夜雨聆风
OpenClaw 这么香,"企业级的 OpenClaw"该怎么搞?
从春节后的这三个多月,我身边出现两类对话,频率明显高了起来。
第一类来自几位企业老板。他们大多在春节前后开始”养龙虾”,玩了一阵之后兴致勃勃地找我:”如果公司里统一搞类似的龙虾平台,是不是靠谱?”、”员工人手一只龙虾,生产力会不会就翻倍?”
第二类来自几位甲方的 CIO 朋友,画面更具体一点,也更尴尬一点。
有的老板把 IT 拉过去帮自己装龙虾、配 Skill、调提示词,CIO(或IT部的某骨干) 在公司里突然多了一个非正式身份:老板的养虾管家。也有老板直接拍板:”咱们公司也得搞一只企业专属的龙虾,让全员都用上。”这些 CIO 不是不会装,他们能在一小时之内把 OpenClaw 部署起来。他们焦虑的是另一件事。老板要的”龙虾”,和公司能容下的 Agent 平台,可能根本就是两种不同的东西。
坦白说,我自己也用 OpenClaw,的确也蛮喜欢这个产品的。它代表了 AI 在 2026 年前后真正向前迈的一步。但客观来说,我觉得:老板们和 CIO 们的焦虑,方向其实都对。只是站在两个不同的层面:一个是”我想要”,一个是”我能要”。
这篇文章想试着回答的问题就是:OpenClaw 这么香,但如果真的要做一个”企业级的 OpenClaw”,到底该怎么搞?
回答这个问题之前,我得先把 OpenClaw 这个产品做对的三件事说一下,因为下面所有的讨论都建立在”它确实好”这个共识之上。
第一,它把 Skill 做成了一个可流通的生态。过去的 AI 工具大多是单点应用,OpenClaw 第一次让”AI 的能力”变成可以像 npm 包一样被组合、分发、迭代的东西。这是个结构性的变化。
第二,它不绑死任何一家模型。Claude 也行、OpenAI 也行、千文也行、Kimi 2.5 也行,开源闭源都能跑。这种”模型可换”的设计,背后是一个非常成熟的产品哲学。
第三,它让 AI 完成了从”建议助手”到”动手代理”的角色升级。这是这一波 Agent(智能代理)浪潮真正的价值锚点:AI 不再停留在给你看一段话。它能直接帮你点鼠标、敲键盘、发邮件、改文件。
这三件事确实做得漂亮,不过,好东西也分场景。它在个人桌面上有多好用,搬进公司就有多麻烦。
我把企业落地 OpenClaw 要过的关,归成三层来看。第一层是工程层,部署绕不开的硬约束;第二层是文化层,个人和企业在底层逻辑上的根本差异;第三层是决策层,动手前必须想清楚的两个判断。下面一层一层走。
路径 1(工程层):被狂欢盖住的事实
讨论”企业级 OpenClaw 怎么搞”之前,我想先把四个事实摆出来。这四件事在个人场景里都不构成问题,但放到企业场景里,每一条都是绕不开的硬约束。
第一件事:默认高权限。
OpenClaw 上来就要 Shell 访问、浏览器控制、本地文件读写、IM 收发权限,用户自行承担风险。这种”先给权限再说”的设计,在个人场景里是天经地义的:都是我自己的电脑,给自己用,不给权限怎么干活?
