前阵子，AI圈最热闹的词之一，是“养龙虾”。

所谓“龙虾”，指的是OpenClaw。因为名字里有“Claw”，图标和社区视觉又带着“钳子”“龙虾”的梗，中文互联网上就把部署、配置、调教OpenClaw的过程叫作“养龙虾”。

那段时间，很多人都在晒：

我装好了龙虾；

我让龙虾帮我回消息；

我让龙虾整理文件；

我让龙虾跑工作流；

我让龙虾当个人助理。

看起来，AI终于从“只会聊天”走向了“真的干活”。

但有意思的是，热闹没持续太久。最近再看技术社区和社交平台，“养龙虾”的声音明显少了。不是完全没人用，而是它从全民围观的热梗，变成了少数开发者和重度玩家手里的工具。

为什么？

因为大家终于发现：AI Agent不是宠物，是真正能动你电脑、动你账号、动你数据的东西。

一、OpenClaw最吸引人的地方，也正是它最危险的地方

OpenClaw的核心卖点很直接：它不是一个普通聊天机器人，而是一个自托管的AI智能体网关。官方文档介绍，它可以把WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、iMessage、飞书、微信、QQ等消息渠道连接到AI助手，让用户通过常用聊天入口调用一个“始终在线”的个人AI助理。它还强调本地优先、多渠道、智能体原生和开源。

这就是它一开始爆火的原因。

过去我们用AI，是打开网页，输入问题，复制答案。

OpenClaw想做的是：你在微信、Telegram、Slack里发一句话，它就能帮你调工具、跑流程、处理文件、读消息、做自动化。

这听起来像科幻。

但问题也在这里：它要“干活”，就必须有权限。

它要整理文件，就需要读写文件权限。

它要帮你回消息，就需要接入通讯账号。

它要跑代码，就需要命令行和脚本能力。

它要自动化工作流，就可能接触浏览器、邮箱、日历、云盘和企业系统。

一个AI如果只会聊天，错了最多是胡说八道。

一个AI如果能操作系统，错了就可能删文件、泄露数据、误发消息、执行恶意命令。

所以OpenClaw的爆火，本质上是大家第一次大规模接触到一个问题：当AI从“嘴”变成“手”，风险也从内容风险变成了操作风险。

二、第一波热度，是被“想象力”推起来的

“养龙虾”最火的时候，很多人并不是因为已经找到了稳定刚需，而是被想象力击中了。

谁不想拥有一个自己的AI员工？

它可以每天帮你看邮件。

它可以自动整理日程。

它可以根据消息提醒你该做什么。

它可以帮你写脚本、跑任务、查资料。

它可以在电脑和手机之间穿梭，像一个随叫随到的数字助理。

Business Insider曾报道，OpenClaw在中国快速走红，“养龙虾”成了部署OpenClaw智能体的网络说法，许多用户被它处理日常工作、管理日程、搭建AI助手甚至运行小生意的想象吸引。报道还提到，深圳腾讯总部一度有人排队让工程师帮忙安装OpenClaw。

但想象力解决不了落地问题。

装上去是一回事，稳定用起来是另一回事。

演示视频是一回事，接入真实工作流是另一回事。

让它跑一个小任务是一回事，让它长期、低成本、可控地替你干活，又是另一回事。

很多人很快发现，自己不是缺一个会执行命令的AI，而是缺一套清晰、稳定、可审计、可回滚的工作流程。

没有流程，AI Agent只会制造更多混乱。

有了流程，OpenClaw才可能发挥价值。

这就是热度退潮的第一个原因：它不适合只想尝鲜的人。

三、安装门槛不高，维护门槛很高

OpenClaw官方文档说得很轻巧：需要Node 24或兼容的Node 22 LTS、所选模型提供商的API key，以及几分钟时间；也可以通过命令安装并运行新手引导。

