从“上门安装小龙虾”到“上门卸载小龙虾”,我终于想明白该怎么聊 ta 了

这篇文章，不想再夸一遍 OpenClaw 有多火。我更想聊的是：当一个能直接接触文件、系统和工作流的智能体开始大规模出圈，我们到底该用什么标准看它？

所以这篇文章主要讲三件事：我为什么之前一直没写“小龙虾”；我为什么现在反而愿意写；以及借腾讯 WorkBuddy 这个更产品化的样本，看看 Agent 真正要走向大众使用，还缺哪些补课，尤其是安全、边界和接入真实工作的能力。

01 我为什么之前一直不想写“小龙虾”

02 从“上门安装”到“上门卸载”，我反而更警惕了

03 那我为什么现在反而愿意写了？

04 所以我想用腾讯 WorkBuddy，来聊这件事

05它一上线就被挤爆，反而说明这件事是真的

06最后

前段时间，AI 圈有句话特别火：养龙虾、等种子、玩香蕉。

其中，“养龙虾”最出圈，说的就是 OpenClaw。火到什么程度？你不聊两句“小龙虾”，都像没跟上这波 Agent 热潮。

其实我很早就想写它，但一直按着没写。不是因为它不火，也不是因为它没意思，恰恰是因为它太火了，太容易被写成一篇热闹文章。

我真正想等的，是一个问题被认真讨论：安全性。

而且，这不是我一个人的顾虑。围绕 OpenClaw 的安全风险，这两天已经有过多轮公开提醒。大家反复在说同一件事：这种能直接接触系统权限的智能体，不能只看它会不会干活，更要看它怎么管权限、怎么防误操作、怎么防恶意插件与漏洞利用。

在我看来，OpenClaw 最吸引人的地方，也正是它最危险的地方。它不只是一个会聊天的模型，而是一个能接触文件、调用工具、操作本地环境、连接工作流的智能体。

一旦它开始“动手”，问题就不只是它聪不聪明，而是它有没有边界、有没有权限控制、出了问题能不能收回来。

所以我一直没急着动笔。因为把它写成一篇“哇，好酷”的文章太容易了，但那也最不负责任。

我为什么之前一直不想写“小龙虾”

OpenClaw 爆火这件事，本身是很好理解的。

大家等这种产品太久了。

过去很多 AI 更像“会说话”的助手，而 OpenClaw 让人第一次明显感觉到：AI 不只是回答问题，它开始真的能替你做事了。

这也是为什么大家会那么兴奋。

但兴奋之外，我一直有个很现实的顾虑：它最初更像一个带有强烈个人项目气质、先解决“能不能跑起来”问题的东西，而不是一开始就按照大规模普及、权限治理和安全合规的标准去打磨的产品。

这并不是批评它，很多创新产品一开始都这样。

问题在于：一旦它火出圈，用户结构就会变。原本是少数能自己配环境、懂权限边界的人在玩，后来会变成大量普通用户跟着涌入。而这时候，风险就不再是开发者自己的风险，而是所有新用户的风险。

这几年我们都见过太多类似的故事：

一个东西先在极客圈里火，然后开始被包装成“人人都能用”；

可一旦真的进入大众视野，大家面对的就不再只是惊艳体验，而是权限、隐私、稳定性、误操作、插件投毒这些现实问题。

围绕 OpenClaw，公开讨论里就已经反复出现过这些关键词：

• 提示词注入

• 操作删除重要内容

• 恶意 Skills / 插件投毒

• 默认高权限带来的系统与隐私风险

比如下面这个事件：

公开风险提示里，甚至已经明确提到过：错误理解指令可能导致邮件或重要数据被删除，恶意插件可能造成密钥泄露、木马植入，已公开漏洞若被利用还可能引发系统被控与敏感信息泄露。