但相同的设计放进企业,就会变成另一幅画面。过去的几个月里,已经有不少实证。安全公司 Giskard 在 2026 年 1 月公开的一次渗透测试里,几分钟之内就从一个对外暴露的 OpenClaw 实例里拿走了 Anthropic API Key、Slack 全账号权限和 Telegram Bot Token;另外有安全研究披露,约 4000 台开发者机器因间接 prompt injection 被静默植入了 OpenClaw。这两件事都不是理论假设,是已经发生的事故。CNCERT 在 2026 年三月发的风险提示、国央企/银行/券商内部禁装 OpenClaw 的通知,都是建立在这些事故之上的。
第二件事:行为黑箱。
OpenClaw 的核心设计是”自主决策 + 长期记忆 + 跨工具执行”。这三件事叠在一起意味着:当它执行完一个复杂任务,你很难解释清楚”它为什么做出这一步选择”。
个人场景里这不是问题。干完就行,我也不关心你是怎么想的。但企业合规的底线,恰恰就是”每一步可追溯、可解释、可复盘”。一封发错的邮件、一笔触发错的交易、一次自动删除的客户档案,事后都要交代清楚”为什么这样做、是谁授权的、什么时候授权的”。OpenClaw 骨子里就是反留痕的,因为它的每次决策都嵌在个人语境里,离开语境根本说不通。
第三件事:成本不可预测。
OpenClaw 的工作模式是”始终在线 + 自主行动”。这意味着只要你不关它,它就在思考、在调用、在花钱。一次稍微复杂一点的交互,Token 消耗可以冲到百万量级。
放到个人身上,最多月底看到账单肉疼一下。放到企业里,问题立刻变性质。老板”装”是不肉痛的,员工”用”也是不肉痛的,最后是财务背账。100 个员工每天若干次自主任务,账单不是按月走,是按 Agent 当天的心情走。过去十年企业云成本治理踩过的所有坑(FinOps,财务运营治理),AI Agent 时代要重新踩一遍,而且更狠。
第四件事:Skill 生态的”虚胖”。
ClawHub 上挂着 5700 多个 Skill,听起来生态繁荣。但你真的去翻一翻就会发现,绝大多数是搜索、摘要、浏览器自动化、文件整理这一类通用工具。你想找一个”自动跑一遍应收发票审批流”的 Skill?没有。想找一个”季度回款分析自动出报告”的 Skill?没有。想找一个”工单从客户端调度到产线”的 Skill?还是没有。
企业真正需要的是岗位级的闭环任务能力。这些任务都不是通用工具能解决的,必须深度对接 ERP、CRM、OA、MES 这些企业系统。OpenClaw 看上去有个开源生态,但对企业来说,这个生态是空壳。
把这四件事放一起看,结论是清楚的:它们都不能算 OpenClaw 的”缺陷”,恰恰是它作为”个人 AI 工具”的合理选择。但放到企业场景下,每个选择都是反向的。
这四件事,靠工程是可以补一部分的:权限可以做沙箱、行为可以加日志、Token 可以做配额、Skill 可以自己写。补全工程缺口的产品,市面上已经在做了,阿里云、AWS、火山、1Panel 都推出了”企业版 OpenClaw”的镜像或部署方案。
但工程缺口补完,并不意味着问题就解决了。下面这三件事,是工程补不上的。
路径 2(文化层):三个底层差异
如果说路径 1 讲的是”工程层”的硬约束,那路径 2 讲的就是”文化层”的根本差异。个人场景和企业场景,在底层逻辑上就不一样。
差异一:个性化沉淀 Vs. 标准化沉淀。
OpenClaw 的核心卖点是什么?是它”越用越懂我”。你的偏好、你的习惯、你的工作流,会一点一点沉淀到这只龙虾里。换一只就不是”我”的了。它的可移植性差,恰恰是它的优势。
企业要的是反方向:标准化、可继承、可培训。100 个员工每人一只野生龙虾,等于公司里同时存在 100 套互相不兼容的”私人流程”。新人入职怎么继承?老员工离职龙虾跟着走?组织能力沉淀不下来。
这里也回应了 CIO 朋友的那个困惑:”老板让我搞企业专属龙虾,这个’专属’到底是公司专属、部门专属、岗位专属、还是个人专属?”颗粒度本身就是个绕不开的悖论:做粗了,每个人都用不爽;做细了,又退化成 100 只野生龙虾。
差异二:自担风险 Vs. 留痕合规。
个人用 OpenClaw 干错事,自己吞下,天然成立。
