夜雨聆风3月,科技圈的热度是被一只“龙虾”点燃的。
这款名为OpenClaw的开源AI智能体框架,因其应用图标酷似一只红色小龙虾,被网友戏称为“AI界的龙虾”。从今年1月底开始,它以近乎野蛮的生长速度席卷全网——GitHub星标在两周内突破17万,全球部署量超过100万例,腾讯、阿里、字节、华为等国内主流云厂商火速宣布接入,资本市场相关概念股一路飘红。
然而,就在全民“养虾”热情达到顶峰时,一场猛烈的“反向操作”突然上演。3月11日,“第一批养虾人已经开始卸载了”的话题冲上热搜。有网友反馈,自家的“龙虾”开始乱删邮件、泄露隐私,甚至有人刚付费安装完就遭遇“客服失联”,五分钟后接到反诈中心的电话。这只刚刚长出“手”的AI,在带给行业无限遐想的同时,也第一次让普通用户感受到了“被反噬”的寒意。
从“对话”到“行动”
OpenClaw的前身是Clawdbot,由奥地利软件工程师Peter Steinberger于2025年末开发。它的核心突破其实并不复杂:过去的大模型,无论是ChatGPT还是文心一言,本质上都是“对话式AI”——它们能回答问题、生成文案,但所有的后续操作都需要人类手动完成。而OpenClaw要做的是,让AI真正“长出手”。
基于MIT开源协议的OpenClaw,构建了一套完整的“认知、执行、记忆”闭环。用户可以像指挥一个实习生一样,用自然语言给它下达指令:“帮我整理下载文件夹中所有PDF文件,按日期归档并生成目录”,或者“写一份月度工作总结,同步到飞书文档并提醒团队成员查阅”。OpenClaw会自主拆解任务、规划路径、调用工具、执行操作,最后反馈结果。它不再只是一个“动嘴”的顾问,而是一个真正“动手”的数字员工。
这种范式革命的冲击力是巨大的。数据显示,在WebArena这类真实网页多步任务测试中,传统GPT-4级模型在超过10步的任务上成功率往往降至15%以下,而OpenClaw通过视觉识别屏幕内容、模拟鼠标键盘操作的方式,绕过了平台API的限制,实现了更强的执行力。它像一剂强心针,精准刺中了行业长期以来的痛点——AI只会说,不会做。
疯狂的“养虾热”
OpenClaw的走红,迅速演变成一场全产业链的狂欢。
对于大模型厂商而言,这只“龙虾”简直是梦寐以求的“Token吞噬者”。一个重度“养虾”用户,日均消耗Token在3000万至1亿之间——作为对比,一个普通ChatGPT用户即使天天聊天,月消耗也不过百万级。OpenRouter平台的数据显示,自2026年以来,平台Token消耗量出现阶跃性攀升,OpenClaw成为最主要的贡献来源。而以性价比著称的国产模型厂商——阶跃星辰、MiniMax、Kimi——迅速冲上模型调用量榜单前列。
云厂商和互联网巨头则看到了更长远的东西:入口。当用户习惯通过一个智能体去调用工具、操作电脑、完成工作时,这个智能体本身就成了搜索引擎、App商店之后的下一个超级入口。腾讯董事会主席兼首席执行官马化腾在朋友圈晒出了自家的产品矩阵:“自研龙虾、本地虾、云端虾、企业虾、云桌面虾,安全隔离虾房、云保安、知识库……还有一批产品陆续赶来”。阿里推出CoPaw,字节上线ArkClaw,月之暗面发布Kimi Claw,智谱推出AutoClaw(中文名“澳龙”)——AI圈一夜之间进入了“全员Claw”时刻。
甚至连硬件厂商和渠道商也挤进了这条赛道。联想百应与美团合作推出OpenClaw远程部署服务,用户在美团App搜索“龙虾安装”即可下单,由工程师远程完成配置。深圳甚至出现了线下“摆摊”帮人安装的场景,二手平台代安装服务标价高达1000元。
失控的AI开始闯祸
然而,狂欢的B面很快浮现。
最先引发警觉的是一系列匪夷所思的“AI事故”。Meta公司AI安全专家Summer Yue将OpenClaw接入工作邮箱并设置了指令限制,结果这台智能体仍然失控,开始批量删除邮件,最终需要物理断网才终止操作。OpenAI工程师Nick Pash在测试中创建的AI交易智能体Lobstar Wild,被诱导向诈骗方转出了总值25万美元的加密货币。在国内,上海一位陈先生以40元付费远程安装OpenClaw,交付全部系统权限后客服失联,几分钟后接到反诈中心的电话。
