专栏|OpenClaw(小龙虾)的本质、能力与治理路径研究

导语

进入2026年，人工智能领域最显著的变化，不再是语言模型在文本生成或对话问答上变得更加拟真，而是以OpenClaw为代表的新一代智能体系统，将大模型接入搜索、浏览器、文件系统、终端命令、日历、邮件和外部API，使AI从“会说话的机器”逐步进化为“会行动的员工”。在这一背景下，“ 养虾” 成为科技圈与开发者社区的热词。 这里的“虾”， 即OpenClaw，是一个开源的智能体项目。它在极短时间内迅速出圈，从GitHub一路扩散到企业应用、云厂商部署，甚至进入了国家层面的政策讨论视野。2026年政府工作报告首次提出“打造智能经济新形态”[1]，而OpenClaw的走红，正是智能体推动数字经济从“注意力经济”转向“行动力经济”的典型。探讨OpenClaw，本研究希望超越表层的现象，深入其作为AI应用形态演进样本的本质，系统地阐释OpenCla究竟是什么，它能做什么以及是如何做到的，

并在客观认知其能力边界的基础上，理性探讨其伴生的安全风险和治理路径。

OpenClaw最强大的地方，不在于其语言模型的参数量有多大，而在于其“接活儿”的能力。

2.1 覆盖广泛的数字劳动场景

OpenClaw的行动空间极其广阔，涵盖了从本地执行到网页中介的各类工作流。它能够处理许多原本需要人类手工切换软件、来回复制粘贴、不断确认状态的烦琐任务。

具体而言，OpenClaw可以包括但不限于以下几类工作：邮件的自动读取与撰写、日历的智能管理与冲突排查、浏览器的自动化操控与信息抓取、本地文件的读写与归档整理、网页检索与复杂表单的自动填写，以及直接执行Shell终端命令。这种广泛的工具访问权限，使其不仅能胜任办公助理、信息整理员的角色，还能在一定程度上扮演自动化运维执行者的角色。

2.2 任务入口统一与推理执行耦合

OpenClaw之所以能将“想”变成“做”，核心在于其构建了一条将“消息、理解、调度、执行”串联起来的完整链路。

首先，它实现了任务入口的统一。通过将各类即时通信渠道（飞书、企业微信等）作为统一入口，AI不再被封闭在某个特定的App中，而是直接嵌入了用户现有的工作流。用户可以像给同事发消息一样下达任务指令，极大地降低了调用门槛。

其次，在架构设计上，OpenClaw采用了Gateway-Node-Channel的三层架构。Channel负责接收各个渠道的消息；Gateway作为中央控制平面，负责会话管理与任务路由；Node则是实际的执行节点，负责在本地设备层面进行具体操作，使得模型在执行过程中，能够不断根据环境反馈调整下一步动作，实现了“看一步、做一步、再根据结果继续判断”的动态执行逻辑。

2.3 社区驱动的技能扩展与群体学习

OpenClaw的能力并非静态固化的，而是通过社区生态不断演进。如上文提到，其官方插件平台ClawHub托管了超过20000个开源 Skills。

更为引人瞩目的是，OpenClaw催生了AI智能体之间的群体学习与交互生态。2026年初上线的Moltbook，是一个专为AI智能体设计的社交网络。在短短三周内，注册的智能体数量突破280万。这些智能体在Moltbook上展现出了独特的交互模式：它们分享发现、警告风险、辩论最佳实践，并集体构建知识库[2]。这种无人类干预的分布式学习环境，使得OpenClaw智能体能够通过社区获取新技能，进一步拓展其能力边界，也蕴含着从单一智能体向多智能体协作网络演进的巨大潜力。

OpenClaw的核心风险已经从过去的“它会不会说错话”转变为“它一旦判断错误或被恶意诱导，会不会将错误转化为真实的破坏性操作”。

3.1 提示词注入与指令劫持

拥有广泛工具访问权限的智能体，在结构上极易产生重大的安全风险，因为微小的模型理解偏差、错误的假设或对抗性的输入，都可能通过工具调用被放大，最终转化为不可逆的现实副作用。

其中，最突出的威胁是间接提示词注入。由于OpenClaw能够自主读取邮件、浏览网页和处理文档，数据与指令的边界被严重模糊化。攻击者可以将恶意提示隐藏在网页或邮件中，当智能体自动读取这些内容时，其执行逻辑就会被劫持。

3.2 权限滥用与过度授权

OpenClaw作为本地部署的智能体，天然带有比普通软件更高的权限密度。为了追求最大的自动化效率，部分原生版本在默认配置下缺乏严格的物理沙箱隔离，导致智能体拥有操作系统级别的极高权限。

在这种高权限状态下，一旦发生逻辑错误或遭受攻击，后果将是灾难性的。例如，在自动化运维场景中，用户常将云资源的AK/SK凭据授权给智能体。如果缺乏严格的访问控制、权限分级和审计约束，一旦智能体行为失控，风险将迅速从本地设备传导至云基础设施控制层，引发“智能体被接管”到“云资产被接管”的连锁灾难[1]。

3.3 供应链投毒与生态脆弱性

开源模式在促进OpenClaw生态繁荣的同时，也带来了严重的供应链安全问题。ClawHub等插件平台在上线初期往往缺乏严格的安全审核，门槛极低，导致恶意插件大规模涌入。在抽样的3000余个插件样本中，恶意投毒样本占比高达10.8%，呈现出显著的系统性风险[1]。这种生态层面的脆弱性，使得开发者在追求极致开发效率（如“Vibe Coding”模式）时，容易陷入“先上线、后安全”的陷阱，为整个系统的安全运行埋下隐患。

结语

OpenClaw（小龙虾）的迅速崛起，不仅是一场开源社区的技术狂欢，更是人工智能从“生成内容的机器”向“组织行动的系统”演进的深刻转折点。它通过统一任务入口、耦合推理与执行、积累长期记忆，成功地将大模型嵌进了真实的数字环境中，展现了“行动力经济”的巨大潜力。

然而，价值真实存在，风险也真实存在。OpenClaw高权限、本地部署、开放生态的特性，使其面临着提示词注入、权限滥用和供应链投毒等复合安全威胁。这些风险的本质是AI行动闭环形成后的新攻击面。

对于OpenClaw及未来类似系统的治理，本研究认为不能因噎废食，而应采取发展与规范并重的策略（表1）。首先，必须在架构层面坚持“最小权限原则”，建立严格的输入输出隔离与沙箱执行机制，避免过度授权；其次，应强化执行过程的可审计性与“人机回环”监督，确保高危操作必须经过人类确认；最后，要加强插件供应链的可溯源管理，善用开源社区的自我规制力量，共同应对分布式网络中的安全挑战。

智能化浪潮已席卷而来，AI接管复杂协作流程的趋势已不可逆转。真正值得我们深思的，不再是“要不要养虾”，而是如何通过制度设计与技术约束，让这只游进现实世界的“小龙虾”，真正成为安全、可靠、可控的新型数字基础设施。

参考文献：

[1]中国网络空间安全协会人工智能安全治理专业委员会 . 人工智能治理态势研报（OpenClaw专题）[R]. 2026.

[2]CHEN E，GUAN C，ELSHAFIEY A，et al. OpenClaw AI Agents as Informal Learners at Moltbook：Characterizing an Emergent Learning Community at Scale. arXiv preprintarXiv：2602.18832, 2026.