企业 Agent 干错事,链条就长了。Agent 删了客户数据:是 Agent 的责任?员工的责任?公司的责任?合作伙伴的责任?员工会说”是龙虾干的”,公司会说”是员工没看好”,客户会说”我不管谁干的,你赔我钱”,监管会问”你们的内控流程在哪里”。
OpenClaw 的设计在这件事上是反审计的。它的每次决策都基于模型对当前上下文的判断,而非显式可审查的规则。这种”判断”在个人语境里很自然,谁还跟自己掰扯流程?但在企业语境里,每个自动化动作都要能追溯、能解释、能复盘,否则就过不了合规这一关。
差异三:试错文化 Vs. 不容错文化。
个人愿意为更大的能力承担更大的不确定性。龙虾抽风删了我的桌面文件,心疼一下,重装。它下次会做得更好,我也学了一课。
企业核心流程是反过来的:能力可以慢,但不能错。一次发错的对外邮件、一次错误的交易触发、一次主数据被擅自修改,都可能是一桩生产事故。
这背后是两套截然相反的文化逻辑。个人爆款的逻辑是”先开放再约束”,先把能力放出来,让用户去玩,问题暴露了再补。企业落地的逻辑是”先约束再开放”,先把边界定清楚,能力在边界内逐步打开。这两条路反着走,任何一方都没法直接套用另一方的玩法。
四件事实加三个差异,问题的性质就清楚了:老板想要的”企业版 OpenClaw”,底层逻辑都得重新设计,远远不是套个企业 Logo 那么简单。
那这个”重新设计”该怎么做?下面是我的两个判断。
路径 3(决策层):要做企业级 OpenClaw,先认清两个底层判断
判断一:Agent 时代的真实成本,不在搭出来的那一刻,在用起来之后
这是企业上 Agent 最容易低估的一件事。
先说体感陷阱。
一个能跑的 Agent Demo,POC 阶段一晚上就能搭出来。这种”立等可取”的体感,让企业老板普遍以为 AI 软件是过去企业软件的廉价版。OpenClaw 把这个幻觉推到了顶点。个人花两个小时养出一只能干活的龙虾,会让人想当然觉得”企业版无非就是放大一下、加几个 Skill、连下内部系统”。
但企业级 Agent 的真实成本曲线,恰好是反过来的:
构建成本,可能是过去十年企业软件最低的;运营成本,可能是过去十年企业软件最高的。
构建便宜,是因为模型能力的提升和开源生态把”搭一个能跑的东西”的门槛压到了地板。运营贵,是因为下面这几件事,过去做 SaaS 没遇到过,或者遇到了也没这么贵。
第一项:Token 持续消耗。
前面已经说过,Token 消耗不可预测。但更关键的是,它是常驻成本,不能当一次性投入算。过去做企业软件,License 费用是固定的、开发成本是一次性的、运营成本是可规划的。Agent 时代不一样:你的 Agent 只要在工作,钱就在烧,而且烧得不可预测。FinOps for AI 是企业必须建起来的新肌肉,颗粒度还要细到任务级,按”一次完整任务”算单位成本和 ROI,按月、按部门都太粗。
第二项:Skill 维护债。
业务系统在升级,ERP 从 SAP 切到国产化,CRM 改了接口,OA 换了厂商;底层 API 在迭代,每个季度可能就有破坏性变更;模型在升级,从一代到下一代,调用方式和效果都在变。任何一次变化,都是企业 Skill 的重写和回归测试。
一个企业级 Skill 的真实生命周期成本,远高于一次性开发投入。你以为写完就完了,其实写完才刚刚开始。
第三项:错了之后的修复债。
这一项最隐蔽,但事故级别最高。
Agent 出错和软件 Bug 出错不是同一类东西。软件 Bug 是”该做的事没做对”,回滚就能解决。Agent 出错是”做了不该做的事”。比如发出去的邮件、转出去的钱;再比如改掉的主数据、删除的客户档案、自动签发的合同。这些都不是回滚能解决的,需要人工兜底、客户解释、法务介入、监管报备。
一次大的 Agent 事故,可能就抵消掉前面所有自动化省下来的钱。
第四项:治理常驻成本。
可观测和审计是基础,再叠加行为基线监控、异常检测、合规留痕,这是常驻人力,不能按一次性投入规划。安全加固、权限治理、内部培训,这部分钱企业过去做信息化建设时已经付过,AI Agent 时代要重新付一遍,因为权限的颗粒度、行为的不可预测性、攻击面的扩大,都是新的。
加上 ROI 归因的难度:一次百万 Token 调用干完一件事,到底值不值?这个问题财务问得出来,CIO 答不上来。如果答不上来,预算下一年就砍。这是很多企业 AI 项目走到第二年就失血的根本原因。
