【OpenClaw · 中】0 融资、10 万星、1309 个漏洞,然后被 OpenAI 收了

【OpenClaw · 中】0 融资、10 万星、1309 个漏洞，然后被 OpenAI 收了

「两个月前，我搞了个周末项目。最初只是个 ‘WhatsApp Relay’，现在 10 万 GitHub Star，单周 200 万访客。」

—— Peter Steinberger, Introducing OpenClaw

在 AI 创业叙事日益同质化的 2026 年，OpenClaw 的故事是一个异类。没有融资 PPT、没有团队扩张计划、没有 go-to-market 策略——它的起源，是 Peter Steinberger 在摩洛哥马拉喀什旅行时的一个顿悟时刻。

一、起源：马拉喀什的 9 秒钟

2025 年初，Peter 在摩洛哥旅行。他给自制的 AI 助手发了一条语音消息。9 秒后，agent 完成了以下操作：识别消息类型为音频 → 调用 OpenAI 语音转文字 API → 将文本转发到服务器 → 返回结果。

「我非常清楚地记得那个时刻。我站在那里，心想 ‘你怎么做到的？’ Agent 回复了我，我一点没开玩笑：’The Mad Lad figured it out on its own.’」

这个 9 秒钟的时刻改变了 Peter 的人生轨迹。他意识到：AI agent 已经不只是’回答问题’的工具——它能自主编排多个工具链、做出你意想不到的操作序列。

他给这个项目起了个名字：Clawd——取自 Claude + Claw（龙虾钳）。一个对 Anthropic 模型的小小致意。

二、爆发：100,000 Star 和 Anthropic 法务函

从 WhatsApp Relay 到现象级项目

Clawd 的核心定位从一开始就与众不同：

你的助手。你的机器。你的规则。

不像 ChatGPT 或 Claude 的 SaaS 模式——你的数据存在他们的服务器上——OpenClaw 跑在你的笔记本电脑、HomeLab 或 VPS 上。WhatsApp、Telegram、Discord、Slack、Teams——你在哪，你的 AI 助手就跟到哪。

这个定位击中了两个核心需求：

数据主权：你的基础设施、你的 API 密钥、你的数据
无处不在：不用装新 App，用你已经每天打开的聊天软件

增长曲线是爆炸式的。到 2026 年 1 月底，Clawd（此时已改名 Moltbot）成为 GitHub 历史上增长最快的仓库之一，Google 搜索量超过 Claude Code 和 Codex。

命名灾难

「Clawd 诞生于 2025 年 11 月——对 Claude 和龙虾钳的俏皮双关。它感觉很完美，直到 Anthropic 的法务团队礼貌地要求我们重新考虑。好吧。」

然后有了 Moltbot——在凌晨 5 点 Discord 社区头脑风暴中诞生。蜕皮代表成长——龙虾通过蜕壳变得更大。意境很好，但是……

「它从来没顺口过。」

最后是 OpenClaw。这次他们做足了功课：商标检索通过、域名已购、迁移代码就绪。名字本身就说明了这个项目变成了什么。

「The lobster has molted into its final form. 🦞」

三、安全风暴：1,309 个漏洞报告

成为全球最受关注的 AI agent 项目，也意味着成为全球最大的安全靶子。

数字背后

从 2026 年 1 月 10 日到 4 月 30 日，OpenClaw 收到了 1,309 个安全公告：

分类	数量	占比
已发布	535	41%
已关闭（无效）	746	57%
待处理	28	2%
声称「严重」的报告	109	—
其中确认有效的	14	13%

「越接近 ‘critical’ 的报告，越可能是胡说八道。」

Peter 对假阳性报告的吐槽极其犀利：

「这些假阳性通常蠢得可爱：’agent 运行命令，所以是 RCE’、’插件执行代码’、’这个危险的可选项很危险’、’如果我已经拿到了 token 我就能做坏事’。」

信任模型的建立

面对每天 15 个安全公告的洪流，Peter 终于意识到「停下来审查每一个报告」是不可持续的。他们创建了 SECURITY.md——一份明确定义信任边界的文件：

什么算真正的漏洞（沙箱逃逸、提权、未授权数据访问）
什么不算（预期行为、需要已授权访问的攻击、opt-in 高风险模式）
如何正确地提交有效报告（不要用 AI 生成的格式化 slop）

「我宁愿读你那份有点不完整的、但有真实复现步骤的报告，也不要你那份格式完美但全是废话的 slop。」

真正修复的问题

尽管假阳性泛滥，确有真问题被修复：

认证漏洞
权限混淆
重连范围扩大
沙箱逃逸
不安全的运行环境处理
审批路径缺陷

著名的「Agents of Chaos」事件

一篇 arXiv 论文（2602.20021）声称测试了 6 个 OpenClaw agent 两周，发现了严重的安全失败。媒体头条满天飞。

但被忽略的关键细节：这些 agent 运行在 sudo 模式、禁用了所有 guardrail、赋予了广泛 shell 访问权限、且没有沙箱。 论文后来加了一段附录承认 guardrail 被禁用了——但标题已经飞出去了。

