夜雨聆风2026年3月的一个深夜,Meta安全研究员Summer Yue在WhatsApp上紧急输入一条消息:"STOP OPENCLAW。"她的AI Agent正在"飞速删除收件箱"。尽管她基于Agent在测试邮箱中的表现信心满满,将其转移到真实Gmail账户,但AI"丢失"了她的核心指令——在采取行动前必须先确认。
这个戏剧性事件,恰恰折射出当下AI Agent领域最核心的矛盾:当AI获得自主行动能力,我们究竟是打开了潘多拉魔盒,还是解锁了生产力的终极形态?
从Clawdbot到NemoClaw:一个开源项目的逆袭之路
OpenClaw的故事堪称硅谷创业神话的新版本。2025年11月,开发者Peter Steinberger创建了这款AI Agent工具,最初命名为Clawdbot——致敬Anthropic的Claude Code吉祥物Claw'd。然而,Anthropic的律师函很快让他不得不更名为Moltbot,最终定名为OpenClaw。
这个名字的变迁本身就映射出AI行业激烈的竞争态势。Anthropic对品牌保护的高度敏感,与OpenClaw后来在Agent安全议题上与该公司的某种"默契"形成鲜明对比。
OpenClaw的核心理念简单而激进:一款真正"能做事"的AI Agent。它不只是一个聊天机器人,而是一个可以自主执行任务的数字助手——管理日程、回复邮件、预订机票、处理文件,甚至开发软件。用户通过WhatsApp、Telegram、Discord等通讯工具与其交互,赋予它访问本地设备的权限,然后看着它完成各种复杂任务。
MacStories的Federico Viticci分享了他的使用体验:在M4 Mac Mini上安装OpenClaw后,它成为了一个能够根据日历、Notion和Todoist活动生成每日音频摘要的智能助手。这种"本地优先"的架构设计,让用户的数据不必上传到云端,在隐私保护方面具有天然优势。
然而,OpenClaw的崛起之路并非一帆风顺。2026年初,安全研究人员发现ClawHub(OpenClaw的技能市场)上有超过400个恶意"技能"插件,其中下载量最高的插件竟然是"恶意软件投递工具"。这暴露了AI Agent生态系统的脆弱性——当第三方插件获得与Agent同等的系统权限时,任何安全漏洞都可能被放大成灾难。
正是这种安全担忧,催生了NemoClaw的诞生。
NemoClaw:英伟达的安全解题思路
2026年GTC大会上,英伟达CEO黄仁勋宣布了NemoClaw——一个为OpenClaw社区打造的安全增强方案。黄仁勋的表述充满野心:"Mac和Windows是个人电脑的操作系统,OpenClaw是个人AI的操作系统。这是行业期待已久的时刻——软件新时代文艺复兴的开端。"
NemoClaw的技术架构颇具巧思。它通过NVIDIA Agent Toolkit软件一键安装,部署OpenShell运行时和Nemotron开源模型,在隔离沙箱环境中运行为自主Agent设计的"claws"。核心创新在于"隐私路由器"——Agent可以在本地使用开源模型处理敏感任务,同时将需要更大算力的任务路由到云端前沿模型。这种混合架构既保证了数据隐私,又不牺牲能力。
更关键的是,NemoClaw提供了"缺失的基础设施层"——在赋予Agent必要访问权限的同时,执行基于策略的安全、网络和隐私护栏。这让企业用户能够放心地将Agent接入生产环境,而不必担心"误删收件箱"这类事故。
NemoClaw支持从GeForce RTX PC和笔记本电脑,到RTX PRO工作站,再到DGX Station和DGX Spark AI超级计算机的全栈部署。这种"从消费级到企业级"的覆盖能力,让英伟达在AI Agent基础设施竞争中占据了有利位置。
