OpenClaw 热度下降之后:与其争论它是否过时,不如看清它的规则边界
近期行业里有一种声音:OpenClaw(圈内常称”小龙虾”)过气了、过时了、彻底凉了。
从年初的现象级 AI 工具,到如今讨论度明显下降,这种反差确实容易给人一种”昙花一现”的印象。但作为一名长期关注 AI 产品落地的产品人,我认为判断一款工具是否过时,标准从来不是舆论热度,而是它所依附的技术生态是否仍在演进,以及它背后的核心思想是否仍被行业追随。
从这个角度看,OpenClaw 本身并没有”过时”,但更准确的说法是:它从来就不是行业火起来的根源。看似是 OpenClaw 火了,实际上火的一直都是 Claude,以及 Anthropic 在 AI Agent 工程化上的系统性探索。 OpenClaw 只是 Anthropic 技术理念的一个开源衍生实现,而且是一个工程化程度不足、安全设计有缺陷的实现。
01 为什么有人觉得它过时了?本质是流量错觉
年初 OpenClaw 爆火时,大量用户涌入并非出于明确的业务需求,而是 AI 焦虑下的跟风体验。当新鲜感消退、讨论度自然回落,很多人便简单推导出”没人讨论 = 没人用 = 已过时”的结论。
互联网产品的热度曲线从来如此:早期全民尝鲜制造峰值,随后迅速回落到真实用户的基本盘。回落不等于消亡,反而意味着工具完成了从”网红玩具”到”从业者工具”的自然筛选。真正在业务中用到它的人,不需要每天发朋友圈证明自己在用。
02 真相:火的一直是 Claude,不是 OpenClaw
很多人把 OpenClaw 的火爆归功于它自身的产品创新,这是一个巨大的误解。OpenClaw 的走红,本质上是 Claude/Anthropic AI Agent 生态热度外溢的结果。从 Claude 的 Computer Use 到工具调用(Tool Use),Anthropic 率先验证了”让大模型直接操控本地系统、浏览器与文件”的技术可行性,为整个行业打开了 Agent 落地的想象空间。OpenClaw 正是在这股浪潮下,试图将 Anthropic 的 Agent 开发经验普惠化,让普通用户也能拥有”会干活的 AI”。
但行业真正关注并持续跟随的,从来不是 OpenClaw 这个开源项目本身,而是 Anthropic 在 Agent 工程化上的系统性输出。包括:MCP(Model Context Protocol):Anthropic 提出的开放协议,试图标准化 AI 与外部工具的连接方式;Skill 机制:Anthropic 为了解决 MCP 造成的上下文占用严重问题,发明了 Skill。其核心设计是按需加载,并在 Skill 内部实现渐进式文档载入,从而避免一次性塞入过多上下文导致模型性能下降与成本飙升;Harness Agent 架构:Anthropic 在 Agent 编排与执行控制上的工程实践;SOUL.md 等核心设计文档:Anthropic 定义的 Agent 行为规范与系统级提示词工程标准。
这些经验教训至今影响着所有的 harness agent 设计与行业实现。OpenClaw 只是借鉴了 Anthropic 的这套经验,但它既不是 Skill 的发明者,也不是 MCP 的提出者,更不是 SOUL.md 等核心设计规范的源头。
认清这一点至关重要:评价 OpenClaw 是否过时,本质上是在评价 Anthropic 的 Agent 方向是否过时。而答案是显而易见的——Anthropic 定义的技术路线仍在加速成为行业标准,OpenClaw 只是这条路上的一个早期过客。
03 OpenClaw 的真实定位:借鉴了 Anthropic 的理念,但工程化严重不足
在 C 端运营、新媒体内容团队、中小互联网团队中,OpenClaw 确实找到了一些轻量级落地场景——批量处理重复性数据、跨平台内容分发、简易定时自动化任务等。对于没有专属 RPA 开发团队的小团队,它提供了一种相对低门槛的自动化可选方案。
但必须诚实地说,OpenClaw 在工程实现上走了一条与 Anthropic 演进方向相悖的封闭路线,且存在根本性的架构缺陷:
第一,它不是”零代码”工具。相比传统 RPA,OpenClaw 降低了部分开发门槛,但部署环境、处理依赖冲突、排查运行报错,仍然需要基础的技术配置能力。运营人员独立上手并不容易,企业落地通常需要研发或运维支持。