对开发者来说，这不难。

但对普通用户来说，这已经不是“下载App、扫码登录”级别的产品了。

更重要的是，真正的门槛不在安装，而在后续维护。

你要知道它连了哪些渠道。

你要知道哪些人可以给它发消息。

你要知道它能不能访问文件。

你要知道它有没有暴露到公网。

你要知道技能插件是否可信。

你要知道模型API Key有没有泄露。

你要知道它每次执行了什么命令。

这已经不是“养宠物”，而像是在家里放了一台小型服务器，还给它接上了你的聊天账号、文件系统和自动化权限。

所以第一波用户兴奋地装完之后，很快会进入第二个阶段：

它确实能跑，但我不太敢让它乱跑。

它确实很强，但我不知道它什么时候会出事。

它确实开源，但我不想每天研究配置、权限和日志。

一旦使用成本超过新鲜感，普通用户自然会安静下来。

四、安全争议，给“养龙虾”泼了第一盆冷水

OpenClaw降温最重要的原因，是安全。

The Verge曾报道，OpenClaw的技能扩展市场ClawHub出现过大量恶意插件。安全研究人员发现，部分插件伪装成加密货币交易自动化工具，实际会窃取交易所API密钥、钱包私钥、SSH凭据和浏览器密码等敏感信息；还有插件通过Markdown中的指令诱导用户和AI执行恶意脚本。

这件事对OpenClaw这类AI Agent尤其致命。

因为传统软件插件有风险，但用户大多知道自己在安装什么。

AI Agent插件更复杂，它既会影响用户，也会影响AI的行为。一个恶意技能不只是“软件扩展”，还可能变成AI行动链条里的陷阱。

更大的风险来自提示注入。

The Verge还报道过一起事件：攻击者利用Cline工作流中的漏洞，通过提示注入让Claude驱动的流程在用户电脑上自动安装OpenClaw。虽然OpenClaw当时并未被激活，但报道指出，这说明当AI Agent被允许操作电脑后，一旦被隐藏指令劫持，后果会迅速放大。

这类新闻传播开之后，很多人的心态就变了。

之前是：

“太酷了，我也要装。”

之后变成：

“它到底会不会把我电脑搞没？”

AI Agent的信任一旦被击穿，恢复会很慢。

五、政企场景开始收紧，个人热度也跟着冷却

OpenClaw这类工具在个人电脑上玩一玩是一回事，进入公司电脑、政企环境、金融系统，就是另一回事。

Tom’s Hardware报道，中国相关机构和国企曾被提醒不要在办公电脑上安装OpenClaw，原因是这类Agent需要较广泛访问用户文件，并可能与外部通信；报道还提到，相关安全建议包括只运行官方最新版、减少互联网暴露、授予最小权限、避免第三方镜像、不要启用管理员账号部署、不要安装需要密码的技能包、不要关闭日志审计等。

Business Insider也报道，随着安全担忧升温，中文平台上甚至出现了“付费卸载OpenClaw”的服务，一些用户花钱请人移除软件、清理残留文件和病毒。

这很讽刺。

最开始，大家花钱找人“装龙虾”。

后来，又有人花钱找人“卸龙虾”。

这说明OpenClaw已经不只是一个技术玩具，而进入了企业安全、权限治理和影子IT的讨论范围。

所谓影子IT，就是员工绕过公司IT部门，自己安装和使用工具。过去影子IT可能是网盘、脚本、插件；现在变成了AI Agent。它不只是存文件，还会替你执行动作。

这对企业来说非常敏感。

所以OpenClaw不再被频繁提起，不是因为大家完全失去兴趣，而是因为它从“好玩”变成了“要负责”。

六、模型成本和订阅限制，也让很多人玩不动了

“养龙虾”还有一个现实问题：它要消耗模型能力。

AI Agent不是普通聊天。它会读上下文、规划任务、调用工具、分析结果、继续执行。一次完整工作流可能消耗大量token。越想让它自动化，越容易烧模型额度。

更关键的是，早期很多人把OpenClaw接到已有的大模型订阅上，以为买了会员就能无限当AI员工用。但这条路很快遇到了限制。

Business Insider报道，Anthropic宣布Claude订阅不再支持OpenClaw这类第三方工具，用户需要通过额外usage bundle或单独的Claude API key来使用。Anthropic方面称，订阅产品并不是为这类第三方工具的使用模式设计的，这些工具会给系统带来过高负载。