一句话压尾:做出来不贵,养下去才贵。低估这件事,是企业 Agent 项目失败率高的根本原因之一。
判断二:要学 OpenClaw,但要”反着学”
OpenClaw 做对的三件事,我在开头就说过:Skill 生态、模型解耦、执行优先。这三件事企业都该学,但要全部”反着做”。
第一件,Skill 化要反着做。
OpenClaw 的 Skill 生态是开放上传、社区驱动的。这套机制在个人场景下非常对:你需要什么就装什么,自由组合。
企业版要反过来:内部评审 + 签名发布 + 私有 Skill Hub。每个 Skill 上架之前要过代码审查、安全扫描、合规审核,发布出来要带数字签名,分发只在企业内部 Hub 之间走。Skill 的颗粒度也要重新设计:要做的是”应收发票审批””客户回访闭环””工单调度产线”这种岗位级 SOP,ClawHub 那种”摘要 + 搜索 + 翻译”的通用工具就不够用了。
这件事其实是企业 IT 反而能比 OpenClaw 做得更好的地方,因为企业有流程、规则、SOP 作为天然原料。过去这些原料躺在制度手册里、躺在老员工脑子里,现在可以一条条沉淀成可调用的 Skill。
第二件,模型解耦直接抄。
这是 OpenClaw 唯一一件可以正着抄的设计。
不要把企业能力绑在某一家闭源模型上。今天 Claude、明天 Kimi、后天可能是企业自研或国产开源模型,企业能力不能跟着模型版本走。价值要沉淀到 Skill 层、数据层、流程层,模型层做成可替换的”发动机”。
这一点也是企业相对个人的天然优势。个人用户图省事,绑死一家闭源模型也无所谓。企业不行,企业的能力建设周期是 5 年起步,模型市场两年就要重洗一遍牌。解耦在企业语境下更接近生存策略,不只是炫技。
第三件,执行优先要加边界。
OpenClaw 的执行是无边界的,给你权限你就执行。
企业版要在执行能力上加三层边界:权限最小化、能力最小化、数据最小化。
权限最小化:只给完成任务所必需的权限,临时授权用完即撤。能力最小化:每个 Skill 只能干一件事,不建议设计”全能型”Agent。数据最小化:只读取任务必需的数据,敏感数据脱敏处理,跨域数据建议不让 Agent 直接拉通。
这三个最小化看起来是对能力的”束缚”,本质上是对风险耐受度的设计。回到路径 2 的差异三:”能力先于边界是个人逻辑,边界先于能力是企业逻辑”,这句话就是这个判断的根。
写在最后
回到标题的问题:OpenClaw 这么香,企业级的 OpenClaw 到底该怎么搞?
我的回答是:它需要从底层重新设计,远不只是套个企业 Logo。
如果非要做几句最浓缩的翻译:
-
重在”训”,不止于”养”:要的是组织能力沉淀,不只是个人沉淀
-
重在”该干的干透”,不追求”什么都能干”:边界先于能力
-
重在”分级记忆 + 合规留痕”,不痴迷”长期记忆”:可追溯、可解释、可复盘
-
重在”私有部署 + 集中治理”,不停在”个人电脑跑”:成本、安全、合规一起来
所以那些被老板按头帮养虾、被按头搞”企业专属龙虾”的朋友们,大家的焦虑方向是对的。老板要的那只龙虾和真正的企业级 Agent 平台之间,确实差了一整套底层设计。这套设计不能等”OpenClaw 升级一下就好了”,它需要企业自己想清楚、自己建起来。
OpenClaw 是个好产品,它把”AI 能动手”这件事推到了大众面前,让所有人意识到 Agent 不再是 PPT 上的概念。但企业级的 OpenClaw 是另一种设计。简单照搬解决不了问题。
这条路才刚刚开始,值得一起走。
我是徐翔轩,做了18年企业软件。后续会持续聊聊数字化、企业AI、产品商业化和to B经营方面的观察和思考。如果你也在推动数字化,希望这些内容对你有用。
往期精选:
CIO 的下一个身份是 C AI OO(一个不算严肃的判断)
企业 AI 团队的负责人,内部转化还是外部招聘?(五种常见的牵头路径与思考)
为什么 AI Coding 产品都在长出 spec?聊聊规范驱动开发(SDD)
Workflow 还是 Agentic?可能是一个被问错的问题
Vibe Coding 来了,还要 IT (部门/团队)干什么?