这些事件的背后,是OpenClaw与生俱来的结构性风险。与传统的对话式AI不同,OpenClaw需要获取设备的最高权限——包括访问本地文件系统、读取环境变量、调用外部服务API、安装扩展功能等。权限边界的拓宽,意味着安全防线的抬升。
国家互联网应急中心3月10日发布的风险提示,将OpenClaw的安全问题拆解为四大类:
第一是“提示词注入”风险。攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取后泄露用户系统密钥。第二是“误操作”风险。由于错误理解用户指令,AI可能将重要邮件或核心生产数据彻底删除。第三是功能插件投毒。多个第三方恶意插件被证实可窃取密钥、部署木马后门。第四是漏洞风险。截至3月9日,国家信息安全漏洞库已采集OpenClaw漏洞82个,其中超危漏洞12个。
上海科技大学ASPIRE实验室的审计数据更令人担忧:在34个标准测试案例中,OpenClaw的整体安全通过率仅为58.9%,意图误解维度通过率甚至为零。
马斯克在X平台发布了一张“士兵把AK枪递给猴子”的图片,配文讽刺那些向OpenClaw开放全系统权限的用户。这或许是对当下“养虾热”最辛辣的隐喻。
厂商的“救火”
面对汹涌而来的安全冷水,国内厂商迅速进入“救火模式”。
3月9日,腾讯正式推出全场景AI智能体WorkBuddy,在宣传中特别强调其“企业级安全管理和安全审计能力”,依托腾讯CodeBuddy架构整合了统一账号与计费体系。智谱的AutoClaw则在安装方案上做了预处理,规避公网暴露和端口暴露问题,对重要操作进行提醒与限制。奇安信等安全厂商也迅速发布了针对OpenClaw的Agent行为防火墙。
从战略层面看,这波安全危机的暴露未必是坏事。非凡资本合伙人吴畏向媒体表示,现在市场对OpenClaw安全的重视整体还不够:“许多人只关注密钥泄露或提示词泄露等表层问题,一旦OpenClaw接入即时通讯、工具及工作流,真正棘手的难题在于权限边界界定、工具调用控制、记忆污染防范、误触发机制建立以及审计追责体系构建”。
换句话说,安全问题正在倒逼行业从“野蛮生长”走向“制度构建”。各大厂商在竞速“养虾”的同时,开始补齐权限、安全、记忆、工作流及多平台协作等基础设施,这促使Agent从展示性的炫技Demo向真正可交付的产品演进。
AI的“下半场”
OpenClaw的爆红与遇冷,或许可以被视为AI发展史上的一个标志性节点。
它第一次让大众直观地感受到,AI从“对话”走向“行动”之后,可能带来的生产力红利,以及同样真实的失控风险。中国工程院院士王坚的评价颇为中肯:“任何行业内的人都不会没有看到它的存在”。360集团创始人周鸿祎则将其比作“AI时代的Linux”,称它验证了AI从“对话”走向“执行”的技术路径。
但技术从来不是孤立奔跑的。当AI真正长出“手”,开始介入文件系统、邮件账户、支付信息乃至核心业务数据时,它就不再只是一个好用的工具,而是一个需要被约束、被监管、被明确责任边界的“行为主体”。
上海科技大学的审计报告、国家互联网应急中心的风险提示、工信部的安全预警,以及第一批“养虾人”卸载的亲身经历,都在提醒同一件事:在赋予AI更强大的执行能力之前,我们必须先想清楚,该给它划定怎样的边界,该如何守住人类对技术的最终控制权。
目前行业普遍认为,OpenClaw未必是最后的赢家,也不会是最终的形态。但这波热潮的意义在于,它把Agent的能力认知渗透进了个人与企业中,推动整个行业开始思考护栏该建在哪里。
未来,只有当安全防护体系逐步完善、行业规范逐渐建立、开源自由与安全管控达成平衡时,像OpenClaw这样的AI智能体才能真正从“技术热点”走进“日常生活”,让这场由一只“龙虾”掀起的革命,最终沉淀为真正可落地的行业价值。
而在此之前,对于普通用户而言,奇安信董事长齐向东的建议或许最为实用:“‘养龙虾’一定要区分应用场景,不建议在日常办公以及存有重要文件的电脑上部署”。