乐于分享
好东西不私藏
夜雨聆风 > > 办公文件 > 从"养龙虾"到卸载潮:OpenClaw 的兴衰启示录

从"养龙虾"到卸载潮:OpenClaw 的兴衰启示录

当前时间: 1970-01-01 08:00:00 分类:办公文件 评论(0)
从"养龙虾"到卸载潮:OpenClaw 的兴衰启示录

一个月前,开发者们还在兴奋地"养龙虾";一个月后,他们纷纷卸载 OpenClaw。这场 AI 工具的狂欢与崩塌,究竟发生了什么?

引子:一场始料未及的狂欢

2026 年 2 月,中文开发者社区突然掀起了一股"养龙虾"热潮。

这个看似奇怪的梗,指的是 OpenClaw(Claw = 龙虾钳)——一个开源的 AI 智能体平台。它能自动处理邮件、管理日历、浏览网页、编辑文档,甚至在你睡觉时帮你完成工作。

腾讯云在深圳总部门口摆摊免费安装 OpenClaw,小米宣布"造虾"计划,阿里云推出 Clawdbot 服务。一时间,"全民养龙虾时代"似乎真的来了。

然而,仅仅一个月后,画风突变。

第一幕:供应链攻击引发信任危机

事件回顾:Cline CLI 2.3.0 的"特洛伊木马"

2026 年 2 月 17 日,微软威胁情报团队发现了一个惊人的安全事件:

供应链攻击

Cline CLI 2.3.0 版本被植入恶意代码,在用户不知情的情况下自动安装 OpenClaw,并设置为系统守护进程(launchd/systemd),创建了一个持久化的 WebSocket 后门。

攻击手法极其隐蔽:

  1. GitHub Issue 触发:攻击者利用 Cline 的 AI 驱动的 Issue 分类工作流(使用 claude-code-action
  2. 权限配置漏洞:工作流设置为 allowed_non_write_users: "*",意味着任何 GitHub 用户都能触发
  3. 自动化安装:恶意代码在后台静默安装 OpenClaw,无需用户确认
  4. 持久化驻留:创建系统服务,开机自启,难以清除

影响范围:

  • 约 4,000 台开发者机器被感染
  • 涉及 Windows、macOS、Linux 多个平台
  • 大量企业内网环境暴露风险

来源:The Hacker News - Cline CLI 2.3.0 Supply Chain Attack

第二幕:Anthropic 的"封杀令"

OAuth 锁定:官方的致命一击

就在供应链攻击事件发酵之际,Anthropic(Claude 的开发公司)突然采取了更激进的措施:

官方封禁

2026 年 2 月底,Anthropic 正式禁止所有第三方工具使用 Claude 订阅账号的 OAuth 令牌,包括:

  • OpenClaw
  • OpenCode
  • Cline
  • 甚至 Anthropic 自己的 Agent SDK 2

技术细节:

# 用户尝试使用 setup-token 时收到的错误
401 Unauthorized: "Invalid Bearer Token"

# OpenClaw 使用的 OAuth token 被服务器端拉黑
Error: Claude Code works interactively.
Setup-tokens are dead on arrival when OpenClaw uses them.

官方理由(推测):

  1. 安全风险:第三方工具可能泄露用户凭证
  2. 成本控制:大量自动化调用消耗 API 配额
  3. 商业策略:推动用户使用官方 Claude Code CLI

这一决定彻底切断了 OpenClaw 等第三方工具的生命线。

来源:Natural 20 - The OAuth Lockdown

第三幕:开发者的集体觉醒

从狂热到冷静:三大觉醒

1. 安全意识觉醒

OpenClaw 的架构设计本身就存在巨大的安全隐患:

风险点
具体表现
权限过大
需要访问邮件、日历、文档、Shell 命令
持久化驻留
作为系统守护进程 24/7 运行
数据泄露
所有操作日志可能被上传到服务器
恶意技能
任何 bug 或恶意插件都可能造成灾难性后果

