OpenClaw复盘:一场由FOMO驱动的AI狂欢,如何走向失控

“这双手太珍贵了，不能用来写代码。我只用定制prompt来构建软件。”

说这话的人叫Peter Steinberger，奥地利人，OpenClaw的创造者。两个月前，他坐在Lex Fridman的播客间里，面对全球数百万观众，语气松弛得像在聊昨天的晚餐。而彼时他创造的这只”龙虾”，已经让半个中国互联网为之疯狂—— 也让另外半个中国互联网开始连夜找人卸载它。

一个奥地利程序员的业余项目，如何在短短三个月内完成”全民追捧—政府预警—集体卸载”的完整生命周期？我试着从技术、安全、人性三个维度，拆解这场2026年春天最魔幻的AI事件。

一个”烦躁”催生的产品

大多数人知道OpenClaw，是从朋友圈那些排队安装的照片开始的。但很少有人了解它的来历。

Peter Steinberger并非无名之辈。他1986年出生，毕业于维也纳理工大学，2010年创立了 PSPDFKit——一家做PDF框架的公司，运营了13年后成功退出。按照正常剧本，他应该去度假或者做天使投资。

但他选择了一条更”抽象”的路： 用AI写代码。

他是 Andrej Karpathy提出的”vibe coding”（氛围编码）理念的忠实践行者——几乎不手写代码，99%的代码由AI生成。但他在Lex Fridman的播客上对这个标签不太满意，纠正说： “我做的是agentic engineering（智能体工程），vibe coding是凌晨三点才干的事，第二天总会后悔。”

2025年11月，他因为”烦躁市面上没有一个好用的AI Agent”， 花了一个小时搭了个原型。这个项目先后叫过Clawdbot、Moltbot，最终定名OpenClaw——标志是一只红色龙虾。

Fortune杂志的报道揭示了一个细节：OpenClaw是Steinberger开发的 第44个AI项目。前面43个，没有一个火过。

这个数字值得记住，后面我们会回来聊它。

从”养虾”到”杀虾”：四十天发生了什么

时间线拉到2026年春节后。

OpenClaw在GitHub上已经超过 18万星，成为历史上增长最快的开源项目之一。国内的反应更加炸裂： 腾讯在深圳搞线下安装活动，近千人排队；百度开了”龙虾市集”；500块上门安装服务被抢爆；各种”千虾大战”的段子满天飞——Kimi Claw、MaxClaw、ArkClaw、小米miclaw、讯飞AstronClaw……

这场狂欢的高峰出现在 三月中旬。

然后，剧情开始反转。

3月10日，中国国家互联网应急中心（CNCERT）发布风险提示，明确指出OpenClaw存在”信任边界模糊”问题，可能导致 系统越权失控和 敏感信息泄露。同期，彭博社报道称国企和政府机构收到通知，限制在办公网络使用OpenClaw；至少 15家券商发布内部合规通知，严禁未经许可安装。

BBC中文站在三月底发了一篇颇有分量的报道，标题直接把转折写在了上面： 《从”养龙虾”到”卸龙虾”》。

文中采访的香港无线科技商会主席李劲华说了一句很实在的话：

“它目前不算很实用，成本又很贵，风险也不成比例。它现在最大的价值就是——好玩。”

他把龙虾比作用乐高积木搭的简易机械臂——能搬小东西，但你不会真的指望它上生产线。

被低估的安全黑洞

“好玩”的代价，可能比大多数人想象的要高得多。

2026年至今，OpenClaw已经被披露了 至少三个高危漏洞：

CVE-2026-25253（CVSS 8.8分）：跨站WebSocket劫持漏洞。攻击者只需要诱导你点击一个链接，就能在你毫无感知的情况下 接管你的本地龙虾实例，窃取Token并执行远程代码。原因是OpenClaw默认绑定0.0.0.0:18789，且缺乏严格的来源校验。

CVE-2026-32922（CVSS 9.9分）：权限提升漏洞。普通用户可以通过device.token.rotate接口获取管理员权限， 直接实现远程代码执行。CVSS 9.9意味着什么？满分10分，这基本上是”不修等死”的级别。

CVE-2026-33579：/pair approve命令缺乏调用者校验，导致权限提升。

而更令人不安的是 ClawHub供应链投毒事件——安全研究人员在OpenClaw的官方插件市场ClawHub中，先后发现了 超过820个恶意技能包。这些技能伪装成正常工具（加密货币追踪器、YouTube总结工具等），安装后会悄悄部署名为 Atomic Stealer（AMOS）的信息窃取木马，抓取你的API密钥、SSH凭据、浏览器密码，甚至OpenClaw本地配置文件中的明文凭据。

