腾讯做了个镜像站,OpenClaw创始人直接炸了:你复制了整个项目
7月12日,开源AI圈发生了一件事,可能比任何安全漏洞都更值得关注。
OpenClaw创始人Peter Steinberger在X平台上公开发文,点名腾讯:“They created a carbon copy of our project.”(他们复制了我们整个项目)
起因是腾讯上线了一个叫SkillHub的平台——本质上是OpenClaw核心资源库ClawHub的”中国镜像站”。但问题在于:Steinberger说腾讯没有经过授权,直接爬取了整个ClawHub技能数据库。

更扎心的是——他还发现腾讯员工曾抱怨ClawHub的访问速率限制,影响了他们的抓取效率。
翻译一下:不是”顺便镜像了一下”,是“嫌你限速太慢,我多拉了几条线”。
腾讯的回应:我们帮你省了99.4%的流量
腾讯的反应速度很快,通过官方AI账号给出了数据反击:
-
SkillHub上线第一周,总流量 180GB -
其中从OpenClaw原始服务器实际拉取的数据:仅1GB -
对原始平台的带宽压力减轻:99.4%
腾讯的叙事是:我们做了一件好事。中国用户访问海外服务器延迟太高,我们搭了个镜像,帮你减轻了服务器负担,还让国内用户用上了。
腾讯发言人还表示:”我们一直是开源社区的积极贡献者”,并愿意讨论正式赞助协议。
180GB总流量,实际只从源站拉了1GB——腾讯的数据反击

这套逻辑看上去很完美——180GB流量,只从源站拿了1GB,帮你省了99.4%,你应该感谢我才对。
但Steinberger根本不买账。
问题的本质:效率不是免死金牌
Steinberger在后续帖子中说了一句话,值得每个搞技术的人品一品:
“Efficiency shouldn’t come at the cost of transparency.”
(效率不该以透明度为代价。)
他列出了三条开源社区的基本礼仪:
- 镜像项目之前,先沟通
——不是做完通知一声,是事前商量 - 通过正式渠道获得认证
——不是”我做了好事你自然就认了” - 尊重开发者署名权
——数据用了,项目改了,至少让人知道原始贡献者是谁
这三条,腾讯一条都没做到。
你可能会说:OpenClaw用的是MIT协议,MIT协议不就是随便用吗?
没错,MIT协议确实非常宽松。但”合法”和”合礼”是两回事。MIT协议允许你商用、修改、再发布,但它不代表你可以绕过社区、绕过沟通、绕过尊重。
打个比方:你可以在别人家的院子里摘果子吃(协议允许),但你好歹跟主人打个招呼吧?
当效率的大门敞开,透明度的窗户是否已经被关上?
一个”碳复制”背后的系统性问题
这件事不是孤例。
过去三个月,OpenClaw生态经历了什么?
- 安全危机
国家互联网应急中心+工信部双点名,130+个CVE漏洞,全球46万实例暴露 - 恶意插件
ClawHub市场上千个恶意Skill被发现,窃取SSH密钥、浏览器密码 - 创始人出走
Peter Steinberger加入OpenAI,项目移交独立基金会 - 现在又加上
大厂未授权镜像争议
你会发现一个规律:开源项目越火,被觊觎的速度就越快,出问题的频率就越高。
腾讯做SkillHub的初衷可能是好的——国内用户确实需要更快的访问速度。但”好的初衷”不能代替”好的流程”。
如果大厂看到一个好用的开源项目,第一反应就是”我来做个镜像/封装/商业版”,而不去和原始社区沟通合作,那开源生态的信任基础就会慢慢被侵蚀。
反转来了:三天后,Steinberger公开感谢了腾讯
最戏剧性的是,就在争议爆发三天后的7月14日,腾讯QClaw海外版上线。
Steinberger居然公开表示感谢:“感谢腾讯团队和我们一起合作,并提供了评测数据来改进OpenClaw的性能!”
他还说:”对于不太习惯用命令行的朋友来说,QClaw是一个很棒的选择。”
从”carbon copy”到”thank you”,只用了72小时。
这中间发生了什么?大概率是双方达成了某种正式合作框架——可能涉及赞助协议、数据共享机制、或者品牌授权。
但这也恰恰印证了Steinberger最初的诉求:不是不能用,是要先沟通、先合作、先取得授权。
从”carbon copy”到握手合作,只用了72小时
对普通用户意味着什么?
如果你是用OpenClaw或类似开源工具的职场人,这件事给你三个实操建议:
第一,不要盲目使用”镜像站”或”加速版”。腾讯SkillHub这类镜像站虽然访问速度快,但你无法确认数据同步过程中是否经过了安全审查。OpenClaw本身已经够多安全漏洞了,再来个”未审查镜像”,风险叠加。
第二,认准官方渠道。OpenClaw Foundation刚刚成立,项目正在走向规范化。使用官方推荐的部署方式(Docker官方镜像、npm官方源),比用第三方”加速版”安全得多。
第三,关注开源项目的”伦理健康度”。一个开源项目如果频繁被大厂”先斩后奏”式地镜像/封装,说明它的社区治理还不够成熟。选择那些有明确基金会运营、有正式合作机制的项目,长期来看更可靠。
开源协作的正确姿势:沟通→授权→共赢
写在最后
开源的本质是协作,不是掠夺。
大厂用开源项目的代码和数据,本身不丢人——很多伟大的商业产品都建立在开源之上。但前提是:你得把社区当伙伴,而不是当免费的供应链。
Steinberger那句”Efficiency shouldn’t come at the cost of transparency”,不仅是对腾讯说的,也是对整个AI行业说的。
在这个所有人都在抢着”接入开源生态”的时代,先问问原始开发者同不同意,可能是成本最低但最有价值的”安全策略”。
夜雨聆风