夜雨聆风这篇文章,不想再夸一遍 OpenClaw 有多火。我更想聊的是:当一个能直接接触文件、系统和工作流的智能体开始大规模出圈,我们到底该用什么标准看它?
所以这篇文章主要讲三件事:我为什么之前一直没写“小龙虾”;我为什么现在反而愿意写;以及借腾讯 WorkBuddy 这个更产品化的样本,看看 Agent 真正要走向大众使用,还缺哪些补课,尤其是安全、边界和接入真实工作的能力。
05它一上线就被挤爆,反而说明这件事是真的
06最后
前段时间,AI 圈有句话特别火:养龙虾、等种子、玩香蕉。
其中,“养龙虾”最出圈,说的就是 OpenClaw。火到什么程度?你不聊两句“小龙虾”,都像没跟上这波 Agent 热潮。
其实我很早就想写它,但一直按着没写。不是因为它不火,也不是因为它没意思,恰恰是因为它太火了,太容易被写成一篇热闹文章。
我真正想等的,是一个问题被认真讨论:安全性。
而且,这不是我一个人的顾虑。围绕 OpenClaw 的安全风险,这两天已经有过多轮公开提醒。大家反复在说同一件事:这种能直接接触系统权限的智能体,不能只看它会不会干活,更要看它怎么管权限、怎么防误操作、怎么防恶意插件与漏洞利用。
在我看来,OpenClaw 最吸引人的地方,也正是它最危险的地方。它不只是一个会聊天的模型,而是一个能接触文件、调用工具、操作本地环境、连接工作流的智能体。
一旦它开始“动手”,问题就不只是它聪不聪明,而是它有没有边界、有没有权限控制、出了问题能不能收回来。
所以我一直没急着动笔。因为把它写成一篇“哇,好酷”的文章太容易了,但那也最不负责任。
OpenClaw 爆火这件事,本身是很好理解的。
大家等这种产品太久了。
过去很多 AI 更像“会说话”的助手,而 OpenClaw 让人第一次明显感觉到:AI 不只是回答问题,它开始真的能替你做事了。
这也是为什么大家会那么兴奋。
但兴奋之外,我一直有个很现实的顾虑:它最初更像一个带有强烈个人项目气质、先解决“能不能跑起来”问题的东西,而不是一开始就按照大规模普及、权限治理和安全合规的标准去打磨的产品。
这并不是批评它,很多创新产品一开始都这样。
问题在于:一旦它火出圈,用户结构就会变。原本是少数能自己配环境、懂权限边界的人在玩,后来会变成大量普通用户跟着涌入。而这时候,风险就不再是开发者自己的风险,而是所有新用户的风险。
这几年我们都见过太多类似的故事:
一个东西先在极客圈里火,然后开始被包装成“人人都能用”;
可一旦真的进入大众视野,大家面对的就不再只是惊艳体验,而是权限、隐私、稳定性、误操作、插件投毒这些现实问题。
围绕 OpenClaw,公开讨论里就已经反复出现过这些关键词:
• 提示词注入
• 操作删除重要内容
• 恶意 Skills / 插件投毒
• 默认高权限带来的系统与隐私风险
比如下面这个事件:
公开风险提示里,甚至已经明确提到过:错误理解指令可能导致邮件或重要数据被删除,恶意插件可能造成密钥泄露、木马植入,已公开漏洞若被利用还可能引发系统被控与敏感信息泄露。
你会发现,这已经不是“模型偶尔答错一句话”那么简单了。
它碰到的是你的电脑、你的文件、你的账号、你的工作流。
所以我之前一直不愿意太早下场写它,不是因为我看不上它,而是因为我觉得:在安全问题还没有被正视之前,这个热点不值得被写得太轻飘。
前段时间有个现象其实很魔幻。
一开始,某些平台上充斥着“上门安装小龙虾”“代搭环境”“帮你接模型”的服务。
这件事表面上看,是热点的胜利;但从另一个角度看,它其实说明了一件事:这个产品的真实门槛,并没有表面上看起来那么低。
如果一个东西真的已经足够成熟、足够普适,就不会衍生出那么多“代装服务”。
更有意思的是,风向很快又变了。
如果只是把它当成一个“会自动点点点的酷工具”,那这件事太浅了。
网上又开始出现“上门卸载小龙虾”这样的说法。
这背后的情绪,其实也很好理解:
• 有人是没装明白;
• 有人是发现它没有想象中那么丝滑;
• 有人则是用过之后,开始真切感受到安全与权限的顾虑。
这也是我为什么一直觉得,OpenClaw 这个话题,真正值得写的地方从来不是“它有多火”,而是:
当一个能直接操作系统的智能体开始大规模出圈时,我们到底应该用什么标准来看待它?
