OpenClaw（昵称“小龙虾”）突然爆火。它以红色的龙虾图标示人，主打“对话+执行”功能：用户通过聊天框与AI沟通，AI不仅给出建议，还能在本地电脑上自动完成文件整理、发邮件、操作浏览器、运行脚本等任务[1][2]。在不到几周时间里，OpenClaw的GitHub星标迅速飙升超过16万（有报道25万），其“能干实事”的定位被看作AI从只“动口”到主动“动手”的标志[3][2]。

技术原理：赋予AI“双手”的新范式

OpenClaw官网

OpenClaw本质上是一个本地执行的代理框架，其“大脑”仍然是云端的大语言模型（如GPT、DeepSeek、Kimi等）。与传统ChatGPT这类只能返回文本建议的模型不同，OpenClaw在用户授权的前提下，将AI输出的文本指令翻译成对系统的操作[2][4]。例如，当模型建议“请整理这个文件夹并发邮件给我”时，本地的OpenClaw代理会调用系统权限（管理员权限、文件访问、辅助功能等），自主打开文件夹、批量重命名文件、启动邮件客户端并发送邮件，完成整个多步骤任务[4][5]。

这种将“思考”（云端模型）与“行动”（本地执行）分离的新模式带来了关键的安全范式转变：原本云端模型只能输出文本，被视为安全的沙箱；而现在，AI可以真实地操作用户设备，风险被“分散化”到每个终端[6][7]。换句话说，一个针对模型的恶意提示词，如果成功钓鱼到模型输出恶意操作文本，它只能危害该会话所连接的本地OpenClaw代理，而不会像传统漏洞那样瞬间波及所有用户设备[6][7]。当然，这并不是说风险消失了：如果本地代理安全性不够严谨，或用户盲目信任，一次针对某用户的提示词注入攻击仍能全盘控制该设备（删除文件、泄露数据、植入木马等）。安全专家指出，OpenClaw缺乏默认的沙箱和审计机制，错误配置甚至可能让攻击者完全控制系统[8][9]。总的来说，这种“天下一盘棋”到“各自为战”的转变，使得风险从不可控的全球性灾难变为可管理的局部风险，技术责任也从模型提供者下沉到代理开发者和终端用户[6][10]。

多Agent系统架构

安装难题：为何人人“养虾”却难得“上钩”？

尽管理念新颖，OpenClaw的部署门槛极高。它要求在本地环境安装各种依赖：Git、特定版本的Node.js（≥22）、Windows的VC++运行库、macOS的Xcode命令行工具等，缺一不可[11]。更麻烦的是，由于项目最初托管在海外GitHub，中国大陆用户在下载时常遇到网络超时或依赖包拉取失败的情况。此外，OpenClaw需要高权限运行，安装时经常被系统安全策略或杀毒软件拦截[12][13]。加之项目频繁改名（从“Clawdbot”到“MoltBot”再到OpenClaw），文档和命令混杂，让许多非专业人士摸不着头脑。

OpenClaw官方安装指南

正是这些复杂依赖和权限要求，让OpenClaw远不是可随意部署的消费级软件。很多普通用户在安装过程中遭遇卡壳，甚至有工程师在家庭环境中尝试部署时一整天未果。媒体报道中有工程师在个人电脑上装好OpenClaw后，一晚上数句闲聊就耗光100万Tokens（约3元人民币）[14]，更别提实践中遇到的种种权限误删问题。这种“门槛即生意”的现象，催生了大量技术外包和服务需求：腾讯云、阿里云、华为云等推出了一键部署服务，“卖铲子”的生意红火。