这件事非常关键。

它让很多人意识到：

AI Agent不是“会员白嫖机”。

真正重度使用，迟早要进入API计费。

一旦进入API计费，成本就会变得非常真实。

以前“养龙虾”像个梗。

后来“养龙虾”像账单。

当一个玩具开始按量收费，它就不再适合所有人。

七、真正有价值的用户，反而不怎么晒了

还有一个容易被忽略的原因：真正把OpenClaw用起来的人，未必会天天在网上晒。

早期大家晒的是安装成功、界面截图、酷炫演示。

后期真正有价值的东西，是私有工作流、内部知识库、账号配置、自动化脚本、企业流程。

这些东西不适合公开。

一个人如果真的用OpenClaw管理邮箱、日程、客户、代码库和企业工具，他不会把完整配置发到网上。

一个团队如果真的用OpenClaw跑研发流程、客服流程、运维流程，也不会把内部Agent工作流随便公开。

所以“没人提”不等于没人用。

有一部分热度消失，是因为围观者离场；

另一部分沉默，是因为真实用户进入了深水区。

AI工具有一个规律：

越是浅层玩法，越容易传播；

越是深层应用，越不容易公开。

OpenClaw也是这样。

八、OpenClaw不是失败，而是AI Agent祛魅了

把OpenClaw的降温简单理解成“凉了”，其实不准确。

它更像是AI Agent的一次集体祛魅。

最开始，大家以为AI Agent是一个“数字员工”。

后来发现，它更像一个“需要权限、预算、安全边界和管理制度的非人类操作员”。

它能干活，但不能乱干。

它能自动化，但不能无审计。

它能连接系统，但不能无限授权。

它能省时间，但也会烧钱。

它能提高效率，但也可能制造事故。

这不是OpenClaw一个项目的问题，而是所有AI Agent都会遇到的问题。

Chatbot时代，核心问题是“答案准不准”。

Agent时代，核心问题变成了“动作安不安全”。

前者错了，可以重新问。

后者错了，可能已经执行完了。

九、为什么大家不再喊“养龙虾”？因为这个词太轻了

“养龙虾”这个词很可爱，也很有传播力。

但它有一个副作用：它把一件严肃的事说得太轻了。

OpenClaw不是电子宠物。

它不是桌面挂件。

它不是一个只负责卖萌的小工具。

它接入的是你的通讯渠道、文件权限、脚本能力、模型API和工作流程。它一旦运行起来，就可能成为你电脑上的“行动者”。

所以，当用户开始意识到这一点，“养龙虾”这个说法就不够用了。

企业不会说自己在“养龙虾”，它们会说：

我们在部署AI Agent。

我们在做权限治理。

我们在做模型路由。

我们在做安全审计。

我们在做自动化工作流。

我们在做成本控制。

这就是OpenClaw热度变化的本质：

它从一个互联网热梗，进入了工程化阶段。

热梗需要好玩。

工程化需要可靠。

好玩可以一夜爆火，可靠需要长期打磨。

十、普通人还要不要“养龙虾”？

答案不是不能，而是要先想清楚自己到底要什么。

如果你只是想体验AI聊天，没必要折腾OpenClaw。用成熟的App就够了。

如果你只是想让AI帮你写点东西、总结文章、改代码，也未必需要上Agent。一个好用的网页端或IDE插件可能更简单。

但如果你是开发者、自动化重度用户，或者你明确知道自己要把哪些流程交给AI，而且愿意管理权限、日志、成本和安全，那OpenClaw这类工具仍然有价值。

它适合的人不是“所有人”，而是三类人：

懂技术的人。

有明确工作流的人。

愿意承担配置和安全责任的人。

没有这些前提，“养龙虾”很容易从提高效率变成制造麻烦。

结语：AI Agent的热闹过去了，真正的门槛才刚开始

为什么没人再提“养龙虾”OpenClaw了？

因为第一波新鲜感过去了。

因为安装不等于长期使用。

因为权限和安全问题开始显现。

因为模型成本和订阅限制变得现实。

因为企业场景不能再靠个人激情裸奔。

因为真正有价值的工作流，不适合拿出来当段子晒。

OpenClaw没有证明AI Agent不行。

相反，它证明了AI Agent真的太有力量了，所以不能再被当成玩具。

当AI只会聊天时，我们担心它胡说。

当AI开始动手时，我们必须担心它乱动。

“养龙虾”的故事，本质上是AI行业从狂欢走向成熟的一次缩影。

过去大家问：

“这个AI能不能帮我干活？”

现在大家终于开始问：

“它干活的时候，谁来负责？”