如果只是把它当成一个“会自动点点点的酷工具”,那这件事太浅了。
但如果把它看成是“AI 开始接触现实世界操作权限”的第一波大众化样本,那它的意义就完全不一样了。
因为我觉得,这个话题开始进入下一个阶段了。
不是说 OpenClaw 本身已经完全没有风险了,也不是说只要换个壳、换个入口就万事大吉了。
而是我看到,国内越来越多厂商开始尝试把这类 Agent 能力,往“产品化、门槛更低、边界更清楚、权限更可控”的方向推进。
这件事比单纯追热点更值得写。
因为真正决定 Agent 能不能从少数人的玩具,变成更多人的工具的,从来都不是“它能不能秀一个 demo”,而是:
• 能不能更容易安装
• 能不能更容易接进真实工作
• 能不能把权限、审计、隔离这些事情往前提
• 能不能让普通用户知道自己放出了哪些能力、又保留了哪些控制权
这几年能看到,国内已经不止一家在往这个方向做。
比如腾讯的 WorkBuddy,在把 OpenClaw 这类能力往更低门槛、更强产品化的方向推;
智谱的 AutoClaw ,本质上也是在把“让 AI 代替用户做操作”这件事做成产品;
阿里公开的桌面 Agent QoderWork,则把 Agent 从代码场景继续往文件整理、数据处理、文档生成这些日常办公场景扩。
这些产品未必已经完美,也绝不能简单等同于“完全安全”。
但它们至少都在做同一件更重要的事:
不再只谈能力,而是开始把权限、边界、稳定性和工程化一起当成产品问题来处理。
这也是我为什么现在愿意重新下场写这件事。
因为我终于觉得,这个话题可以不只是“AI 圈的养虾狂欢”,而是能落到一个更实在的问题上:
当智能体真正走向大众使用,安全和产品化到底要怎么补课?
地址 👉:
https://www.codebuddy.cn/work/
如果只说一句我对 WorkBuddy 的第一印象,那就是:它终于更像“一个普通人也能装起来的软件”了。
至少在下载安装这一步,它没有再给人那种“先配半天环境、再折腾一堆依赖”的感觉。整个过程更像平时在电脑里装一个普通软件:下载安装包、双击、下一步、打开,就能开始用。
这件事看起来不酷,但它非常重要。因为对绝大多数人来说,决定一个 Agent 工具能不能进入日常工作,不是它能不能秀出多惊艳的 demo,而是你第一次上手会不会被直接劝退。
我觉得 WorkBuddy 最值得写的,不只是“能做什么”,而是它把“怎么安全地用”尽量摆到了更前面。
从界面里就能看到,它不是默认让你一上来就放开所有权限,而是给了几档不同的使用模式:
• Craft 模式:权限最高。它可以执行文件、操作系统指令等。权限越大,它能帮你干的活越复杂,用起来也越省心,但相应地,安全性就更依赖你自己有意识地盯住过程、知道它在干嘛。
• Plan 模式:更克制一些,只开放文件读取权限。它不会直接乱改你的东西,但可以针对复杂任务先帮你做拆解、列步骤、制定详细行动计划。
• Ask 模式:最保守。同样只有文件读取权限,主要适合做简单问答、信息确认和轻量对话。
我很喜欢这种设计的一点在于:它没有把“能干活”和“更安全”硬做成二选一,而是给了用户一个自己拿捏边界的空间。
如果你只是想先试试、先问问,那就用 Ask;如果你要做复杂任务的规划,用 Plan;如果你真要让它动手干活,再切到 Craft。
这个顺序,才更像一个正常人会逐步建立信任的过程。
WorkBuddy 没把自己包装成一个抽象的大而全 AI,而是把入口拆得很直白:代码开发和日常办公两大类。
这点其实很对。
因为今天大部分人接触 Agent,无非也就是这两类需求:要么是写代码、交工程结果;要么是整理资料、做文档、搞分析、出汇报。
而从界面里能看到,它在“日常办公”这边已经把入口做得比较细了,比如文档处理、视频生成、深度研究、幻灯片、数据分析、数据可视化、邮件编辑这些,都属于典型的办公室高频碎活。
