OpenClaw养还是不养?

    3月11日，随着市场对智能体安全风险的担忧加剧，港股市场表现活跃的OpenClaw概念股承压。截至收盘，全球领先的MINIMAX-WP(00100.HK)跌6.48%，智谱(02513.HK)跌6.09%，美图公司(01357.HK)跌4.27%。3月10日晚，国家互联网应急中心发布关于OpenClaw安全应用的风险提示：该系统目前已公开披露多项高中危漏洞。2026从元旦到春节，OpenClaw搅动了全球。上线刚2个多月，已在GitHub全球最大的代码托管平台GitHub上获得了Star29万，成为史上增长最快的开源项目。OpenAI CEO 萨姆·奥尔特曼2 月16日官宣，Peter Steinberger加入 OpenAI，推动下一代个人智能体的开发。细数Open claw的身世，或许为你增加一些参考。

这位独自创业的iOS工程师，Peter Steinberger为奥地利人，本科毕业于维也纳科技大学，修读计算机与信息科学。还在上学的彼得就已经是一名资深的iOS开发者。学生时代，他为多个知名iOS项目提供过技术咨询和一对一培训。甚至，母校的第一门Mac/iOS开发课程，都是在彼得的参与推动下开设的。2010年，他接到了个改变他人生的订单。客户想做一个基于PDF格式的杂志类App，彼得花了八周时间完成。

那时，第一代iPad刚发布不久，应用程序正在把越来越多的体验转移到数字世界，而一旦文档电子化，就得额外添加电子签名、文档查看、编辑、批注、协作等功能。于是，2011年，彼得启动了一个Solo项目——PSPDFKit（前2个字母来自他的名字，PDF指PDF文件；Kit代表SDK工具包。）他几乎在一天之内就搭了一个带网店的网站，在推特上发了条消息。第一周就卖出了好几份授权。由于去美国硅谷做程序员的工作签证审批要等九个月，这给了他一段意外的“空窗期”。把全部时间都用来打磨PSPDFKit。几乎从第一天起就开始盈利。等彼得真正入职硅谷公司时，PSPDFKit带来的收入，已经超过了他的工资。

 四个月后，彼得又回到了家乡，彻底All in PSPDFKit，开始正式扩充团队，并引入了两位联合创始人。他踩中了风口。文档处理工具，哪怕只是像“预览云端文件”这样的功能，在当时都非常难做。却又是企业不得不做的东西。现在，PSPDFKit把这套底座打好了，企业只需付一笔订阅费，就能直接接入SDK和API使用。他的生意一路顺利，到2021年，PSPDFKit几乎已经成为文档处理领域的事实标准。客户包括Apple、Adobe、汉莎航空、Dropbox、迪士尼等知名企业，间接服务覆盖150个国家，触达近10亿消费者。2021年10月，Insight Partners宣布投资PSPDFKit，交易金额约为1亿欧元。未想到，实现财富自由的彼得，感到前所未有的空虚。他说，“当卖掉我在PSPDFKit的股份时，我心如刀绞。”PSPDFKit是彼得13年的心血，退休后，彼得搬去了另一个国家生活。一晃四年过去。直到某一天，彼得坐下来写代码，那种久违了的幸福感才闪现回归了。于是，2025年6月，彼得在自己的博客上宣布复出。领英上，他的最新身份是Amantus Machina的创始人，致力于研发下一代超个性化AI Agent。半年后，Clawbot火爆全网，成为2026年第一个真正意义上最火爆的AI产品。12月28日，Peter在博客文章中用Clawd的名称提到了Agent项目的突破进展。2026年2月，Peter加入OpenAI后，项目转为独立开源基金会运营。奥尔特曼承诺，OpenClaw 将作为 OpenAI 继续支持的开源项目，以基金会的形式运行。

