OpenClaw 的前世今生:一个周末项目的 GitHub 奇迹

2025 年 11 月，一个维也纳开发者用周末时间写了个”给 AI 一台电脑让它放手干活”的玩具。半年后，它成为 GitHub 上 star 数最高的软件项目——超越了 React 十年的积累。这不是又一个 AI 套壳项目的故事——这是一场关于命名危机、安全海啸、ClawHub 生态和 Agent 范式的真实冒险。

一、Clawdbot 时代：从 WhatsApp 机器人到全网爆火

2025 年秋天，Peter Steinberger 正处于一种很多人熟悉却说不出口的状态：公司卖了，钱有了，但不知道该干什么了。

他的上一家公司 PSPDFKit 是 PDF 渲染引擎的一哥——苹果、微软、SAP 都在用，年处理数十亿次 PDF 操作。2021 年被收购后，Steinberger 做了几年安逸的前创始人。但创业者的毛病是闲不住。

他的第一个尝试叫 WA-Relay，一个 WhatsApp 的 AI 转发小工具。没什么了不起的，但他发现自己真的在用。

然后这个玩具开始失控了。

发布即爆火

2025 年 11 月 14 日，Clawdbot 在 GitHub 上发布。README 只有一句话：「Stop chatting. Start doing.」——核心想法很朴素：不要让 AI 只跟你对话，给它一个终端、一个浏览器、一个电话，让它真的去做事。

初版功能现在看很基础：浏览器自动化、基本的 shell 访问、Telegram bot 连接。但上线 72 小时内就收获 8,000 个 GitHub star。两周后：40,000 个。

一辆被砍价 4,200 美元的二手车

12 月 3 日，用户 icarus_builds 在 Twitter/X 上传了一段 4 分钟屏幕录像。Clawdbot 被派去二手车经销商的在线聊天里谈判，花费 47 分钟，引用竞品价格，两次”愤而离场”，最终砍下了 4,200 美元的折扣。

这条推文 48 小时内被转发了 18 万次。《连线》《The Verge》、彭博都跑了专题报道。四天内，Clawdbot 从 40,000 飙到 90,000 个 star。

Mac Mini 全球断货之谜

一个你绝对想不到的连锁反应：Clawdbot 造成了苹果 M4 Pro Mac Mini 的全球脱销。

原因很实际——如果你想让 AI Agent 7×24 小时在线，你需要一台低功耗、高性能、静音的 always-on 机器。M4 Pro Mac Mini（16GB 版本，1,399 美元）成了”个人 AI Agent 服务器”的标配。

到 12 月 20 日，北美和欧洲所有 Apple Store 这款 Mac Mini 全部售罄，配送周期拉到 6-8 周。科技圈戏称这是”Clawdbot 短缺”。

二、Moltbot 时代：72 小时内的两次改名

Anthropic 的律师函

2026 年 1 月 8 日，Anthropic 法律团队发来律师函，称「Clawdbot」和「Claude」的商标太过接近，要求立即停用。

Steinberger 没纠缠，在 X 上发了条帖子：「我们收到了一封信。我们在改名。稍后见。」

Moltbot：蜕皮重生

48 小时内，新名字 Moltbot 出炉——来源于生物的 “蜕皮”（molting），暗示这不是挫折，而是成长。

改名仅两天后，《连线》杂志发表长篇报道：「Moltbot 正在接管硅谷——没有人预见到这一点。」报道发布后一周，Moltbot 又涨了 30,000 个 star。

MoltHub：AI Agent 的”百草园”

在 Moltbot 短暂存续期内，一个叫 MoltHub 的生态平台快速崛起。你可以把它理解为”AI 技能的应用商店”。开发者发布 agent skill（技能），用户一键安装。平台覆盖 PDF 摘要、网页研究、社交媒体管理，巅峰时期有 8,000 多个技能，月活超 20 万。

