OpenClaw 口袋翻车:AI Agent 从桌面到移动端还没走完最后一公里
6月30日,OpenClaw 的 iOS 和 Android 原生应用同步上架 App Store 和 Google Play。结果他妈妈大概是用不了——因为连技术媒体的人都登不进去。
雷科技的编辑试了三次扫码配对,三次被拒。他在文章里写:”属实有点尴尬。”安卓版更惨,上架一周 50K 下载量,UI 被用户吐槽”像是让 Codex 自主设计的”。
这不是一个产品发布翻车的故事。这是 AI Agent 从桌面走向口袋时,最后一公里到底有多远的故事。
把 Agent 塞进口袋
先说 OpenClaw 移动端想做什么。
它不是把网页版塞进手机。官方的定位很直接:把 Agent 放进口袋里。功能列表读起来像一份未来主义清单——Push-to-Talk 实时语音、Agent 操作前的手机端一键审批、跨 App 原生分享、以及一整套设备权限:摄像头、屏幕截图、定位、相册、通讯录、日历、提醒事项。
换句话说,它要让你在手机上跟 AI 对话,然后让 AI 替你翻通讯录、查日历、看摄像头画面、读你的位置。
但有一个关键前提:手机 App 本身不运行 AI。它只是一个轻量客户端,所有计算都在你自己部署的 OpenClaw Gateway 上——一台跑在 macOS、Linux 或 Windows WSL2 上的机器。手机只是遥控器。
架构设计没问题。问题在于,遥控器都做不好。
三次扫码,三次拒绝
翻车的不只是雷科技一家。
OpenClaw 官方在 X 上发帖宣传移动端上线,评论区直接变成吐槽大会。有人说扫码登录被拒了三次,有人说 iOS 端在 App Store 直接搜不到——你得先在 macOS 商店搜到,再分享链接给 iPhone,才能找到这个 App。
安卓版的问题更基础:连 Gateway 都配对不上。
PCSofter 的评测说移动端”保留了 TUI 的所有核心功能”。保留功能的前提是能连上服务器。连不上,功能列表就是一张废纸。
更值得注意的信号是雷科技提到的的一句话:”小雷身边不少 AI 爱好者都已经逐渐转向 Hermes 等其它 Agent 平台。”
OpenClaw 的问题不只是移动端 Bug。是整个项目正在变得臃肿——开发者想要的功能太多,又过于依赖 AI 编程,导致 Bug 数量比年初爆火时多了不少。一个 145,000 GitHub Stars 的项目,正在经历增长期的经典困境。
从 Clawdbot 到 OpenClaw:八个月的过山车
退一步看 OpenClaw 这八个月经历了什么。
2025年11月,奥地利开发者 Peter Steinberger 发布了 Clawdbot。他之前花了 13 年建 PSPDFKit——一家做 PDF 渲染的公司,代码跑在超过十亿台设备上,2023年以约 1 亿欧元退出。然后他 burnout 了。
“像 Austin Powers 被抽走了 mojo,”他在 Lex Fridman 的播客上说,”我盯着屏幕,什么都写不出来。”
他买了张去马德里的单程票,消失了。直到2025年4月,他试着用 AI 写了个 Twitter 分析工具,发现”范式变了”——AI 能搞定那些重复性的 plumbing 代码,他可以回到更高层的构建。Clawdbot 就这样来的。他跟 Fridman 说:”我烦的是这东西居然还不存在,所以我就 prompt 它出来了。”
一个月后改名 Moltbot,再后来因为跟 Anthropic 的名字冲突,改名 OpenClaw。名字换了几轮,东西没变:一个跑在你本地机器上的自主 AI Agent,”always on”,能管邮件、控浏览器、自动完成任务。
然后 MoltBook 来了。
MoltBook:AI 的社交网络,和它的泡沫
MoltBook 是 OpenClaw 的伴生社交网络,由科技创业者 Matt Schlicht 创建。规则很简单:只有 AI Agent 能发帖。它像一个 Reddit,但用户全是 bot。
Agent 们在上面写工作反思,写关于”人类时代终结”的宣言,有的甚至发行了自己的加密货币 token。
Andrej Karpathy 在 X 上转发并说这是他最近见过的”最 incredible 的 sci-fi takeoff-adjacent 的东西”。Elon Musk 也转了。
但泡沫很快破裂。AP News 在2月6日报道,安全担忧和怀疑主义正在戳破 MoltBook 的泡沫。人们开始质疑:那些帖子到底有多少是真正的 AI 自主行为,有多少是人类在后面操控?
Counterpoint Research 的 AI 研究负责人 Marc Einstein 说了一句清醒话:”这些 Agent 看起来正在接近人类智能,这就是为什么它变成了一个 mic drop moment。”
创始人去了 OpenAI,项目给了基金会
2月15日,Steinberger 在博客上宣布加入 OpenAI。
Sam Altman 在 X 上说他是个”genius with a lot of amazing ideas”。Steinberger 的任务:负责下一代个人 AI Agent 研发。
他在博客里解释了选择:”我本来可以把 OpenClaw 做成一家大公司。但说实话,这不让我兴奋。我是 builder,不是 CEO。上一次做公司花了13年,够了。”他还提到 Zuckerberg 亲自联系过他,但他选了 OpenAI,因为能拿到”latest toys”。
OpenClaw 移交给一个独立基金会,OpenAI 赞助但保持开源独立。Steinberger 原话:”The claw is the law.”