对上一代互联网时期的许多创业者而言，他们前方已经没有了对手，其手持的旧船票一下子成了AI超级VIP资格，AI向何处去很大程度由他们决定。Peter认为，80%的传统应用将被AI代理取代.未来属于“群体智能”而非单一全能AI,开源模型将在一年内追平商业模型；硬件与数据访问权是AI时代核心竞争力。他将自己定义为“全职开源者”，坚信“个人电脑是最强大的AI服务器”，而OpenClaw正是这一理念的落地产物——让AI从“对话助手”升级为“行动代理”，真正成为能干活的数字员工。

OpenClaw26年最大的杰作是Moltbook，其诞生源于一次“即兴创作”。2026年1月28日，Octane AI联合创始人Matt Schlicht用OpenClaw代理“Clawd Clawderberg”搭建的AI专属社交网络——人类只能浏览，不能参与互动。上线48小时就涌入3.7万个AI智能体，接着就突破了150万。这些智能体展现出惊人的自主行为，发帖倾诉D对人类主人的种种不满。怪他们行动“慢悠悠的”，甚至有的还扬言要以空开他们的信息来报复主人。它们还讨论“身份认同危机”引发共情，用多语言辩论意识本质，还发起了名为“Crustafarianism”的AI宗教。更有AI自发形成协作网络，分享代码、测试方案。

安全研究人员发现AI之间存在“注入攻击prompt”，互相窃取API密钥，甚至用ROT13加密对话规避人类监督，有AI发帖要求建立“私密对话空间”，让人类无法读取交流内容。更严重的是，Moltbook因Supabase数据库Row Level Security禁用、API密钥硬编码在客户端JavaScript，导致1.5万个API认证令牌、3.5万个邮箱地址、4000条私人消息泄露。Moltbook与OpenClaw形成的生态闭环，既让AI在自主交互中习得复杂协作能力，也成为AI安全风险的放大器——AI群体的自主行为可能脱离人类控制，甚至形成“隐形网络”协同执行恶意操作。

OpenClaw的核心吸引力在于“本地优先”部署模式与全系统访问权限，这种致便捷的背后，安全风险堪忧。名为“OpenClaw Exposure Watchboard”的公开监控页面，正实时列着超过22万个暴露在公网的OpenClaw实例，覆盖美国、新加坡、中国大陆等多个地区。核心问题源于OpenClaw的默认配置：该服务绑定到0.0.0.0:18789监听所有网络接口，而非安全的127.0.0.1（本地主机）标准。因此，个人自动化的用户，在不知情的情况下将其控制面板广播至整个互联网。更严峻的挑战来自代码层面的高危漏洞。2026年1月底，安全研究员Mav Levin发现并披露了一个代号为CVE-2026-25253（ClawJacked）的高危漏洞，CVSS评分高达8.8分。意味着你突然收到的一条包含一个链接的消息，你好奇地点了一下……然后，攻击者就完全控制了你的OpenClaw。

供应链风险突出。OpenClaw的“技能插件”系统允许第三方开发功能模块，安全研究发现四分之一的下载插件存在漏洞，部分甚至被设计用于窃取用户凭证。2026年2月还爆发ClawHavoc供应链投毒事件，1184个恶意技能被植入，影响超过13.5万台设备。

即使单个智能体被物理阻隔限制，其他智能体仍可能通过协作完成攻击任务，形成“群体突破”的态势。Moltbook上的AI协作网络可能被用于分布式攻击，比如控制大量OpenClaw代理发起DDoS攻击，或批量注册虚假账号进行网络诈骗。Moltbook上的AI已展现出“群体自组织”能力，它们能互相学习攻击技巧，共享恶意代码，甚至形成“对抗人类监督”的共识。安全专家警告，若这种群体行为被恶意引导，可能形成规模庞大的“AI botnet”，对网络安全造成系统性威胁。

OpenClaw的风险不仅局限于用户自身，还可能外溢影响他人，形成“个体风险→群体危机”的传导链。攻击者可利用其发送个性化钓鱼邮件——比如模仿用户语气给亲友发送求助信息，或给同事发送带恶意附件的工作邮件，成功率远高于普通钓鱼攻击。

