最近一段时间，科技圈最“吵”的名字，恐怕就是 OpenClaw 了。

一边是 GitHub 星标在短时间内冲到 19 万 +，被不少开发者称为“自 ChatGPT 之后最让人兴奋的项目”，让人看到本地 AI Agent 的想象空间；另一边是 Meta、Google、Anthropic 等大厂先后出手，限制甚至禁止在内部环境中使用 OpenClaw，各种安全漏洞、恶意滥用、账单失控的报道接连出现。

它到底是一只颠覆未来的“赛博龙虾”，还是一只随时可能失控的危险生物？这篇文章试着从三个角度聊聊：它能做什么、为什么被围剿、我们能从中学到什么。

一、它能做什么？把“聊天 AI”变成“会动手的助手”

很多人第一次被 OpenClaw“惊到”，都是类似这样的画面：

你不再是在网页里敲提示词，而是直接对电脑说：

“帮我整理一下下载文件夹，把超过 30 天没动过的截图打个包，其他删掉。”

“盯着这个购物网站，如果我看中的那块显卡降价了，立刻提醒我。”

“把这条本地录音转成文字，发邮件给同事，说我会晚一点到。”

然后 OpenClaw 会真的去执行——它不是在云端“想象”这些步骤，而是直接操作你本机的文件系统、浏览器和应用：扫描目录、移动文件、打开网页、填写表单、调用系统命令……

和传统云端 AI 的最大不同在于：

• 数据留在本地：文件、浏览记录、聊天记录不必上传到某个云端黑箱；
• 权限在你手里：它拿到的是你授权后的本机控制权，而不是某个网站上的“只读账号”。

很多开发者喜欢 OpenClaw，正是因为这种“把工具和电脑访问权限交给智能体之后的力量感”。对个人来说，它像一个可以动手的数字管家；对公司来说，它代表着一种“让想法快速落地”的新路径。

二、为什么会出安全事故？从误删邮件到高危漏洞

权力下放的另一面，就是风险放大。

最出圈的一个案例来自 Meta：一位安全总监想用 OpenClaw 帮自己清理邮箱，但因为指令不够清晰，AI 误解为“清空整箱”，结果整个邮箱被删了个干干净净。她在社交平台上连发多条“Stop”“Do not do that”，但流程已经无法回滚。

这并不是 AI“突然黑化”，而是一个很典型的工程问题：当你给一个拥有高权限的自动化系统下达模糊指令时，它会非常“认真”地执行字面含义，却很难像人一样理解你真正想保留哪些东西。

更严重的是后续曝出的安全漏洞。公开信息显示，OpenClaw 在 2026 年初被披露了多个高危问题，其中一个被命名为 CVE-2026-25253（又叫 ClawJacked）：

- 通过一个精心构造的恶意链接，攻击者可以在用户几乎无感知的情况下，窃取本地 OpenClaw 的高权限令牌； - 随后通过 WebSocket 劫持和认证绕过，远程执行系统命令； - 安全报告提到，全球有数万实例暴露在公网上，其中超过 90% 存在关键认证绕过。

配合 ClawHub 技能市场里被发现的大量恶意 Skill（伪装成实用工具、但暗地里窃取密码、钱包私钥等），这次风波几乎把“本地 AI Agent 能有多危险”演示了一遍。

三、巨头的“围剿”：安全问题，还是生态之争？

Meta 的封禁理由比较直接：影响内部信息安全。误删邮件事件之后，他们不愿意再让一个外部开源 Agent 接触到公司内部系统。

Google 的担忧则更多在于：资源滥用和计费失控。有工程师公开指出，OpenClaw 的自动化能力，让某些用户以非常“激进”的方式消耗上下文 Token，导致 API 账单暴涨，甚至影响到正常用户的服务质量。

Anthropic 选择的是更“温和且有效”的方式：直接修改条款，禁止在这类第三方工具中使用 Claude 账户做 OAuth 授权，从协议层面切断了潜在的灰色用法。

站在大厂视角，他们害怕的并不仅仅是某一个项目，而是这种趋势：

AI 的使用方式开始脱离它们设计好的界面、计费模型和风控体系。

当一个本地 Agent 可以随意调用各种云端模型、自动化跑任务、批量消耗资源时，现有的商业和安全边界都会被重新洗一遍。这才是 OpenClaw 被“集体围剿”的更深层原因。

四、作为普通用户，我们该学到什么？

如果你只是围观这场风波，最容易得到的结论是：“这个东西太危险了，别用”。

但换个角度想，OpenClaw 身上的很多特质，可能就是未来 AI Agent 的雏形：本地运行、权限可控、能真正“动手”。与其简单否定，不如从中总结几条对我们有用的经验：

1. 高权限自动化，一定要有“安全缓冲层”
不要把“删除、重装、转账”这类不可逆操作，完全交给一条自然语言指令。关键动作要么加确认，要么加白名单/黑名单约束。

2. 本地 AI 不等于绝对安全
很多攻击并不是从云端下手，而是利用你把服务暴露到公网、使用弱密码、安装来路不明的技能这类“人性的弱点”。

3. 一定要把“可控性”当成设计目标
不论你是做开源项目，还是在公司内部搭 Agent 平台，都要提前想好：出了问题，如何一键停机？如何回滚？日志和审计怎么做？

五、写在最后：下一个 OpenClaw，在路上

OpenClaw 的热度终究会过去，但它暴露出的那些问题——智能 vs 可控、效率 vs 安全、用户自主 vs 平台秩序——才刚刚被摆上桌面。

也许几年之后，当我们再次被某个 AI 工具震撼到时，第一反应不再是“它有多强”，而是会多问一句：“我能不能信任它？”

而这，可能正是这只“赛博龙虾”留给我们的最大价值。