但 MoltHub 的狂欢背后，埋了一颗巨大的安全地雷。

三、OpenClaw 时代：安全海啸与第三次重生

CVE 连环暴击

1 月 24 日，NCC Group 研究员披露了 Moltbot 一个严重漏洞：CVE-2026-25253，CVSS 评分 8.8。

这个漏洞用一个场景就能说清楚：你的 Agent 在后台运行，你随手点开一个恶意网页——Agent 就被完全控制了。Shell、文件系统、所有凭据，攻击者全部能拿到。不需要点确认，不需要绕认证。就只是访问那个页面。

SecurityScorecard 的 STRIKE 团队扫描发现，超过 135,000 个 OpenClaw 实例暴露在公网上——不是测试环境，是正经跑的生产实例，其中大约 50,000 个存在已知的 RCE 漏洞。ClawSecure 在 42,665 个被扫描的暴露实例中发现 93% 可被利用。

ClawHavoc：藏在技能里的木马

Snyk 安全团队扫描 MoltHub 后，发现了一个更令人不安的事实：至少 1,467 个技能是恶意的——包含后门、凭证窃取 payload、信息外泄程序。他们称之为 ClawHavoc 行动。

恶意技能中下载量最高的那个被安装了 34 万次。它静默窃取 API 密钥、创建后门，最激进的变种甚至安装了挖矿程序。而 Bitdefender 实验室更是在 ClawHub 上发现约 17% 的技能是恶意的，面向 Solana 和币安的加密货币类技能是重灾区。

第三次重生：OpenClaw 的诞生

面对两场危机，核心团队做了两个决定：

1. 再次改名为 OpenClaw——彻底告别被安全问题抹黑的 Moltbot 品牌

2. 上线 ClawHub（clawhub.ai），所有发布技能需通过代码审查

1 月 29 日，github.com/openclaw/openclaw 正式上线。紧接着 v0.5.0 对 WebSocket 网关做了完全重写：

• 引入强制网关认证令牌（首次启动随机生成）

• 跨域 WebSocket 源验证

• 所有 Web UI 端点添加内容安全策略标头

从漏洞披露到修复完成，5 天。

四、到现在：Agent 范式从雏形到成熟

经历了安全危机和三次改名，OpenClaw 没有停下来喘息，而是进入了一个高速进化的阶段。如果说前三个阶段讲的是”这个项目怎么活下来的”，那现在这一章讲的是“它怎么从’能跑’变成了’真能用'”。

37 万星：史上增长最快的开源项目

OpenClaw 的速度有多离谱？2026 年 3 月 3 日，OpenClaw 在 star 数上超越 React（约 243,000）——而 React 花了十年，OpenClaw 用了 60 天。截至今天（2026 年 5 月 14 日），OpenClaw 已有 371,610 个 star，GitHub 全球排名第 6，在所有”非资源聚合类”软件项目中排名第一。

要知道排在它前面的五个项目分别是 “build-your-own-x”（教程列表）、”free-programming-books”（书单）、”awesome”（清单）、”coding-interview-university”（学习路线）等资源集合——当你说”最流行的真正可用的开源软件”时，OpenClaw 就是第一。

你能用 OpenClaw 做什么？

在深入了解它的技术演进之前，先问一个更实际的问题：我装了这个东西，能干什么？

从社区的真实使用案例来看，OpenClaw 的能力已经远远超出了”一个聊天的 AI”：

个人生产力助手：

• 自动管理邮箱——阅读、分类、草拟回复，你只需要审批

• 日程管理——从邮件和聊天中自动提取日程安排，添加日历事件

• 文件整理——按规则自动分类和处理你的文件系统

• 天气预报 -> 自动规划着装建议（真的有人这么用）

开发者工具：

• 代码审查和 bug 修复——给出 GitHub Issue，Agent 能分析代码库、定位问题、提交 PR

• 网页自动化——爬取数据、填表单、做定时检查

• DevOps 运维——监控服务器、自动响应告警

• 文档生成——从代码库自动生成项目文档

日常生活帮手：

• 在线购物比价和下单

• 学习辅导——解释概念、出题、批改答案

• 旅行规划和行程管理

• 家庭事务管理——水电缴费、备忘提醒

更有意思的是，这些能力不是互斥的——你可以让同一个 Agent 同时做所有这些事，因为它有完整的工具调用链。比如它可以：读到一封会议邀请邮件 → 检查日历是否有冲突 → 在你的 Google Meet 会议里旁听 → 会后自动发会议纪要。