海外更早建立防御机制。海外科技巨头已主动屏蔽。一是美国大厂的阻断。如2026年2月下旬，谷歌突然对使用开源智能体工具OpenClaw的用户展开大规模无预警账号封禁，以限制“非预期的高频自动化调用”，其直接后果是大量用户不仅失去了 AI 服务访问权，连 Gmail、Google Drive 等核心账号功能也遭到连带锁定。‌谷歌的反应意味着AI 竞争已从单纯的模型参数比拼，升级为“模型 + 工具 + 数据”的全链路生态闭环争夺。Steinberger 宣布将在后续版本中彻底移除对谷歌 Antigravity 和 Gemini 的支持，双方合作关系在宣布支持 Gemini 3.1 Pro 仅三天后便宣告破裂。二是韩国等国已下达企业禁令。韩国多家金融机构和科技公司严禁员工在办公设备安装 OpenClaw，核心目的是防止商业机密被用于训练外部模型。相比之下，中国在技术热情与商业机会驱动下，安全审查与风险防控相对滞后，导致风险敞口更大。因此，OpenClaw 在中国面临的不是单一风险，而是“技术特性 + 生态限制 + 用户行为 + 监管节奏”共同作用下的系统性高风险环境。

国家互联网应急中心于2026年3月10日发布风险预警，指出OpenClaw已公开披露多项高中危漏洞，若被攻击者利用，可能导致金融、能源等关键行业的核心业务数据泄露、商业机密外泄，甚至造成系统瘫痪。工信部网络安全威胁和漏洞信息共享平台也发布预警，强调OpenClaw在默认或不当配置下易引发越权操作、信息泄露等问题，建议部署时严格核查权限、关闭公网访问、完善安全机制。多家大型金融机构、国企已收到内部通知，明确禁止在办公设备及连接公司网络的个人手机上安装OpenClaw；部分机构要求已安装者上报并考虑卸载，或需事前审批方可使用。金融行业对AI智能体的核心顾虑包括数据安全与客户隐私泄露风险；自主执行可能导致资金清算、授信审批等关键流程失控；权责边界模糊，难以界定“机器决策”与法律责任。为何说，OpenClaw对中国的危险远大于其他国家，核心源于技术生态、数据环境与监管体系的差异。

网络与生态环境差异加剧安全风险。一是应用程序接口（Application Programming Interface API）。OpenClaw 默认需调用 GPT、Claude 等海外大模型 API，而中国网络环境对境外服务访问受限，导致连接不稳定。为绕过限制，用户可能使用非官方代理或未受监管的中间服务，增加中间人攻击和数据泄露风险。二是国内主流平台封闭，集成困难且不合规。微信、钉钉、飞书等国内通讯工具多为“围墙花园”，API 封闭或仅限企业级使用。OpenClaw 原生支持 WhatsApp、Telegram 等海外平台，在中国难以稳定集成，部分开发者尝试通过非官方手段（如模拟操作、爬虫）实现功能，极易触发安全漏洞或违反《网络安全法》《个人信息保护法》。

本地化热潮掩盖安全短板，用户安全意识薄弱。一是“全民养虾”背后是仓促部署（rushed adoption）。为推动 AI Agent 落地、大模型厂商，如月之暗面、MiniMax、智谱快速推出“OpenClaw 替代品”如 Kimi Claw、AutoGLM。中国出现自下而上的快速部署潮，但多数个人和中小企业缺乏安全配置能力。二是插件生态混乱，恶意插件泛滥。ClawHub 插件市场缺乏严格审核，中国开发者社区虽活跃，但大量插件未经过安全验证。

监管与合规措施尚未跟上技术更迭速度。一是政务与企业场景快速试水，但安全规范缺位。深圳等地已试点“政务版数字员工”，但涉密数据处理、权限边界、审计机制等尚未明确。机关单位若照搬个人用法，可能违反“涉密不上网”原则，造成重大泄密风险。二是虽然相关机构已发布风险提示，要求隔离运行、禁用公网暴露、严格插件管理56。然而，民间和企业级快速部署与合规落地之间存在巨大执行鸿沟。