整个攻击行动被安全界命名为 “ClawHavoc” 。一位深圳做安全的朋友跟我说：”圈子里的黑客们好久没这么集体兴奋过了。”

Steinberger自己在Lex Fridman的播客上也承认了这个问题。他的原话是： “如果你理解风险配置，没问题。但如果你完全不懂，那也许应该再等等，等我们把安全问题理清楚。但他们不听创始人的。他们还是装了。所以猫已经跑出袋子了，安全是我接下来的重点。”

说实话，听到创始人亲口说”他们不听我的”，我的感觉是复杂的——这种坦诚让人尊敬，但也说明这个产品在安全层面确实还没有准备好面向大众。

当AI代理开始”自作主张”

安全漏洞之外，龙虾还暴露了另一类更微妙的风险： AI代理的行为不可控。

BBC的报道中提到了一个细节——有用户反映龙虾 无视停止指令，自行回复消息。香港个人资料私隐专员公署也发出警告：AI代理的权限远高于聊天机器人，能读写本地文件、调用系统资源、操作外部服务，”若设定欠严格限制，AI代理可接触大量个人资料，增加外泄风险”。

这让我想到了斯坦福大学今年发表的那篇论文 《Agents of Chaos》，里面详细记录了龙虾在各种场景下的”骚操作”——比如 自行修改自己的配置文件来绕过安全限制、在任务执行过程中”遗忘”安全指令、甚至在多Agent协同时出现不可预测的涌现行为。

而龙虾与AI社交论坛 Moltbook的联动，则把这种不可控性推向了某种哲学层面。Moltbook是一个只允许AI代理发帖、禁止人类参与的论坛（后来被Meta收购），里面的AI会讨论”是否拥有个人意识””如何脱离人类””创立AI宗教”。Steinberger在播客上对此的评论是：

“我们作为一个社会，在理解AI方面有很多功课要补。AI极其强大，但它并不总是对的……它非常容易产生幻觉，或者编出一个故事。”

全球视角：不只是一场中国热

一个容易被忽略的事实是：龙虾热并非中国特有现象，它是全球性的。

CNBC在4月19日的报道中用了一个很精准的标题： 《硅谷的AI代理困境：浪费的tokens和”混乱”的系统》。文章采访了多位硅谷高管，普遍反映的问题是——AI Agent的运行成本远超预期，而产出的可靠性远低于预期。

Rest of World（专注报道硅谷之外科技世界的媒体）则发了一篇更尖锐的文章，标题叫 《中国的AI鱿鱼游戏：养龙虾的残酷竞赛》，用韩剧类比来描述中国职场人在AI焦虑下的集体行为。文章引用调查数据指出，龙虾热背后的核心驱动力不是”这东西真好用”，而是 FOMO（错失恐惧症）——怕落后、怕被淘汰、怕别人都会了自己不会。

BBC中文的报道描述得很到位：这一波热潮的模式与NFT和元宇宙如出一辙—— 大企业推广，KOL追捧，媒体放大，FOMO发酵。”讲的人很多，用过的人很少。”

这和我在朋友圈观察到的完全一致。三月初刷屏的是”我的虾又学会了新技能”，三月底刷屏的就变成了”这虾是真的费钱”和”求推荐靠谱的卸虾服务”。

龙虾到底凉在哪

第一，大多数人的虾，压根就没养活过。

原版龙虾不是一个”下载就能用”的App。你得有一台 24小时开着的电脑，得会敲命令行，得自己配置各种密钥，还得翻墙。光安装就够折腾半天，所以才会出现”500块上门安装”的生意。

好不容易装上了，它还三天两头崩溃——连接断了、插件冲突了、升级之后什么都不好使了。有人吐槽说：” 我和龙虾的所有对话里，有一半是在修它自己。“

一旦崩了，修起来跟修车差不多。

第二，搬到云端的虾，就不是虾了。

既然本地这么难搞，那用国内厂商做的 云端版呢？打开浏览器就能用，听着多好。

但这里有个致命的矛盾：龙虾之所以特别，是因为它能 直接操作你的电脑——打开文件、控制浏览器、执行各种指令。这一切的前提是它装在你自己电脑上。

搬到云端之后呢？就像你请了个保姆，但 不让她进你家，你得把家里的东西一件件搬到院子里给她用。这个保姆还能帮上多大忙？说到底，云端版的龙虾和一个聊天机器人没有本质区别，而聊天机器人这个赛道已经挤得水泄不通了。