厂商反应：云端部署与生态整合

阿里云帮助中心：部署 OpenClaw

腾讯云部署

正如多家报道所示，各大科技厂商迅速跟进，推出基于OpenClaw的产品和一键部署方案[15][16]。字节跳动旗下火山引擎推出了ArkClaw——开箱即用的云上SaaS版OpenClaw，无需复杂配置，用户只需打开网页便可在线使用AI助手[16]。腾讯则发布了“全场景AI智能体”WorkBuddy（兼容OpenClaw功能）和面向个人的QClaw。其中，WorkBuddy可无缝对接QQ、飞书、钉钉等办公工具，让用户只需发出语音指令，就能让AI在办公电脑上自动完成资料检索、写作等任务[17]；而QClaw专为手机环境设计，一键安装后即可通过微信远程控制电脑上的OpenClaw，本地就能调用5000多个技能[18]。阿里推出了“团队版OpenClaw”HiClaw和个人工作台CoPaw（支持云端或本地部署，集成飞书、钉钉等平台）。百度、京东云、美团等也在紧急跟进，提供各种云部署服务和SDK接口。甚至手机厂商也不甘示弱：华为HarmonyOS推出了“小艺Claw”（开放平台新增OpenClaw模式），支持一键唤醒AI助手和多设备协同；小米、荣耀等品牌也在内部加速与类似技术的整合[15][19]。

阿里云开发者社区发布的 OpenClaw 教程

这些厂商行动的核心目的无二：降低使用门槛、锁定用户、消耗Token。一位券商分析师总结道：“OpenClaw本身免费，用户养小龙虾需要的算力和模型调用是收费的，Token的消耗量比普通生成式应用高百倍甚至千倍[20]。大厂提供的一键部署，将用户引导到自家云平台，通过后台计费模式来获取收入”。例如，微软（背后支持OpenAI）和国内模型厂商都从中受益。另据报道，工信部的超级计算平台对OpenClaw用户提供了限时的免费Token额度，并公布仅0.1元/百万Token的续购价格，折射出各方对抢占“AI算力入口”的激烈竞争[21]。

花费与收益：Token奔向何处？谁在赚钱？

OpenClaw的巨大Token消耗，为底层算力与模型厂商带来了前所未有的营收增长。根据媒体分析，一个持续执行复杂任务的OpenClaw助手每天要消耗上百万到上千万的Tokens，费用轻松突破百元人民币[22][23]。这笔钱最终流向云服务器提供商（如阿里云、腾讯云）以及拥有底层大模型的厂商。国内的通用大模型（如MiniMax M2.5、Kimi 2.5、智谱星辰Step等）由于成本相对较低，在OpenClaw应用场景中获得了大量调用，业绩骤增[22]。同时，有些“养虾人”自身也从中获益：不少人提供上门安装服务（闲鱼、瓜子等二手平台上上门安装费从99元到399元不等），还有的开发技能插件、出教程、做咨询培训，形成了围绕OpenClaw的产业链。甚至有自媒体调侃：“上门安装月入26万元”的传闻虽然夸张，却反映出这个市场的火爆程度[24]。

Tokenization示意图

补充：为什么不直接“调用开源模型”？——模型类别、Token 成本与执行链路的澄清

1) “开源/免费”并不等于“零成本可替代”

首先要纠正一个普遍误解：并不是所有被称作“开源”的模型都能让用户完全免费、离线、随意使用。以常被讨论的两类代表为例 —— 一类是以社区或研究为主的开源推理实现和模型（例如 DeepSeek），另一类是由公司训练并面向市场提供服务的通用模型（例如云端的 GPT，以及国内的 Kimi、MiniMax、智谱星辰Step 等）。它们的“免费”与否、以及适用场景有本质差别：

开源模型（或开源实现）：代码可得，但要跑起来需要 算力（GPU/TPU）、内存、优化（量化/蒸馏）和维护；把模型放到桌面或边缘设备往往需要专业工程工作，且推理延迟/质量/安全性可能落后于大型商用模型。开源并不自动消除算力、带宽与运维成本。

云端商用模型：提供“即用”的高质量推理、低开发门槛、规模化安全机制与SLA，但按调用计费（即 Token 收费），且被封装成受控 API，不能随意访问用户系统（这是一个安全设计）。

所以很多产品/用户选择混合策略：把“意识层”或“高质量理解”用云端模型完成，把“执行层/本地化控制”放在本地代理（如 OpenClaw）来跑。但这个桥接本身会带来大量调用与上下文交换（也就是 token 消耗）。

2) 两类模型（云端大型模型 vs 国内轻量/本地化模型）在本质上的区别

把上面两类的关键差异拆成几个工程维度，有助于理解为什么选择并非只看“是否开源”：

规模与训练数据：云端旗舰模型通常训练规模更大、数据覆盖更广，因而在复杂推理、长上下文连贯性上表现更好。国内轻量模型/成本优化模型则在参数量或预训练数据上做折中，靠工程优化（量化、结构改造）弥补差距。

