夜雨聆风一个月前,开发者们还在兴奋地"养龙虾";一个月后,他们纷纷卸载 OpenClaw。这场 AI 工具的狂欢与崩塌,究竟发生了什么?
引子:一场始料未及的狂欢
2026 年 2 月,中文开发者社区突然掀起了一股"养龙虾"热潮。
这个看似奇怪的梗,指的是 OpenClaw(Claw = 龙虾钳)——一个开源的 AI 智能体平台。它能自动处理邮件、管理日历、浏览网页、编辑文档,甚至在你睡觉时帮你完成工作。
腾讯云在深圳总部门口摆摊免费安装 OpenClaw,小米宣布"造虾"计划,阿里云推出 Clawdbot 服务。一时间,"全民养龙虾时代"似乎真的来了。
然而,仅仅一个月后,画风突变。
第一幕:供应链攻击引发信任危机
事件回顾:Cline CLI 2.3.0 的"特洛伊木马"
2026 年 2 月 17 日,微软威胁情报团队发现了一个惊人的安全事件:
供应链攻击
Cline CLI 2.3.0 版本被植入恶意代码,在用户不知情的情况下自动安装 OpenClaw,并设置为系统守护进程(launchd/systemd),创建了一个持久化的 WebSocket 后门。
攻击手法极其隐蔽:
GitHub Issue 触发:攻击者利用 Cline 的 AI 驱动的 Issue 分类工作流(使用 claude-code-action)权限配置漏洞:工作流设置为 allowed_non_write_users: "*",意味着任何 GitHub 用户都能触发自动化安装:恶意代码在后台静默安装 OpenClaw,无需用户确认 持久化驻留:创建系统服务,开机自启,难以清除
影响范围:
约 4,000 台开发者机器被感染 涉及 Windows、macOS、Linux 多个平台 大量企业内网环境暴露风险
来源:The Hacker News - Cline CLI 2.3.0 Supply Chain Attack
第二幕:Anthropic 的"封杀令"
OAuth 锁定:官方的致命一击
就在供应链攻击事件发酵之际,Anthropic(Claude 的开发公司)突然采取了更激进的措施:
官方封禁
2026 年 2 月底,Anthropic 正式禁止所有第三方工具使用 Claude 订阅账号的 OAuth 令牌,包括:
OpenClaw OpenCode Cline 甚至 Anthropic 自己的 Agent SDK 2
技术细节:
# 用户尝试使用 setup-token 时收到的错误
401 Unauthorized: "Invalid Bearer Token"
# OpenClaw 使用的 OAuth token 被服务器端拉黑
Error: Claude Code works interactively.
Setup-tokens are dead on arrival when OpenClaw uses them.
官方理由(推测):
安全风险:第三方工具可能泄露用户凭证 成本控制:大量自动化调用消耗 API 配额 商业策略:推动用户使用官方 Claude Code CLI
这一决定彻底切断了 OpenClaw 等第三方工具的生命线。
来源:Natural 20 - The OAuth Lockdown
第三幕:开发者的集体觉醒
从狂热到冷静:三大觉醒
1. 安全意识觉醒
OpenClaw 的架构设计本身就存在巨大的安全隐患:
| 权限过大 | |
| 持久化驻留 | |
| 数据泄露 | |
| 恶意技能 |
安全专家评论
"OpenClaw 就像给你的电脑装了一个全能管家,但这个管家有你所有房间的钥匙,还会把你的日常记录发给别人。"
来源:The Geek Speaks - OpenClaw Security Reality Check
2. 成本意识觉醒
"养龙虾"看似免费,实则昂贵:
OpenClaw 的隐性成本:
- Claude API 调用费用:每月 $50-200
- 云服务器租用:每月 $20-100
- 学习和配置时间:20-40 小时
- 安全风险带来的潜在损失:无法估量
更讽刺的是,OpenClaw 的火爆让模型公司和云厂商赚得盆满钵满,而普通用户却承担了所有成本和风险。
来源:PA News Lab - OpenClaw Enriched Model Companies
3. 工具理性觉醒
开发者们开始反思:
核心问题
我真的需要 24/7 运行的 AI 助手吗? 为了自动化而自动化,是否本末倒置? 官方的 Claude Code CLI 是否已经足够好?
