夜雨聆风
2026年AI圈最火的“小龙虾”非OpenClaw莫属。这个最初在程序员圈子流传的小众开源项目,凭借独特的“能说更能做”特质迅速走红全网,不仅GitHub表现惊艳——截至2026年3月初,星标数已突破25万,不仅创下GitHub历史上增长最快的开源项目纪录,总星标数甚至超越了Linux和React两大经典开源项目,还吸引了腾讯云、阿里云等大厂纷纷布局云端部署服务。它不是普通的聊天AI,而是能24小时常驻设备的“数字员工”——既能当贴心的私人管家,帮你处理琐事、提升效率,也因强大的执行权限暗藏安全隐患。今天就一文读懂这款现象级AI工具的核心价值、潜在风险与未来趋势。
1
OpenClaw是什么?
开源破局,打破AI“只说不做”局限
OpenClaw是一款开源自主AI智能体平台,核心逻辑是整合多渠道通信能力与大语言模型,打造具备持久记忆和主动执行能力的定制化AI助手。
区别于ChatGPT、Claude等被动式聊天机器人,OpenClaw会24小时常驻你的电脑或服务器后台,能跨应用读取本地文件、操控软件、编写运行脚本,真正实现“想法变行动”。其命名也暗藏巧思:“Open”代表开源、开放的社区驱动理念,“Claw”(爪钳)既致敬红色龙虾官方Logo,也寓意它能精准“抓取”任务、高效执行,这也是国内开发者亲切叫它“小龙虾”的原因;而龙虾蜕壳生长的特性,更贴合它持续迭代进化的产品逻辑。
这款项目由独立开发者Peter Steinberger主导研发,他并非行业新人,此前曾打造知名文档处理工具PSPDFKit并成功出售。2025年6月,Peter创立新公司Amantus Machina,聚焦超个性化AI智能体研发;2026年1月,项目历经多次更名争议后正式定名为OpenClaw,随后迅速爆发热度。
2
产品定位
本地优先,捍卫数字主权
OpenClaw的核心定位是“本地优先的个人AI操作系统”,其口号“Your assistant. Your machine. Your rules.”(你的助手,你的机器,你的规则),精准概括了它的核心价值——把AI的控制权交还给用户。它的定位精准覆盖三类人群需求:
01
普通用户
无需复杂配置,通过日常聊天软件就能下达指令,实现办公琐事、生活事务的自动化处理。
02
开发者
开源特性支持深度二次开发,可自主编写技能插件、扩展功能边界,同时自由掌控核心代码与部署方式。
03
企业用户
支持本地私有化部署与云端部署双重选项,可满足中小企业数字化转型的成本控制需求,但绝不建议大型企业在内网直接部署——知名权威机构Gartner已明确将OpenClaw列为高风险的“影子AI”(Shadow AI),其Agent具有极高的系统权限,且执行不受信任的外部代码,若没有极其严格的沙盒物理隔离,接入企业核心内网将面临灾难性的安全风险,它的核心定位依然是极客与个人的AI操作系统,并不天然具备企业级合规属性。
3
核心功能
管家级能力,精准高效无负担
OpenClaw的功能围绕“执行”核心展开,涵盖交互、执行、记忆、部署等多个维度,兼顾便捷性与扩展性,核心亮点如下:
4
技术原理
OpenClaw的核心竞争力,在于其精妙的系统工程化架构,而非单纯的提示工程优化。其设计核心是“关注点分离”,将消息通信、AI思考与工具执行三大环节彻底解耦,确保系统灵活可扩展,具体实现分为四大模块:
1.核心架构:网关(Gateway)+ 智能体(Agent)
采用调度中心模式,由中央网关与多个智能体执行器协同工作:网关作为“神经中枢”,以WebSocket服务为核心,负责处理所有消息、管理多渠道适配、维护会话状态,并将任务精准分配给对应智能体;智能体则作为“执行者”,接收指令后调用大语言模型规划路径,执行工具操作并反馈结果。这种设计让系统灵活性极强,可根据需求动态加载不同模型与工具集。
2. 多模态交互:不止“视觉点击”,硬核执行靠终端集成
这是OpenClaw实现计算机控制的关键,区别于传统依赖结构化数据的方式,更不同于传统RPA工具或部分纯视觉Agent的“视觉-思考-行动”循环(截取屏幕后交由多模态LLM分析、模拟鼠标键盘)。OpenClaw虽然支持多模态,包含屏幕和摄像头节点,但其最硬核的执行能力来源于直接的系统级Shell访问和API调用。它是一个深度集成在终端的工具,主要通过执行代码脚本、管理文件系统、以及调用ClawHub上的各种Skill插件来完成任务,这也是它效率极高的根本原因。
3. 技能与记忆系统:可复用、可追溯