第二,稳定性与容错机制薄弱。作为开源项目,OpenClaw 在复杂业务流程中的鲁棒性不足,遇到异常状态容易中断,且缺乏完善的重试与回滚机制。这意味着它更适合**非核心、低风险的辅助性工作**,而非承载关键业务链路。
第三,也是最致命的:它采用了封闭的 Skill 实现,且安全架构过于简陋。需要再次强调,Skill 机制的思想源自 Anthropic(为了解决 MCP 上下文占用问题而设计的按需加载方案),但 OpenClaw 并未完整继承 Anthropic 的安全与工程规范,而是做了一套过于简化的实现。
其上下文设计存在高危缺陷:CLI(命令行接口)的执行输出,会直接作为提示词(Prompt)的一部分回传给 Agent。Agent 在规划下一步行动时,会将这些输出当作事实依据甚至行动指令来参考。如果 CLI 返回的内容被污染(例如访问的网页包含恶意指令、API 返回被篡改的数据),Agent 就可能被误导执行非授权操作,例如删除文件、发送敏感信息、或访问钓鱼链接。这就是安全领域所称的间接提示词注入(Indirect Prompt Injection)。
2026 年以来,安全社区已披露多起针对 OpenClaw 实例的攻击案例,包括供应链投毒、认证逻辑缺陷(CVE-2026-25253)以及大量暴露于公网的未加固实例。其根源之一,正是这种CLI 输出无条件回传 Agent”的粗放架构。因此,与其说它是”企业级生产力平台”,不如说它是Anthropic Agent 理念的一个粗糙开源实现——验证了”AI 操控工具”的需求真实存在,但其工程实现距离 Anthropic 所定义的标准仍有巨大鸿沟。—
## 04 行业因此转向了什么?从 OpenClaw 的封闭实现,到 Anthropic 定义的开放标准
OpenClaw 的封闭实现有一个本质问题:黑盒、难以审计、安全边界模糊。Skill 的封装逻辑是否安全?CLI 输出是否经过清洗?Agent 的上下文边界是否清晰?使用者无从得知。
Anthropic 则展示了另一条路径:标准化、可审计、安全可控。
-
-
Skill 机制通过按需加载与渐进式文档载入,解决了上下文爆炸问题;
-
Harness Agent 架构提供了可控制的执行编排;
-
SOUL.md 等规范定义了 Agent 的行为边界。
正是因为看到了 OpenClaw 这类粗糙实现的风险,以及 Anthropic 开放标准的价值,各大厂商才选择了一条更透明、更可控的路线:推出开源 CLI。
2026 年以来,钉钉、飞书、企业微信等主流办公平台相继开源官方 CLI 工具,其核心目的之一就是让 Agent 的安全架构可被审计。当 CLI 的代码开源后,企业安全团队、开发者社区可以独立审查:
这种开源即安全的思路,与 OpenClaw 的封闭实现形成了鲜明对比。它标志着行业对 AI Agent 架构的共识正在升级:Agent 不能盲目信任任何外部工具的返回结果,必须在输入侧建立校验、在上下文侧建立隔离、在决策侧保留人工干预节点。
对产品从业者而言,OpenClaw 最大的价值不是”拿来即用”,而是验证了行业对 Anthropic 所定义的开放、标准化、可审计的 Agent 连接协议的迫切需求。它让我们看清了一个关键问题:AI Agent 要落地,必须先解决”外部输出如何安全地进入 Agent 大脑”这一工程难题。而 Anthropic 的 MCP、Skill 按需加载、SOUL.md 规范,以及各大厂商的开源 CLI,正是为了解决这个难题而生。
写在最后
OpenClaw 的热度下降,是任何一款早期开源工具都会经历的正常周期。不必跟风唱衰,也不必强行拔高。
对从业者来说,重要的不是争论它是否过时,而是建立清晰的能力边界认知:它借势了 Claude/Anthropic 的 Agent 浪潮,验证了”AI 操控工具”的真实需求,但它粗糙的工程实现(封闭的 Skill 简化版、CLI 输出直接回传 Agent)既非行业标准,也非技术源头。真正定义行业方向的是 Anthropic——从 MCP 到 Skill 按需加载,从 harness agent 到 SOUL.md 规范,这些才是值得持续跟进的技术资产。
与其把精力花在追逐热点或否定热点上,不如沉下心研究 Anthropic 定义的技术标准与各大厂商正在落地的开源 CLI 实践,将真正可复用的自动化思想与安全工程规范,转化为自身产品能力的组成部分。
工具会迭代,架构会演进,但跟随正确的技术源头、保持安全优先与务实落地,永远是产品人不变的核心竞争力。
夜雨聆风