指令调优与安全：商用模型通常做了专门的指令调优、对抗训练与安全过滤；开源模型在这方面通常需要用户自己做二次工程。

推理效率与部署要求：大型模型需要专用硬件（A100/其它GPU），而某些国产小模型可以在 CPU / 小 GPU 上用量化技术推理，但效果和能力不同。

可维护性与生态：商用模型背后有运营、监控、版本管理与隐私合规支持；而开源路径需要团队持续维护。

综上，“不直接只选开源”的原因往往是工程与产品折衷——质量、延迟、开发成本、合规与维护，而不是简单的“谁免费谁好”。

3) Token 是什么？为什么 OpenClaw（或任何 agent）会“烧掉”大量 token

Token，可把它想象为模型处理文本的最小单位（英文里通常若干字符对应 1 token，中文常常每个字符接近 1 token——不同 tokenizer 会有差异）。使用云端 API 时，每次请求的成本 = 输入 tokens + 输出 tokens（包括系统提示、上下文历史、检索到的文档片段、模型回                                                

 AI Agent调用链图

Agent Execution Loop    AI Agent的本质

为什么一位个人用户会“意外”看到巨量消耗？常见原因有：

长上下文被反复传输：一个 agent 做决策需要把“当前状态 + 历史对话 + 要处理的文件内容”拼成 prompt 发给模型。若文档很长，每次都把全文当作上下文发出，tokens 迅速累积。

链式调用：agent 常把一个任务拆成多个子任务（检索→摘要→规划→执行），每个子任务都可能触发一次或多次 API 调用。

循环/自动化触发：某些自动化流程会在短时间内多次调用（例如轮询、自动化脚本测试、错误重试），累积效应显著。

嵌入检索与相似度计算：把文件切片做检索，每次也要把片段送进模型或向向量服务查询。

调试/试错成本：Early-stage 的技能/流程需要大量交互调试，提示词和流程未稳定前调用量非常大。

举一个保守的工程示例，便于读者感知量级（数字基于常见 token 估算）：

假设一次任务需要将一份 ~5,000 字的中文文档作为上下文（≈5,000 tokens），模型返回 1,000 tokens 的结构化结果或操作指令；每次完整交互约 6,000 tokens。

若 agent 每天执行 20 次类似交互：6,000 × 20 = 120,000 tokens/天。（示例计算：一次交互 tokens = 5,000 + 1,000 = 6,000；20 次 → 120,000。）这个数量级不是罕见情况——尤其当多个技能并行、并且每个技能都有长文档输入时，很快就达到十万乃至百万级 tokens（从而产生显著费用）。我在后台把计算示例做了数值检验（单次 6,000 × 20 = 120,000 tokens），可以把这段数字直接放入稿件以给读者直观印象。

（注：不同提供商单价不同；示例不等于计费精确值，仅为量级说明。）

4) Token 的钱最终都去哪儿（价值链）

当用户为 Token 付钱时，钱通常分流到几个环节：

算力提供方（云/GPU 租用）：模型推理需要 GPU/CPU，云厂商收取计算与带宽费用（大头）。

模型提供方（API/模型权利方）：若通过 API 调用，提供方收 token 费用或按请求计费（模型研发、持续训练、优化、合规成本）。

平台/中间件：像 ArkClaw、WorkBuddy 这类把 OpenClaw 包装成一键 SaaS 的厂商，会在上游费用上加价，或通过订阅/套餐分摊成本并获取毛利。

增值服务方：代装、插件开发、定制技能、运维、培训等民间服务提供者，从一键安装费、开发费或订阅中获利。所以当你看到“个人一天烧掉成百上千美元”的现象，实际是算力＋模型调用＋平台溢价＋第三方服务费的合并。