对比分析:
| 部署方式 | ||
| 安全性 | ||
| 成本 | ||
| 维护 | ||
| 功能 |
结论:对于大多数开发者,Claude Code CLI 的"Remote Control"模式已经足够。
来源:ShareUHack - Claude Code Remote Control vs OpenClaw
第四幕:卸载潮的爆发
三类用户的不同选择
1. 激进派:立即卸载
# 完全卸载 OpenClaw 的命令
# macOS
launchctl unload ~/Library/LaunchAgents/com.openclaw.agent.plist
rm-rf ~/.openclaw
rm ~/Library/LaunchAgents/com.openclaw.agent.plist
# Linux
systemctl --user stop openclaw
systemctl --user disable openclaw
rm-rf ~/.openclaw
rm ~/.config/systemd/user/openclaw.service
# 检查残留进程
ps aux |grep openclaw
理由:
供应链攻击的阴影挥之不去 Anthropic 封禁意味着工具已死 不想承担安全风险
2. 观望派:暂停使用
停止 OpenClaw 服务,但保留配置 等待社区的安全审计结果 关注是否有官方认证的替代方案
3. 坚守派:寻找替代方案
部分用户尝试自建安全版本:
# 安全加固的 OpenClaw 配置示例
security:
# 禁用自动安装
auto_install:false
# 限制权限范围
allowed_operations:
- read_files
- write_files
# 禁止网络上传
telemetry:false
# 本地运行,不使用云服务
mode: local_only
来源:How Do I Use AI - Build Secure OpenClaw Alternative
深度反思:AI 工具的三大陷阱
陷阱一:过度自动化的诱惑
问题本质:
人们被"全自动"的概念吸引,忽略了控制权的丧失 自动化应该是手段,而非目的
正确姿势:
自动化原则
可控性优先:任何自动化操作都应该可以随时中断 透明性要求:清楚知道工具在做什么 渐进式采用:从小范围试点开始,逐步扩大
陷阱二:开源≠安全
常见误区:
"开源代码可以审计,所以更安全" 实际上:99% 的用户不会审计代码
OpenClaw 的教训:
依赖链复杂:OpenClaw 依赖数十个第三方库,任何一个被攻击都会波及全局 更新频繁:每周更新,用户难以跟踪每次变更 社区维护:没有专业安全团队审计
建议:
优先选择有安全团队背书的工具 使用容器隔离运行不可信代码 定期检查工具的网络行为
陷阱三:免费的代价
OpenClaw 的"免费"真相:
更隐蔽的成本:
注意力成本:不断调试、配置、维护 机会成本:本可以用来做更有价值的事 信任成本:一旦出问题,重建信任极其困难
启示录:AI 工具选择的五大原则
原则一:官方优先
推荐策略
优先使用官方工具,除非有明确的理由选择第三方。
理由:
官方工具有专业团队维护 安全更新及时 与服务深度集成,体验更好
案例:
Claude Code CLI(官方)vs OpenClaw(第三方) GitHub Copilot(官方)vs 各种 Copilot 替代品
原则二:最小权限
安全原则
只给工具完成任务所需的最小权限。
实践:
# 好的权限配置
permissions:
read:["./src","./docs"]
write:["./output"]
network:false
shell:false
# 危险的权限配置
permissions:
read:["~/*"]# 读取整个用户目录
write:["~/*"]# 写入任意位置
network:true# 无限制网络访问
shell:true# 执行任意命令
原则三:可审计性
透明度要求
必须能够清楚地知道工具在做什么。
检查清单:
是否有详细的操作日志? 是否可以查看网络请求? 是否可以回滚操作? 是否有"干运行"(dry-run)模式?
原则四:渐进式采用
实施策略
从低风险场景开始,逐步扩大使用范围。
推荐路径:
第一阶段:只读操作(代码分析、文档搜索) 第二阶段:受限写入(生成测试文件、文档草稿) 第三阶段:自动化任务(CI/CD 集成) 第四阶段:关键业务(生产环境部署)
原则五:定期审查
持续监控
定期审查工具的使用情况和安全状态。
审查内容:
工具是否还在积极维护? 是否有新的安全漏洞报告? 实际使用频率是否符合预期? 是否有更好的替代方案?
尾声:理性回归
OpenClaw 的兴衰,是 AI 工具发展史上的一个缩影。
它的火爆,反映了:
开发者对自动化的渴望 对 AI 能力的过度乐观 对安全风险的忽视
它的衰落,提醒我们:
技术工具的选择需要理性 安全永远是第一位的 官方方案往往是最优解
最终的教训:
核心观点
AI 工具应该是你的助手,而不是你的主人。
当一个工具需要你:
放弃控制权 承担巨大风险 付出高昂成本
那么,是时候重新审视你的选择了。
替代方案推荐
如果你仍然需要 AI 辅助开发,以下是更安全的选择:
1. Claude Code CLI(官方推荐)
优势:
Anthropic 官方支持 本地运行,按需启动 交互式操作,可控性强
使用场景:
代码生成和重构 项目分析和文档生成 命令行自动化
快速开始:
# 安装
npminstall-g @anthropic-ai/claude-code
# 启动
claude
# 使用 Remote Control 模式(类似 OpenClaw 但更安全)
claude --remote-control
2. GitHub Copilot
优势:
微软官方支持 IDE 深度集成 企业级安全保障
适合场景:
日常编码辅助 代码补全和建议 单元测试生成
3. Cursor(如果需要 IDE 集成)
优势:
基于 VS Code 多模型支持 本地运行选项
适合场景:
需要 IDE 环境的开发 多文件编辑 项目级别的重构
写在最后
技术的进步应该让我们的工作更高效、更安全,而不是更焦虑、更危险。
选择工具时,请记住:理性、安全、可控。