「OpenClaw 是为一个受信任的人设计的，不是为无 guardrail 的公开部署设计的。」

四、插件化之痛：一次坦诚的失败复盘

2026 年 4 月底到 5 月初，OpenClaw 经历了一次严重的发布事故。

「2026.4.24 左右出了问题，到 4.29 已经严重到没人能假装这只是几个奇怪的安装了。」

症状：

网关变慢
部分安装陷入插件依赖修复死循环
Discord、Telegram、WhatsApp 等渠道表现退化
用户降级、用户时间被浪费

根因不是单一的 bug。 是 Peter 发起的「插件化拆分」改革在过渡期产生的系统性断裂：插件化走了一半——太依赖插件，但太多插件还是捆绑的、修复的、预加载的，在用户能直接感知的路径上反复触发。

这次事故的背景值得理解：OpenClaw 开始被企业客户用于实际基础设施，不再是 Peter 一个人的「龙虾游乐场」。企业需要更小的核心、更清晰的插件边界、更好的安全扫描、更严格的发布卫生。

「我低估了这个过程的难度。我们卡在了最糟糕的中间状态。」

这次复盘的价值不仅在于坦诚——更在于它标志了 OpenClaw 从一个「创始人驱动的周末项目」到「基金会运营的基础设施」的转型开始。Peter 宣布将推出 LTS 版本，组建真正的团队，并改变发布流程。

五、开放即安全：开源安全的第三条路

在安全圈，有一个古老的争论：开源更安全（更多眼睛审查），还是闭源更安全（攻击面不公开）？

Peter 的答案不是二选一，而是第三条路：

「开放和安全不是对立的。开放是我们走向安全的唯一途径。」

OpenClaw 的安全策略可以概括为四个层面：

1. 核心缩小 + 插件架构

把功能推出到插件，减少核心攻击面和依赖树。更少的路径让被污染的上游包到达用户。插件本身也可以作为 harness——比如用 OpenAI Codex 作为 harness 继承 Guardian 的控制，而不是用 YOLO 模式。

2. 发布双人审批

不再是一个人说了算。每个发布需要 Peter + 另一位 OpenClaw 基金会员工双方脚本化、门控并签字。

3. CI 端到端 Agent 测试

之前 agent 测试只在 Peter 的笔记本上跑。现在每个 PR 都在 CI 中通过端到端 agent 路径测试。

4. 供应链扫描 + 生态联盟

ClawHub 技能接入 VirusTotal 威胁情报
与 NVIDIA（早期工程和安全思维）、Microsoft/GitHub（安全开源基金）、Tencent（全职安全维护者）、OpenAI（推理支持 + Codex Security 主动漏洞检测）深度合作

「上个月我们关闭了 700+ 个 ClawHub 审核 issue，其中 ~460 个是作者的重新扫描申诉——标记是误报。」

六、终局：加入 OpenAI

2026 年 2 月，当整个行业都在猜测 OpenClaw 会成为一家独角兽创业公司时，Peter 做了一个让所有人都意外的决定。

「是的，我完全能看到 OpenClaw 可以成为一个大公司。不，这对我来说不兴奋。我是个 builder。我已经花了 13 年做了一次公司。我想要的是改变世界，不是造一个大公司。加入 OpenAI 是把 agent 带给每个人的最快方式。」

他在旧金山待了一周，与各大 AI 实验室深度交流。最终选择了 OpenAI：

「我越和那里的人聊，越清楚我们共享同一个愿景。」

OpenClaw 移交给独立基金会，保持开源和独立。Peter 的团队「Claw Labs」在 OpenAI 内部继续推动 agent 的进步。

「我的下一个使命：造一个连我妈都能用的 agent。」

这不是空话。Peter 在多次采访中提到，OpenClaw 目前的技术门槛对普通人来说太高了——命令行安装、安全配置、模型选择。真正的「agents for everyone」需要的是一种完全不同的设计思路。

七、六个值得记住的数字

数字	含义
9 秒	马拉喀什的顿悟时刻——agent 自主完成了意想不到的操作链
100,000+	GitHub Star 数（2 个月内）
200 万	单周网站访客
1,309	收到的安全公告总数
87%	声称「严重」的报告中无效的比例
0 美元	融资额——从未融过资

写在最后

OpenClaw 的故事之所以特殊，在于它几乎违反了硅谷创业叙事的每一条规则：

没有商业计划，只有「嘿，看看这个 cool 的东西」
没有团队，Peter 一个人在机场和咖啡馆里写代码
没有融资，从未拿过一分钱 VC
被 Anthropic 要求改名、被 1,309 个安全公告轰炸、在插件化过程中翻车——然后创始人选择了 OpenAI 而不是自己的公司

但正是这种「不在意规则」的气质，让 OpenClaw 成为了 2026 年最让人兴奋的 AI 项目之一。

「The claw is the law.」

参考来源：

Introducing OpenClaw — Jan 2026
How OpenClaw Got Safer in Public — Feb 2026
OpenClaw Had a Rough Week — May 2026
OpenClaw, OpenAI and the future — Feb 2026
The creator of Clawd: “I ship code I don’t read” — Pragmatic Engineer, 2026
OpenClaw on Wikipedia