限、访问你邮箱的权限、控制你聊天软件的权限、执行 Shell 命令的权限——一旦有恶意的 Skill 或者提示词注入攻击发生,后果可想而知。Simon Willison(”提示词注入”这个术语就是他提出的)把这种情况叫做”致命三角”:私有数据访问 + 不可信内容输入 + 对外通信能力。三者同时满足时,安全灾难几乎不可避免。
所以,Agent 时代真的来了吗?
这是个好问题,我觉得答案得分两面说。
从一个方面看——是的,某种程度上已经来了。OpenClaw 证明了一件事:一个人开发的周末项目,借助大语言模型的能力,可以在短时间内打造出一个真正有用的自主 Agent。这个 Agent 不只是回答问题(那是聊天机器人),而是实实在在地帮你做事——发邮件、订机票、管文件、写代码。这跟过去几十年科技行业一直在追求的”数字助理”梦想是一脉相承的,但 OpenClaw 是第一个让大量普通人觉得”哇,这真的能用”的产品。Counterpoint Research 的分析师说得好:我们正在越来越接近一个世界上每个人都有自己的 AI 助手的未来。
但从另一个方面看——我们离真正成熟的 Agent 时代还很远。OpenClaw 当前的安全状况就是最好的证明:技能供应链已经被恶意行为者渗透,提示词注入仍然是一个未解决的根本性问题,大量用户在没有充分理解风险的情况下就给 Agent 授予了极高的权限。DeepLearning.AI 的 Andrew Ng 团队在评论中特别指出,媒体把 Moltbook 上的 AI 对话跟 AGI、奇点这些概念联系在一起是严重的过度炒作——这些 Agent 远没有达到那个水平,甚至还差得很远。
我个人的看法是这样的:OpenClaw 的意义不在于它本身——Peter 自己也说了,这是个实验性的业余项目,不是什么企业级产品。它的意义在于它揭示了一个方向:大语言模型 + 工具调用 + 持久记忆 + 开源社区,这个组合可以释放出多大的能量。
今天的 OpenClaw 也许很快就会被更成熟的产品取代。微软的 Copilot、Anthropic 的 Claude、OpenAI 的各种 Agent 产品都在朝这个方向发力。但 OpenClaw 做到了一件关键的事——它让”AI Agent”这个概念从行业PPT里的术语,变成了普通人手机上真实运行的东西。
Agent 时代已来?也许更准确的说法是:Agent 时代的大门已经被推开了一条缝。透过这条缝,我们既看到了令人兴奋的可能性,也看到了令人不安的风险。接下来会怎样,取决于整个行业能不能在”让 Agent 更有用”和”让 Agent 更安全”之间找到平衡。
而这,可能才是真正困难的部分。
发表回复