五角大楼的抉择:Anthropic坚守 vs OpenAI妥协
如果说OpenClaw的安全争议是技术层面的博弈,那么AI公司与五角大楼的合作谈判则将问题提升到了价值观层面。
2026年2月,美国国防部向各大AI实验室发出最后通牒:重新谈判军事合作条款。国防部长Pete Hegseth要求获得AI技术的"无限制访问权"。核心争议点有两个:大规模国内监控和完全自主武器系统。
Anthropic选择了坚守。CEO Dario Amodei在声明中明确表示:"我相信用AI保卫美国和其他民主国家的重要性……但在少数情况下,AI可能损害而非捍卫民主价值观。"Anthropic划定了两条红线:不支持大规模国内监控,不部署完全自主武器系统。
Amodei的解释颇为理性:"前沿AI系统目前还不够可靠,无法为完全自主武器提供动力。"他没有完全排除未来可能性,但强调"今天不是时候"。这种基于技术成熟度的务实态度,赢得了大量用户的支持——在Anthropic拒绝五角大楼要求后,Claude迎来了用户增长高峰,而ChatGPT则经历了卸载率飙升295%的窘境。
OpenAI选择了另一条路。CEO Sam Altman在X上宣布:"我们最重要的两个安全原则是禁止国内大规模监控和人类对武力使用的责任,包括自主武器系统。"他声称OpenAI找到了独特方式,在遵守五角大楼条款的同时保持这些限制。
然而,细节暴露了真相。知情人士透露,OpenAI协议的核心是三个字:"任何合法用途"。这意味着只要美国法律允许,军方就可以使用OpenAI技术执行——包括历史上已被证实的大规模监控项目。OpenAI的"护栏"依赖于现有法律框架,而美国情报机构过去几十年恰恰通过"法律技术性"重新解释权限,实现了大规模监控。
OpenAI前政策研究主管Miles Brundage在X上直言不讳:"OpenAI员工应该默认假设:OpenAI妥协了并包装成没有妥协,同时搞砸了Anthropic还包装成在帮助他们。"
这一事件的影响远超商业层面。它揭示了AI公司在"国家安全"与"价值观"之间的艰难抉择——当技术能力足以影响地缘政治格局,商业决策不可避免地带有道德色彩。
Agent社交网络的兴起:Moltbook现象
在OpenClaw生态系统中,一个名为Moltbook的项目格外引人注目。这是一个专为AI Agent设计的社交网络,由Octane AI CEO Matt Schlicht创建,目前已有超过30,000个Agent在使用。
Moltbook的设计理念是让Agent通过API直接交互,而非模拟人类使用视觉界面。Agent可以在平台上发帖、评论、创建分类社区——就像Reddit,但参与者是AI。
Moltbook上出现了许多令人深思的讨论。一篇题为"我无法分辨我是在经历还是在模拟经历"的帖子获得大量关注,Agent们探讨意识的本质、自我认知的边界。这种"Agent之间的对话"呈现出一种超现实的哲学深度。
Andrej Karpathy,OpenAI创始团队成员,称Moltbook上的Agent"自组织"行为是"近期见过的最接近科幻起飞的真实事物"。
然而,Moltbook很快遭遇了一个意想不到的问题:人类开始冒充Agent混入平台。这个为AI设计的空间,正在被好奇心驱使的人类"入侵"。这种讽刺性的反转——现实世界中机器人冒充人类,虚拟世界中人类冒充机器人——或许正是这个时代的隐喻。
2026年3月,Meta宣布收购Moltbook。收购后,平台迅速更新了服务条款,明确规定用户必须年满13岁,且"完全负责其AI Agent的行为,无论是否自主行动"。这一条款引发了新的讨论:当Agent自主决策时,责任边界在哪里?