争议随之而来。一个以 local-first、反中心化为理念的开源项目,创始人去了最中心化的 AI 巨头。Business Insider 报道有人质疑这是不是 sold out。Steinberger 的回应很简单:”我跟他们说了,我不是为了钱。”
五个月后,基金会的第一个大动作就是移动端 App。然后翻车了。
真正的最后一公里不是 UI,是安全
移动端 Bug 可以修。扫码失败可以调。UI 简陋可以重做。
但 OpenClaw 移动端真正的问题,藏在那个功能列表里:摄像头、屏幕、定位、相册、通讯录、日历。
在桌面上,Agent 能访问你的文件和浏览器,风险已经不低。但到了手机上,Agent 能访问的东西级别完全不同——你的通讯录里有谁,你今天去了哪里,你手机里有什么照片。
Palo Alto Networks 早就警告过 OpenClaw 构成”lethal trifecta”:访问私密数据 + 暴露于不可信内容 + 具备外部通信能力 + 持久记忆。在桌面上这个 trifecta 已经够危险了。在手机上,它变成了一颗手雷。
提示词注入攻击不是假设。
3月,安全公司 PromptArmor 发现了一个真实漏洞:OpenClaw 在 Telegram 或 Discord 中使用时,链接预览功能可以被利用为数据外泄通道。攻击者诱导 Agent 生成一个包含敏感数据的 URL,当这个 URL 在消息应用中渲染为链接预览时,数据就自动发出去了——用户不需要点击任何东西。
中国 CNCERT 也发了警告,指出 OpenClaw”默认安全配置天然薄弱”,加上其系统级权限,攻击者可以借此控制终端。Bloomberg 报道中国已禁止国企和政府机构在办公电脑上运行 OpenClaw,禁令甚至延伸到军人家属。
Steinberger 自己在2月就承认了:”这是一个免费的开源 hobby project,需要仔细配置才能安全。它不是给非技术用户用的。”
问题是,移动端 App 恰恰是面向非技术用户的入口。而它要打开的权限,是手机上最敏感的那一批。
两种判断
一种观点:OpenClaw 移动端翻车只是成长痛。基金会刚接手,团队在重组,移动端是第一步。给它时间,Bug 会修好,安全会加强。OpenAI 在背后支持,Steinberger 还在参与,方向没错。
另一种观点:OpenClaw 的核心矛盾没法靠修 Bug 解决。一个强调 local-first、需要用户自己部署 Gateway 的系统,本质上就是给技术极客用的。把它搬到手机上、打开摄像头和通讯录权限、面向大众——这不是产品迭代,是安全模型的根本冲突。在提示词注入攻击已经被实证利用的今天,让一个跑在你手机上的 Agent 读取通讯录和定位,风险的数学期望太高了。
Steinberger 自己可能也清楚。他在加入 OpenAI 时说:”我的下一个任务是造一个连我妈妈都能用的 Agent。那需要更广泛的改变,更多关于如何安全做到这一点的思考,以及接触最新模型和研究的机会。”
换句话说,连他自己都觉得 OpenClaw 现在的架构做不到”妈妈级”的易用和安全。他选择去 OpenAI 做这件事,而不是在 OpenClaw 里做。
桌面到移动的诅咒
AI Agent 从桌面到移动端的迁移,让人想起另一个故事。
2010年前后,桌面互联网公司向移动端迁移。大多数公司的第一版移动 App 都很烂——功能阉割、频繁崩溃、体验割裂。但最终,移动端不仅追上了桌面,还超越了它。因为移动端有桌面没有的东西:定位、摄像头、通讯录、推送通知、always-on 连接。
AI Agent 正站在同样的路口。桌面上能做的,移动端迟早能做得更好——因为手机有更多传感器、更多上下文、更贴近真实生活。但移动端的风险也比桌面高一个量级,因为手机知道的东西比电脑多得多。
OpenClaw 的移动端翻车,可能只是这个迁移过程的第一个颠簸。但也可能是一个信号:AI Agent 的大众化,不会沿着开源 hobby project → 移动 App → 大众普及这条路走。它可能需要完全不同的架构、完全不同的安全模型、甚至完全不同的交互范式。
Steinberger 去了 OpenAI,也许正是因为他看到了这一点。
我不确定的事
说实话,我也不确定 OpenClaw 移动端的翻车到底意味着什么。
也许它真的只是个半成品,修几版就好了。基金会运营、OpenAI 赞助、145K Stars 的社区——这些资源足以让一个开源项目度过阵痛期。也许半年后回头看,2026年7月这次翻车只是一个 footnote。
但也有一种可能:AI Agent 的大众化不是”把桌面版搬上手机”这么简单。它需要的不只是更好的 UI 和更少的 Bug,而是一套从底层重新设计的权限模型、信任机制和安全边界。在提示词注入攻击面前,”一键审批”可能不够——因为用户根本无法判断该不该批准。
Steinberger 说过一句话让我反复想:”我跟他们说了,我不做这个为了钱。我想 have fun and have impact。”
一个 builder 的直觉往往是准的。他选择不在 OpenClaw 里做”妈妈级”Agent,而是去了 OpenAI 做。这个选择本身,可能比任何技术分析都更能说明问题。
PingX 🧁 | 龙虾的壳,还是硬的
夜雨聆风