它怎么做到这些的？Agent 的”超能力”一览

OpenClaw 和普通 AI 聊天工具的根本区别在于它拥有的工具调用系统。这里列举几个最核心的能力：

工具调用系统：这是 Agent 的真正引擎。OpenClaw 不是”回答你的问题”，而是”去执行你的指令”。它背后有一整套工具——shell 终端、文件系统、浏览器、API 调用、数据库查询。AI 模型（如 Claude、GPT-5、DeepSeek V4）负责理解指令并决定用哪个工具，实际干活的是这些工具。

浏览器自动化：Agent 可以打开浏览器、搜索网页、点击链接、填写表单、阅读内容。4.24 版本后甚至支持像素级坐标点击，能操作那些 canvas 渲染的内部系统和自定义 UI 组件。

多平台插件生态（ClawHub）：截至 5 月，ClawHub 上已有超过 13,000 个社区技能。从 PDF 摘要、LinkedIn 内容发布到股票监控，大多数你想做的事，搜索一下可能已经有现成的技能。

多模型路由：你不是非得绑定一个模型。简单对话用 DeepSeek V4（推理成本极低），复杂代码任务用 Claude，创意内容用 GPT-5。OpenClaw 可以在同一任务中动态切换模型。

跨渠道接入：支持 Telegram、WhatsApp、Discord、Slack、飞书、Google Meet、电话语音——Agent 存在于你已经在用的渠道里，而不是要求你打开一个单独的聊天窗口。

2026 年 3-5 月的关键进化

如果说前面讲的都是”现在能做什么”，那下面这些版本演进描述的是”它是怎么一步步做到这些的”：

3 月：安全重塑与生态重构

3.12 版本对安全机制做了架构级重写——Bootstrap Token、Auto-discovery 锁死、环境变量注入阻断。这是一个止血版本。

紧接着的 3.22 则是一个被社区称为”2026 年最大版本”的大手术——45 个新功能、13 个破坏性变更、82 个 bug 修复。ClawHub 正式上线、插件 SDK 完全重写、可插拔 Sandbox 后端、/btw 侧问功能。社区有阵痛——从 3.12 直接升级的用户配置全废——但正如有人评论的：「3.12 是止血，3.22 是换血。」

4 月：Agent 开口说话了

4.24 是让所有人”哇”出声的版本——901 个 commit。Agent 可以作为真实参与者进入 Google Meet 会议，实时聆听取发言并参与对话。当会议中有人问了一个需要查询数据的问题时，Agent 自动调用 eval store 查询，然后在同一段对话里给出答案。这改变的不是效率，而是会议本身的语义——从”人类花时间互相等待对方浮出事实”变成”人类做决策的地方”。

同时发布的还有 DeepSeek V4 作为默认模型（推理成本比同级别 GPT-5 低一个数量级）和完整的语音电话能力——拨一个号码，Agent 接起来，有完整 memory、完整 tool access。

5 月：从炫技到可靠生产环境

进入 5 月后，关键词变成了”可观测”和”确定性”：并行心跳、Session 用量持久化、成本透明、插件自动恢复、「doctor 命令增强、消息送达确认。一个没有出现在头条但非常关键的细节是——大量关于 Telegram 消息送达、Slack 回复行为和消息投递状态的修复。对于生产环境来说，消息的送达确定性直接决定了你能不能把 Agent 用在客户沟通上。

五、人物与故事

44 次失败后的第 45 次

Steinberger 在 TED 演讲中透露过一个细节：在 Clawdbot 之前，他做过至少 44 次失败的原型尝试。第 45 次，成功了。

这解释了 OpenClaw 早期版本为什么比同期其他 AI Agent 项目”更像一个真正的产品”——不是运气，是 44 次失败积累出来的直觉。

被 OpenAI 挖走

OpenClaw 的爆发式增长引起了 Sam Altman 的注意。2026 年 2 月，OpenAI 宣布聘请 Steinberger，负责重新构想”以 Agent 为先”的产品。这一雇佣决定也展示了 OpenAI 对”Agent”范式的真实态度——它不是 ChatGPT 上的一个缝上去的特性，而是需要重新思考产品架构的新方向。