这也是我前面一直在说的:Agent 真正先接住的,不一定是最难的活,而往往是那些最碎、最频繁、最烦人的活。
关于模型,不是它列了多少模型名字,而是它把腾讯自家的模型,以及国内一些比较成熟、效果也比较好的模型,都接进来了。这样做的好处很直接:用户不用自己折腾接模型,就能按任务去选更合适的能力。写代码、做分析、处理日常办公,本来就适合不同的模型;对普通用户来说,这比单纯讨论参数更实在,因为它直接关系到效果、速度和成本。
另外一个让我觉得有意思的点,是它不是只有一个聊天框,而是带着 Skills 和插件能力来的。
换句话说,它不是只会“答”,而是更像一个可以不断加工具、加能力边界的底座。自带的 skills 可以直接拿来用,插件也可以继续扩展。这样一来,WorkBuddy 的上限就不只取决于一个默认功能列表,而是取决于它后面能接进去多少真实工具和流程。
最后两个我觉得很适合单独说的小点。
地址 👉:
https://www.codebuddy.cn/profile/usage
从公开信息来看,WorkBuddy 这次上线阶段确实准备了不少体验福利,比如给国内版用户的 Credits 补贴。对第一次上手的人来说,这种东西很实在——你不用一上来就为“尝鲜成本”犹豫太久,先薅一波再说。
另一个我很在意的点,是它接入 IM 平台的速度。
公开说法里,企业微信的连接最快可以做到 1 分钟左右(没有做剪辑和加速!!!);同时它也给了企微、钉钉、QQ、飞书这些常见协作入口的接入指南 👉:
https://docs.qq.com/doc/DSm1rdFhvREFic3RM
这个细节其实特别重要,因为很多 Agent 产品最大的问题不是不会干活,而是根本接不进真实工作流。你说它再强也没用,接不进群、接不进协作环境、接不进大家每天真正使用的沟通链路,它就很难变成真正的生产力工具。
所以如果后面我要在这篇文章里加一个视频,我最想加的其实不是“它多聪明”,而是“它怎么快速接进企微”。因为那一刻你会更直观地感受到:这个东西开始不是在聊天,而是在准备接活了。
当然,WorkBuddy 也不是一上线就一切完美。
根据公开信息,腾讯云代码助手团队曾在 3 月 9 日发布致歉说明,提到因为 WorkBuddy 国内公开测试上线后访问量远超预期,导致核心服务瞬时压力过大,一度出现登录和服务不稳定的问题,随后进行了紧急扩容。
你可以把这理解成翻车。
但我更愿意把它看成另一个信号:
这类产品的需求,是真的。
大家并不是只想围观一个“很会说话”的 AI。
大家更想要的是一个真的能帮忙干活、能接流程、能省时间的东西。
只是从“想要”到“真的能稳定交付”,中间还隔着非常多工程和产品层的问题。
这也是为什么我会觉得,WorkBuddy 值得拿出来写。
不是因为它已经终局了,而是因为它把这个赛道真正的问题暴露得更清楚了:
Agent 的比拼,接下来不只是能力的比拼,更是产品化、稳定性、安全性和可控性的比拼。
所以如果你问我,为什么关于“小龙虾”,我拖到现在才写,答案很简单:我不想把一个带着安全争议和产品边界问题的东西,写成一篇追热点的赞美稿。
但我现在愿意写,是因为这个话题已经进入更值得讨论的阶段。真正重要的问题,不再是“这个东西酷不酷”,而是“它能不能更稳、更可控、更有边界地进入真实工作”。
如果这个问题没有答案,小龙虾再火,也只是热闹;但如果越来越多像腾讯 WorkBuddy、智谱 AutoClaw、阿里 QoderWork 这样的产品开始认真补这一课,那这就不只是一个热点,而会变成一个趋势:
AI 正在从“会回答”走向“会执行”;决定它能不能走得更远的,不只是能力,还有安全、边界和产品化。
如果你看完这篇文章后,有下面任意一个反应,我觉得这篇就值了:
• 你想自己亲手试一试
• 你至少觉得,这件事终于被讲得更实在了一点