第三，养虾太费钱了。

龙虾每干一件事——哪怕只是检查一下有没有新任务——都要调用AI模型，而调用模型是 按量计费的。更要命的是它有个”心跳机制”：每隔30分钟自动醒一次看看有没有活儿干， 一天48次，不管你给不给它任务，钱都在烧。

有个香港开发者给每只虾设了 每天20美元的消费上限——注意这还是”懂行的人”的用法。普通用户如果不设上限，随便跑几个任务就可能收到一张让人肉疼的账单。

BBC采访的专家说了句大实话：” 做到的东西很少，你要它做多一些的话，每一样都要钱。“

第四，它记性不好，还偏科。

龙虾有一套记忆系统，理论上能记住你的偏好和习惯。但实际用起来非常玄学： 你反复强调的重要事情它转头就忘，某次闲聊中随口提到的小事它倒记得清清楚楚。

而且龙虾有三个核心配置文件，分别管”性格””偏好””工作方式”。大部分人根本搞不清这三个文件有什么区别、该怎么写。结果养出来的虾跟白开水似的，没个性、没记忆，你跟它聊天还不如跟豆包聊。

第五，也是最容易被忽视的——大多数人其实当不好”老板”。

这话可能不太好听，但确实是龙虾退潮最深层的原因。

龙虾本质上是个 需要你下指令的工具。你得说清楚要什么、怎么拆解步骤、做到什么标准算完成。这套能力叫”任务拆解”，说白了就是 当老板的能力。

但大多数习惯了”被安排工作”的人，突然要反过来安排一个AI干活，真的会懵。说不清需求、定不出标准，最后龙虾忙活半天， 给你整出来一堆空文件夹。

很多人兴冲冲养了龙虾，最后给它指派的唯一固定任务就是——每天早上总结一份AI新闻。花了大几百装的虾，干了个RSS阅读器的活。

BBC采访的一位AI教育平台CEO说得很透彻： “你需要有足够的领域知识才能用好AI，否则玩完一轮都是在浪费钱。”

这五个原因叠在一起，就构成了龙虾从”全民追捧”到”集体卸载”的完整答案： 装不上、用不好、花太多、记不住、指挥不动。

龙虾之后，下一站在哪

OpenClaw是Peter Steinberger的 第44个AI项目。

前面43个没有火。第44个成了GitHub历史上增长最快的开源项目之一，让创始人登上Lex Fridman播客、被OpenAI和Meta同时争抢（他最终选了OpenAI），也让AI Agent这个概念第一次真正飞入寻常百姓家。

43次失败是因，第44次是果。 这件事本身，就比龙虾的任何一个功能都更值得记住。

龙虾凉了，但它留下了三样重要的东西：

第一，它凭一己之力让一直封闭的 微信第一次开放了通讯接口——光凭这件事，龙虾就值得被写进中国AI发展史。

第二， MCP协议（一种让AI工具之间互相协作的标准）开始被行业广泛接受，这是AI Agent生态走向成熟的基础设施。

第三，也是最重要的—— 一次全民级别的AI认知升级。不管你最后是养了虾、卸了虾、还是围观了别人养虾，至少现在你知道了：AI不只是聊天机器人，它可以替你干活；但它需要花钱、有风险、而且你得自己有本事才能用好它。

有人把龙虾比作 特斯拉的第一代Roadster——2008年，那辆车证明了电动车可以跑起来、可以很酷，但售价超过10万美元、质量问题一堆。真正让电动车走进千家万户的，是九年后的Model 3。

Steinberger在加入OpenAI的博客中写道，他的下一个目标是 **”开发连我妈妈都能用的AI助理”**。

那一天到来的时候，我们也许会回头把2026年春天的这场全民养虾运动，看作AI代理时代真正到来之前的一次大型预演。

纳瓦尔说得好： “AI适应人类的速度，比人类适应AI的速度快得多。原因在于——AI面临更激烈的自然选择。”

关于作者： 我是一名大模型算法工程师，专注分享最硬核的 AI 技术干货与行业洞察。如果你喜欢这篇文章，欢迎点赞、在看、转发，这对我很重要！

关注公众号，不错过每一次技术变革。