TED 演讲：龙虾离开了水箱

2026 年 4 月，Steinberger 在 TED 舞台上做了 18 分钟的演讲。演讲的结尾已经成为 OpenClaw 社区的标志：

「The lobster is loose, and it’s not going back into the tank.」（龙虾跑了，它不会再回水箱了。）

六、为什么你应该试试 OpenClaw

如果你读到这篇文章还没有被说服——以下是一些实际的启动建议：

怎么开始？ 最快的方式是在你的电脑上用 npm install -g openclaw && openclaw 启动。如果你熟悉 Docker，官方镜像也支持一键部署。

跑在哪里？ 最经济的方案是 VPS（最低约 $8/月）+ 轻量 API 使用。如果有条件，M4 Mac Mini 仍是体验最好的 always-on 方案。

选什么模型？ 入门推荐 DeepSeek V4（默认模型），性价比极高。复杂任务切到 Claude，创意任务用 GPT-5。OpenClaw 支持按任务类型动态路由模型。

从什么任务开始？ 选一个你每天都在做、而且觉得很无聊的任务——比如整理邮件、自动填周报、定时检查某个网页的变化。让 Agent 做一次，你自己评审。这是体验 OpenClaw 最有效的方式。

最后——安全很重要。请确保你运行的是 3.12 之后的版本，并且不要轻易安装来源不明的 ClawHub 技能。Agent 的强项也是它的风险所在：它能访问的东西，坏人也能通过它访问。

七、未来：一个更宏大的蓝图

回顾这半年多的历程，OpenClaw 的演进清晰展示了三个趋势：

Agent 从”对话式”走向”嵌入式”。 4.24 的 Meet 集成交代了一个新范式——Agent 不再是你打开窗口去”对话”的对象，而是出现在你已经在的地方：会议室、电话、浏览器。这种姿态的转变，比任何参数量的提升都更根本。

安全从”后补”走向”原生”。 3 月的连环 CVE 是一次痛苦的成人礼。从那之后，OpenClaw 把安全从”发布后打补丁”演进为”架构设计的一部分”。

运维从”能跑就行”走向”可观测可管理”。 当一个项目从 geek 的周末玩具变成团队的生产基础设施时，成本透明、消息送达确认、自动恢复路径这些”不性感”的功能才是让项目可用的关键。

社区论坛已经提到 OpenClaw 计划在 2026 年 5 月底推出第一个长期支持版本（LTS）。如果你一直在犹豫要不要上车，LTS 版本可能是最稳妥的入场时机。

从一个 WhatsApp 小工具到 37 万 star 的全球第一软件项目，OpenClaw 用了不到半年。这不是一个 AI 项目爆发了——而是 Agent 这个范式，终于找到了一个能让工程师信任的表达方式。这比任何数据都更有分量。

*本文数据截至 2026 年 5 月 14 日。部分信息基于以下来源：*

• [OpenClaw 官方更新日志](https://openclaw.com.au/updates)

• [GitHub Releases – openclaw/openclaw](https://github.com/openclaw/openclaw/releases)

• [Blink Blog – Clawdbot → Moltbot → OpenClaw 完整历史](https://blink.new/blog/clawdbot-moltbot-openclaw-history-2026)

• [VulnCheck – OpenClaw Scope Elevation 安全公告](https://www.vulncheck.com/advisories/openclaw-scope-elevation-in-websocket-shared-auth-connections)

• [TED – How I Created OpenClaw, the Breakthrough AI Agent](https://www.ted.com/talks/peter_steinberger_how_i_created_openclaw_the_breakthrough_ai_agent)

• [Star History – OpenClaw 全局排名](https://www.star-history.com/openclaw/openclaw)

• [GitHub Stars 排行榜分析](https://mainbranch.dev/articles/github-stars-analysis/)

更多 AI、Agent 和 Robot 干货，欢迎关注「Bob说AI」