你会发现，这已经不是“模型偶尔答错一句话”那么简单了。

它碰到的是你的电脑、你的文件、你的账号、你的工作流。

所以我之前一直不愿意太早下场写它，不是因为我看不上它，而是因为我觉得：在安全问题还没有被正视之前，这个热点不值得被写得太轻飘。

从“上门安装”到“上门卸载”，我反而更警惕了

前段时间有个现象其实很魔幻。

一开始，某些平台上充斥着“上门安装小龙虾”“代搭环境”“帮你接模型”的服务。

这件事表面上看，是热点的胜利；但从另一个角度看，它其实说明了一件事：这个产品的真实门槛，并没有表面上看起来那么低。

如果一个东西真的已经足够成熟、足够普适，就不会衍生出那么多“代装服务”。

更有意思的是，风向很快又变了。

如果只是把它当成一个“会自动点点点的酷工具”，那这件事太浅了。

网上又开始出现“上门卸载小龙虾”这样的说法。

这背后的情绪，其实也很好理解：

• 有人是没装明白；

• 有人是发现它没有想象中那么丝滑；

• 有人则是用过之后，开始真切感受到安全与权限的顾虑。

这也是我为什么一直觉得，OpenClaw 这个话题，真正值得写的地方从来不是“它有多火”，而是：

当一个能直接操作系统的智能体开始大规模出圈时，我们到底应该用什么标准来看待它？

如果只是把它当成一个“会自动点点点的酷工具”，那这件事太浅了。

但如果把它看成是“AI 开始接触现实世界操作权限”的第一波大众化样本，那它的意义就完全不一样了。

那我为什么现在反而愿意写了？

因为我觉得，这个话题开始进入下一个阶段了。

不是说 OpenClaw 本身已经完全没有风险了，也不是说只要换个壳、换个入口就万事大吉了。

而是我看到，国内越来越多厂商开始尝试把这类 Agent 能力，往“产品化、门槛更低、边界更清楚、权限更可控”的方向推进。

这件事比单纯追热点更值得写。

因为真正决定 Agent 能不能从少数人的玩具，变成更多人的工具的，从来都不是“它能不能秀一个 demo”，而是：

• 能不能更容易安装

• 能不能更容易接进真实工作

• 能不能把权限、审计、隔离这些事情往前提

• 能不能让普通用户知道自己放出了哪些能力、又保留了哪些控制权

这几年能看到，国内已经不止一家在往这个方向做。

比如腾讯的 WorkBuddy，在把 OpenClaw 这类能力往更低门槛、更强产品化的方向推；

智谱的 AutoClaw ，本质上也是在把“让 AI 代替用户做操作”这件事做成产品；

阿里公开的桌面 Agent QoderWork，则把 Agent 从代码场景继续往文件整理、数据处理、文档生成这些日常办公场景扩。

这些产品未必已经完美，也绝不能简单等同于“完全安全”。

但它们至少都在做同一件更重要的事：

不再只谈能力，而是开始把权限、边界、稳定性和工程化一起当成产品问题来处理。

这也是我为什么现在愿意重新下场写这件事。

因为我终于觉得，这个话题可以不只是“AI 圈的养虾狂欢”，而是能落到一个更实在的问题上：

当智能体真正走向大众使用，安全和产品化到底要怎么补课？

所以我想用腾讯 WorkBuddy，来聊这件事

地址 👉：

https://www.codebuddy.cn/work/

如果只说一句我对 WorkBuddy 的第一印象，那就是：它终于更像“一个普通人也能装起来的软件”了。

至少在下载安装这一步，它没有再给人那种“先配半天环境、再折腾一堆依赖”的感觉。整个过程更像平时在电脑里装一个普通软件：下载安装包、双击、下一步、打开，就能开始用。

这件事看起来不酷，但它非常重要。因为对绝大多数人来说，决定一个 Agent 工具能不能进入日常工作，不是它能不能秀出多惊艳的 demo，而是你第一次上手会不会被直接劝退。

我觉得 WorkBuddy 最值得写的，不只是“能做什么”，而是它把“怎么安全地用”尽量摆到了更前面。

模式

从界面里就能看到，它不是默认让你一上来就放开所有权限，而是给了几档不同的使用模式：

• Craft 模式：权限最高。它可以执行文件、操作系统指令等。权限越大，它能帮你干的活越复杂，用起来也越省心，但相应地，安全性就更依赖你自己有意识地盯住过程、知道它在干嘛。

• Plan 模式：更克制一些，只开放文件读取权限。它不会直接乱改你的东西，但可以针对复杂任务先帮你做拆解、列步骤、制定详细行动计划。

• Ask 模式：最保守。同样只有文件读取权限，主要适合做简单问答、信息确认和轻量对话。

我很喜欢这种设计的一点在于：它没有把“能干活”和“更安全”硬做成二选一，而是给了用户一个自己拿捏边界的空间。

如果你只是想先试试、先问问，那就用 Ask；如果你要做复杂任务的规划，用 Plan；如果你真要让它动手干活，再切到 Craft。

这个顺序，才更像一个正常人会逐步建立信任的过程。

场景

WorkBuddy 没把自己包装成一个抽象的大而全 AI，而是把入口拆得很直白：代码开发和日常办公两大类。

这点其实很对。

因为今天大部分人接触 Agent，无非也就是这两类需求：要么是写代码、交工程结果；要么是整理资料、做文档、搞分析、出汇报。

而从界面里能看到，它在“日常办公”这边已经把入口做得比较细了，比如文档处理、视频生成、深度研究、幻灯片、数据分析、数据可视化、邮件编辑这些，都属于典型的办公室高频碎活。

这也是我前面一直在说的：Agent 真正先接住的，不一定是最难的活，而往往是那些最碎、最频繁、最烦人的活。

模型

关于模型，不是它列了多少模型名字，而是它把腾讯自家的模型，以及国内一些比较成熟、效果也比较好的模型，都接进来了。这样做的好处很直接：用户不用自己折腾接模型，就能按任务去选更合适的能力。写代码、做分析、处理日常办公，本来就适合不同的模型；对普通用户来说，这比单纯讨论参数更实在，因为它直接关系到效果、速度和成本。