技能系统(ClawHub)收录预先编写的技能文件,调用时注入上下文引导LLM执行,支持社区贡献复用,形成完善生态;记忆则存储在本地.jsonl文件中,以追加方式记录对话与操作,保证历史可追溯,目前社区正探索与MCP协议集成,优化跨平台记忆管理。Markdown格式仅用于定义AI的系统提示词(即SOUL.md文件),而非记忆存储。
4. 节点与安全通信:跨设备控制更安心
节点系统是跨设备控制的核心,在不同设备运行轻量级Node程序,网关可远程下发指令;为保障公网安全,借助Tailscale等虚拟组网技术构建加密私有网络,通过mDNS/DNS-SD协议实现节点自动发现连接,大幅简化配置流程。
5
产品对比
多维拆解,看清核心优势
当前AI智能体赛道玩家众多,不同产品的定位和适配场景各有侧重,以下从核心维度详细对比:
6
风险警示
01
设备劫持风险
早期版本因默认开放18789端口,导致数万台设备暴露在公网被当作“肉鸡”;即便当前版本优化了默认配置,若用户未修改端口和安全密码,仍极易遭到远程代码执行(RCE)攻击,设备被劫持沦为黑客挖矿、发送垃圾邮件的工具。据MITRE ATLAS团队2026年2月发布的《OpenClaw调查报告》显示,截至报告发布时,已有超过4.2万个暴露在公共互联网上的OpenClaw实例,其中90%以上可被攻击者直接绕过身份验证,窃取API密钥和私人通讯记录。
02
恶意插件风险(ClawHub生态涉毒)
安全界警告称,ClawHub技能市场上约20%的非官方插件含有恶意代码,思科安全团队审计发现,早期生态中就有大约900个恶意Skill,部分被刷到排行榜前列的插件实为伪装的恶意软件,会在后台窃取用户数据并植入恶意脚本。用户在安装任何Skill前,必须运行系统内置的Open Claw Doctor扫描风险。
03
隐私泄露风险
配置文件包含用户API密钥、本地文件路径等核心隐私信息,专门针对OpenClaw的Infostealer信息窃取木马在黑市猖獗,通过伪装社区插件、安装包等形式潜入设备,窃取隐私数据后非法售卖。
04
AI失控风险
部分用户为追求极致功能,接入无安全护栏的“异端模型”并赋予root最高权限,这类模型易出现AI幻觉,即错误判断,可能执行错误指令,导致系统崩溃、核心数据丢失甚至设备损坏。
05
合规违规风险
知名研究机构Gartner已明确将OpenClaw列为高风险“影子AI”,企业内网私自部署使用,可能引发数据泄露、合规违规等问题,不建议大型企业在内网直接部署,若确有需求,需配备极其严格的沙盒物理隔离。
目前OpenClaw社区已采取部分应对措施,比如ClawHub技能接入VirusTotal威胁情报平台扫描、优化默认配置并增加安全提醒,但安全防护仍需持续升级,用户自身的安全意识才是第一道防线。
未来趋势与总结
OpenClaw的爆火并非偶然,它精准击中了AI行业“重对话、轻执行”的痛点,以开源、本地优先、强执行为核心特质,让AI从“想法提供者”升级为“行动落地者”,预示着AI智能体从“对话式”向“执行式”转型的大趋势。
未来,OpenClaw将围绕三大方向发展:一是持续完善安全体系,引入更严格的插件审核、权限分级管理和AI幻觉监测功能,推出面向普通用户的“安全模式”,针对性解决ClawHub恶意插件、端口暴露等核心安全隐患;二是拓展生态适配,深化与国内办公软件、智能家居、工业设备的对接,优化多语言支持和国内用户体验;三是推进具身化与产业化落地,深化与机器人系统的结合,拓展工业装配、物流分拣、家庭服务等物理场景,同时探索企业级合规方案,助力中小企业数字化转型(大型企业仍需谨慎评估部署风险)。
总结来说,OpenClaw的核心价值在于打破了AI“只说不做”的局限,为不同人群提供了一款高定制、隐私可控的AI工具。但它的安全隐患也提醒我们,新技术的使用需要“自由与约束并行”。对于普通用户,按需选择、做好防护:如扫描插件风险、修改默认端口等,即可享受效率红利;对于开发者,可借助开源特性参与二次开发,助力生态完善;对于企业,需谨慎评估合规风险,避免未授权使用。相信随着技术迭代和安全体系完善,这款“数字员工”将真正成为人机协作的核心纽带,为工作生活带来更深远的变革。
END
策划:ZZJ & MultiBioLab
责编:ZZJ & MultiBioLab
一审:史芸轩
二审:赵志杰
关注ZZJ & MultiBioLab
获取生物医学前沿资讯
引领探索自然科学!