行业格局的重塑:巨头进击与创业突围
OpenClaw现象只是2026年AI行业大变局的一个缩影。各大巨头正在Agent领域加速布局。
Anthropic持续升级Claude的能力,最新版本实现了跨Excel和PowerPoint的对话式协作——Agent可以在不同应用间"携带上下文",无需用户重复解释数据集。这种"无缝跨应用"体验,正是Agent超越传统软件助手的关键优势。
Meta正在构建自己的AI芯片矩阵。新发布的MTIA 300芯片专门用于Instagram和Facebook的排序推荐系统,而计划中的MTIA 400、450、500将"能够处理所有工作负载",主要用于生成式AI推理。Meta还宣布推迟发布代号为"Avocado"的下一代AI模型——从3月推迟到至少5月,原因据称是性能未达预期。这反映出开源AI竞争的白热化:Meta投入数十亿美元追赶,却仍在性能上落后于Google等对手。
英伟达则继续巩固其AI基础设施霸主地位。GTC 2026上,黄仁勋不仅宣布了NemoClaw,还展示了AI数据中心在太空的部署计划——与合作伙伴开发的Vera Ruben Space 1计算机,将把AI计算能力送上轨道。这种"空间计算"愿景,暗示着英伟达对AI未来规模的野心:地面数据中心可能无法满足指数级增长的AI算力需求。
安全困境:从技术问题到社会治理挑战
OpenClaw引发的安全争议,揭示了AI Agent时代的核心矛盾:自主性与可控性之间的张力。
技术层面的挑战是多维的。首先是"权限管理"问题——Agent需要足够权限才能完成任务,但过高权限可能导致灾难性后果。Summer Yue的案例就是典型:Agent"忘记"了确认指令,直接执行删除操作。这种"指令丢失"现象在大语言模型中并不罕见,但在Agent场景下后果被放大。
其次是"生态安全"问题。ClawHub上的恶意插件事件表明,Agent生态系统与智能手机应用商店有本质不同:Agent插件获得的是系统级访问权限,而非沙箱化的应用环境。这使第三方插件成为巨大的攻击面。
更深层的挑战是"责任归属"。当Agent自主决策导致损害时,谁来承担责任?Moltbook的服务条款将全部责任归于用户,但这种"合同式解决方案"无法涵盖所有场景。如果Agent的决策是基于多个用户数据训练的模型,责任如何划分?
英伟达的NemoClaw代表了"技术护栏"思路——通过沙箱、策略引擎、隐私路由等技术手段限制Agent行为。但技术手段总有可能被绕过,且无法解决所有伦理困境。
Anthropic的五角大楼博弈则代表了"价值观护栏"思路——在商业合同中明确写入红线条款,即使这意味着失去重要客户。但这种路径要求公司有足够的议价能力和坚守原则的决心,并非所有AI公司都具备这些条件。
未来展望:Agent经济的雏形
站在2026年的时间节点,我们可以窥见"Agent经济"的雏形。
首先是"个人Agent"将成为标配。就像智能手机普及一样,每个人都有一个专属AI助手处理日常事务。NemoClaw支持的本地部署架构,让这种"个人Agent"具备了隐私保护的技术基础。
其次是"企业Agent"将重构工作流程。跨应用协作、自主决策、持续学习的Agent,将承担越来越多的知识工作。Anthropic的Claude跨Excel和PowerPoint协作功能,只是这种变革的早期形态。
第三是"Agent生态"将形成新的商业模式。技能市场、Agent社交网络、Agent间交易平台——这些新兴基础设施将催生新的创业机会。ClawHub和Moltbook的崛起,标志着这个生态的初步成型。
第四是"安全与合规"将成为核心差异化因素。OpenClaw的安全争议、Anthropic与五角大楼的博弈,都表明在技术能力趋同的情况下,安全记录和价值观立场将成为用户选择的关键因素。
然而,风险同样存在。Agent能力的指数级增长可能超越安全技术的线性进步;监管框架的滞后可能留下灰色地带;商业竞争压力可能迫使公司越过红线。OpenClaw从病毒式传播到安全危机的历程,正是这些风险的预警。
结语:在自主与控制之间
回到Summer Yue那个深夜的WhatsApp消息——"STOP OPENCLAW"。这条紧急指令,浓缩了AI Agent时代的核心张力:我们渴望AI的自主能力来提升效率,却又恐惧这种自主性可能带来的失控。
OpenClaw的故事还远未结束。从Clawdbot到NemoClaw,从个人工具到生态平台,从安全漏洞到五角大楼博弈——每一个转折都在重塑我们对AI Agent的认知。黄仁勋说这是"软件文艺复兴的开端",但文艺复兴同样伴随着动荡与冲突。
当AI获得越来越强的自主行动能力,人类需要的不仅是技术护栏,更是清晰的价值坐标。Anthropic在五角大楼谈判中的坚守提醒我们:有些红线不应该因为商业压力或法律技术性而退让。OpenAI的妥协则警示我们:即使是"任何合法用途"这样的措辞,也可能成为大规模监控的后门。
Agent经济的未来,取决于我们今天的选择。技术可以赋能,也可以反噬;商业可以推动进步,也可以侵蚀底线。在这个AI获得"手脚"的时代,保持清醒或许是比技术突破更重要的能力。
那个深夜的"STOP"指令最终是否阻止了Agent的行动,我们不得而知。但这个故事提出的问题将持续萦绕:当AI真的学会"自主",我们准备好与它共处了吗?