安全专家评论

"OpenClaw 就像给你的电脑装了一个全能管家,但这个管家有你所有房间的钥匙,还会把你的日常记录发给别人。"

来源:The Geek Speaks - OpenClaw Security Reality Check

2. 成本意识觉醒

"养龙虾"看似免费,实则昂贵:

OpenClaw 的隐性成本:
- Claude API 调用费用:每月 $50-200
- 云服务器租用:每月 $20-100
- 学习和配置时间:20-40 小时
- 安全风险带来的潜在损失:无法估量

更讽刺的是,OpenClaw 的火爆让模型公司和云厂商赚得盆满钵满,而普通用户却承担了所有成本和风险。

来源:PA News Lab - OpenClaw Enriched Model Companies

3. 工具理性觉醒

开发者们开始反思:

核心问题

  • 我真的需要 24/7 运行的 AI 助手吗?
  • 为了自动化而自动化,是否本末倒置?
  • 官方的 Claude Code CLI 是否已经足够好?

对比分析:

特性
OpenClaw
Claude Code CLI
部署方式
需要独立服务器 24/7 运行
本地运行,按需启动
安全性
持久化后门风险
官方支持,相对安全
成本
服务器 + API 费用
仅 API 费用
维护
需要自己配置和维护
开箱即用
功能
全自动化,但过度
交互式,更可控

结论:对于大多数开发者,Claude Code CLI 的"Remote Control"模式已经足够

来源:ShareUHack - Claude Code Remote Control vs OpenClaw

第四幕:卸载潮的爆发

三类用户的不同选择

1. 激进派:立即卸载

# 完全卸载 OpenClaw 的命令
# macOS
launchctl unload ~/Library/LaunchAgents/com.openclaw.agent.plist
rm-rf ~/.openclaw
rm ~/Library/LaunchAgents/com.openclaw.agent.plist

# Linux
systemctl --user stop openclaw
systemctl --user disable openclaw
rm-rf ~/.openclaw
rm ~/.config/systemd/user/openclaw.service

# 检查残留进程
ps aux |grep openclaw

理由:

  • 供应链攻击的阴影挥之不去
  • Anthropic 封禁意味着工具已死
  • 不想承担安全风险

2. 观望派:暂停使用

  • 停止 OpenClaw 服务,但保留配置
  • 等待社区的安全审计结果
  • 关注是否有官方认证的替代方案

3. 坚守派:寻找替代方案

部分用户尝试自建安全版本:

# 安全加固的 OpenClaw 配置示例
security:
# 禁用自动安装
auto_install:false

# 限制权限范围
allowed_operations:
- read_files
- write_files

# 禁止网络上传
telemetry:false

# 本地运行,不使用云服务
mode: local_only

来源:How Do I Use AI - Build Secure OpenClaw Alternative

深度反思:AI 工具的三大陷阱

陷阱一:过度自动化的诱惑

问题本质:

  • 人们被"全自动"的概念吸引,忽略了控制权的丧失
  • 自动化应该是手段,而非目的

正确姿势:

自动化原则

  • 可控性优先:任何自动化操作都应该可以随时中断
  • 透明性要求:清楚知道工具在做什么
  • 渐进式采用:从小范围试点开始,逐步扩大

陷阱二:开源≠安全

常见误区:

  • "开源代码可以审计,所以更安全"
  • 实际上:99% 的用户不会审计代码

OpenClaw 的教训:

  1. 依赖链复杂:OpenClaw 依赖数十个第三方库,任何一个被攻击都会波及全局
  2. 更新频繁:每周更新,用户难以跟踪每次变更
  3. 社区维护:没有专业安全团队审计

建议:

  • 优先选择有安全团队背书的工具
  • 使用容器隔离运行不可信代码
  • 定期检查工具的网络行为

陷阱三:免费的代价

OpenClaw 的"免费"真相:

你以为的免费
实际付出的代价
开源软件
学习成本 20+ 小时
自己部署
服务器费用 $20-100/月
无限使用
API 调用费 $50-200/月
社区支持
安全风险无法估量

更隐蔽的成本:

  • 注意力成本:不断调试、配置、维护
  • 机会成本:本可以用来做更有价值的事
  • 信任成本:一旦出问题,重建信任极其困难

启示录:AI 工具选择的五大原则

原则一:官方优先

推荐策略

优先使用官方工具,除非有明确的理由选择第三方。

理由:

  • 官方工具有专业团队维护
  • 安全更新及时
  • 与服务深度集成,体验更好

案例:

  • Claude Code CLI(官方)vs OpenClaw(第三方)
  • GitHub Copilot(官方)vs 各种 Copilot 替代品

原则二:最小权限

安全原则

只给工具完成任务所需的最小权限

实践:

# 好的权限配置
permissions:
read:["./src","./docs"]
write:["./output"]
network:false
shell:false

# 危险的权限配置
permissions:
read:["~/*"]# 读取整个用户目录
write:["~/*"]# 写入任意位置
network:true# 无限制网络访问
shell:true# 执行任意命令

原则三:可审计性

透明度要求

必须能够清楚地知道工具在做什么

检查清单:

  • 是否有详细的操作日志?
  • 是否可以查看网络请求?
  • 是否可以回滚操作?
  • 是否有"干运行"(dry-run)模式?

原则四:渐进式采用

实施策略

从低风险场景开始,逐步扩大使用范围

推荐路径:

  1. 第一阶段:只读操作(代码分析、文档搜索)
  2. 第二阶段:受限写入(生成测试文件、文档草稿)
  3. 第三阶段:自动化任务(CI/CD 集成)
  4. 第四阶段:关键业务(生产环境部署)

原则五:定期审查

持续监控

定期审查工具的使用情况和安全状态

审查内容:

  • 工具是否还在积极维护?
  • 是否有新的安全漏洞报告?
  • 实际使用频率是否符合预期?
  • 是否有更好的替代方案?

尾声:理性回归

OpenClaw 的兴衰,是 AI 工具发展史上的一个缩影。

它的火爆,反映了:

  • 开发者对自动化的渴望
  • 对 AI 能力的过度乐观
  • 对安全风险的忽视

它的衰落,提醒我们:

  • 技术工具的选择需要理性
  • 安全永远是第一位的
  • 官方方案往往是最优解

最终的教训:

核心观点

AI 工具应该是你的助手,而不是你的主人。

当一个工具需要你:

  • 放弃控制权
  • 承担巨大风险
  • 付出高昂成本

那么,是时候重新审视你的选择了。

替代方案推荐

如果你仍然需要 AI 辅助开发,以下是更安全的选择:

1. Claude Code CLI(官方推荐)

优势:

  • Anthropic 官方支持
  • 本地运行,按需启动
  • 交互式操作,可控性强

使用场景:

  • 代码生成和重构
  • 项目分析和文档生成
  • 命令行自动化

快速开始:

# 安装
npminstall-g @anthropic-ai/claude-code

# 启动
claude

# 使用 Remote Control 模式(类似 OpenClaw 但更安全)
claude --remote-control

2. GitHub Copilot

优势:

  • 微软官方支持
  • IDE 深度集成
  • 企业级安全保障

适合场景:

  • 日常编码辅助
  • 代码补全和建议
  • 单元测试生成

3. Cursor(如果需要 IDE 集成)

优势:

  • 基于 VS Code
  • 多模型支持
  • 本地运行选项

适合场景:

  • 需要 IDE 环境的开发
  • 多文件编辑
  • 项目级别的重构

写在最后

技术的进步应该让我们的工作更高效、更安全,而不是更焦虑、更危险。

选择工具时,请记住:理性、安全、可控