5) 为什么 OpenClaw 能直接“控制”电脑？为什么我们不能直接把大模型给出权限去调用本机？

关键在于“执行主体”与“权限边界”的区分：

OpenClaw（或任一 agent 框架）实际是运行在本地的程序/守护进程：它接受自然语言到动作映射的逻辑（由 agent 框架解读云端模型输出并调用本地 API、脚本、浏览器自动化工具），因此只要程序拥有系统权限（管理员、文件读写、模拟输入等），它就能操作系统。换言之，OpenClaw 是“解释器 + 执行器”——模型产出文本（建议/命令），本地执行器把这些文本转换为实际系统调用和操作。

为何不能把大模型“直接”赋予系统权限？ 两种方式：① 把模型本地化跑（需要强大的本地算力与运维），或者 ② 让云端模型通过某种远程执行代理直接控制你的机器（需要把你的机器暴露给云端）。两者都有问题：① 成本与可行性问题（普通用户缺 GPU），② 极高的安全风险（把机器接口暴露给外部服务等同于放弃控制权）。因此工程实践上采用的是“本地执行器 + 云端或本地化模型”的桥接方案，但这正是安全链路最脆弱的点：一旦执行器的权限配置或输入校验不足，模型生成的“恶意/错误指令”就能在本地生效。

6) 风险并未被根本规避，只是“分散”与“可追责化”

你在稿里已有很到位的论断：风险并未消失，只是从“可以波及全体云端用户的广域风险”转为“单机或单用户的局部风险”。补充两点要点供稿件强化论据：

攻击面从“单点（云端模型）→ 多点（本地执行器）”转移，但每个点的危害仍然真实且可能严重（数据泄露、密钥暴露、勒索、持久后门等）。

责任链拉长且更模糊：发生问题后，责任可能在模型提供商、执行器开发者、平台打包方与最终用户之间互相推诿，合规与赔偿变复杂。

从冲动到理性：为何“养虾”又要“弃虾”

AI如何控制电脑 Puppeteer architecture为例

安装活动的现场

然而，激动人心的“养虾狂欢”也在短时间内遇到了理性回归。许多用户在亲身试用后，从兴奋转为失望，最终卸载OpenClaw。背后的原因多种多样：首先是成本与价值不匹配。正如一位程序员在社交媒体描述的那样，他在私人邮箱交给OpenClaw处理时，连续取消指令后发现“眼睁睁看它以极快速度删除收件箱的邮件”，最终不仅丢失了信息，还可能需承担高额的Token账单[25]。另一个程序员反馈，安装第三天因API密钥泄露竟收到1.2万元的Token账单，这让用户对“小龙虾”自动化的方便付出了血的代价[26]。有案例显示，用户一天的操作就可能花掉200美元以上，这在很多人看来远超自己动手的成本[23][14]。

其次是部署之后的维护成本。OpenClaw要发挥威力，需要用户投入大量时间去设计指令流程、调试技能包。许多人在下载安装后发现，要让智能体稳定可靠运行，几乎要像“二次编码”一样不断调试。于是，AI虽替代了手动操作，但用户不得不把精力花在“调度与调试”上。一位安全专家评价：“当前OpenClaw更像极客玩的半成品，充满各种Bug和不确定性，本质上还不是成熟的消费级产品”[27][9]。

最后，是安全承诺与现实的差距。大厂虽然推出了封装版产品，但并不能彻底消除风险。当前安全专家提醒普通用户应谨慎使用OpenClaw，最小化授权，并避免在敏感场景（如网银操作）使用[6][9]。当出现因模型误解或恶意插件导致的数据损毁、隐私泄露事故时，责任归属也变得模糊不清——厂商只能保证“部署流程”的安全，却无法保证AI行为完全受控[6][10]。一旦发生文件被误删或密钥被窃的事故，用户往往只能自认倒霉。面对这些问题，不少人宁愿“回归自己掌控”，将小龙虾卸载，重拾传统的工作方式。正如快科技所调侃：“养龙虾卸龙虾，实在是自讨苦吃！”[28]。

不只是开源工具：OpenClaw的启示录

那么，OpenClaw是不是AI的终极形态？答案显然是否定的。它更像是一个关键的中间形态和概念验证。NVIDIA CEO黄仁勋曾高度评价OpenClaw为“我们这个时代最重要的软件发布”[29]，认为它标志着AI从“问答模式”向“代理执行任务”阶段的转变。的确，OpenClaw证明了“决策与执行分离”架构的可行性，也验证了市场对于AI“动手能力”的迫切需求[3][29]。但目前的OpenClaw还像第一辆笨重而危险的汽车：需要专家维护、缺乏完善安全保障，无法普遍适用。

未来真正的图景会更宏大：它可能包括多智能体协同，不同角色的AI团队合作完成系统级任务；包括具身智能，AI理解物理规则并操控实体机器人或设备；包括价值对齐，AI在决策时嵌入人类伦理和法律标准；还会有边缘计算的崛起，AI能力下沉到手机、家电等终端，实现即时响应和隐私保护。这些仍在发展中，需要新的理论、技术和法规加以支撑。可以预见，在未来几年内，类似OpenClaw这样的尝试还将不断出现，但它们都只是为人机协作新时代铺路的试验田。

风险与启示：恐惧与渴望之间

AI安全风险图 LLM Top 10 Risks

OpenClaw的狂潮提醒我们，人类对AI双手的渴望与恐惧交织。一方面，我们期待一个全天在线、全能的“数字助手”来解放生产力；另一方面，我们又恐惧AI失控会带来灾难性的后果。[29]的观点表明，新兴的AI Agent可能成为下一个操作系统级的“入口”，但这也意味着必须对其行为建立起坚固的安全框架。当前OpenClaw的经历告诉我们：技术民主化从来不是零成本的过程。下载和安装的艰难反映了技术普及的“阵痛”；卸载的抉择体现了普通人在风险面前的理性回归。各大厂商争先布局AI智能体，也是为了抢占未来人机交互的生态入口。最终，这场“养虾热”或许会降温，但它暴露的问题和带来的思考将长久影响行业走向：我们如何为AI的“手”设计既坚固又灵活的镣铐？又如何在“工具”与“代理”之间重构人与AI的关系？这些都将是未来十年人类与AI共生的核心命题。

参考资料：OpenClaw官方文档与社区文章[11][2]、北京日报报道[1][30]、媒体报道和技术博客[20][23][31][32][29]等。 These sources provide detailed accounts of OpenClaw’s features, industry response, user experiences, and security assessments.

[1][3][4][6][13][22][30]开源AI助手框架OpenClaw火了 这只“龙虾”养了也要防 

https://www.ncsti.gov.cn/kjdt/kjrd/rgzn_kjrd/202603/t20260310_240398.html

[2][5] 陈巍：“龙虾”们颠覆软件世界？（上）——OpenClaw（原Clawdbot）超深度分析 - 知乎

https://zhuanlan.zhihu.com/p/2010119008783987145

[7][8][21][23][27][29] 快科技资讯2026年03月11日Blog版-资讯中心-科技改变生活

https://news.mydrivers.com/blog/20260311.htm

[9][10][24][25][26][32] “养龙虾”的第一批受害者出现了！有商家推出代卸载OpenClaw服务：上门卸载299元，远程卸载199元__财经头条

https://finance.sina.com.cn/cj/2026-03-11/doc-inhqqyvt5583596.shtml?froms=ggmp

[11][12] OpenClaw是什么、OpenClaw能做什么？2026年OpenClaw介绍及部署保姆级图文教程（阿里云/Win11/MacOS/Linux）-阿里云开发者社区

https://developer.aliyun.com/article/1715779

[14][28][31] 部分小龙虾已惨遭人类弃养！网友自嘲养虾卸虾是自讨苦吃--快科技--科技改变未来

https://news.mydrivers.com/1/1108/1108596.htm

[15][17][18][20] “腾讯版龙虾”上线，腾讯市值重回5万亿

https://h5.ifeng.com/c/vivoArticle/v002bGoaAH5po-_zThuysT--NPRXUVcSSrwlrpbjwyesp0sjQ__?vivoBusiness=hiboardnews

[16] 开箱即用！字节火山引擎正式上线ArkClaw：打开网页即可养虾_新浪科技_新浪网

https://finance.sina.com.cn/tech/discovery/2026-03-09/doc-inhqknrq7033796.shtml

[19] 华为鸿蒙手机也能养龙虾了！何刚晒小艺Claw：一键唤醒、支持多端协同--快科技--科技改变未来

https://news.mydrivers.com/1/1108/1108345.htm