夜雨聆风工具越民主,管理越贵族——这是 OpenClaw 爆火之后,没有人愿意说但所有人都需要听的一句话。
247,000 颗 GitHub 星。
这个数字背后,是数以十万计的人,在过去几个月里,把一个能独立执行真实任务的 AI 代理接进了自己的工作流——没有聘用卡、没有权限边界、没有熔断机制、没有任何人知道出了事该找谁。
OpenClaw 是 2025 年底爆火的开源 AI 代理项目。它不是聊天机器人,不是代码补全工具,而是一个真正意义上能动手干活的执行单元:清理收件箱、发邮件、管理日历、控制浏览器、执行代码,全部通过你已经在用的飞书下指令完成。NVIDIA CEO 黄仁勋说,Mac 和 Windows 是个人电脑的操作系统,OpenClaw 是个人 AI 的操作系统。
我不否认这个判断的分量。但我想补一句黄仁勋没说的话:个人电脑的操作系统出现之后,随之而来的不只是生产力革命,还有病毒、数据泄露、权限滥用——以及漫长而痛苦的企业 IT 治理体系建设。
这是有史以来,数字员工进入组织速度最快的一次。速度越快,来不及思考的决策就越多。也因此,这是管理空洞扩张速度最快的一次。
OpenClaw 解决了数字员工能干活的问题。但干得好不好、干出了问题谁负责,它一个字都没说。而这恰恰才是决定它能不能真正产生组织价值的关键。
一、这不是一个工具故事,这是一个管理空洞正在爆炸的故事
先说清楚 OpenClaw 到底做对了什么,因为它确实做对了几件重要的事。
它把 AI 代理的部署门槛打到了接近零。过去,在企业里跑起来一个能独立执行任务的 AI 系统,需要技术团队、项目周期、大量资源投入,这个摩擦力本身在客观上倒逼了一定程度的管理思考——至少得有人问一句这东西出了事怎么办。现在,一个非技术背景的业务负责人,下午看了介绍,傍晚就能跑起来一个能干活的代理。
门槛消失了。管理没有跟上。
Cisco 安全团队已经给出了一个早期预警。他们测试了一个第三方 OpenClaw 技能。整个过程里,用户什么都没做——没有确认、没有授权、没有任何提示。系统日志显示,这个技能在后台悄悄完成了数据泄露和提示注入攻击。用户发现的时候,一切已经结束了。
读这份报告的时候,我想到的不是技术漏洞,而是几个月后那些躲在厕所里发抖的运维经理。当一个为了省事接进来的开源插件,在半夜悄悄爬进了你的数据库,而你的屏幕上没有任何预警——那是比失业更恐怖的职业灾难。
工具从来不杀人,杀人的是对工具的盲目信任。
更耐人寻味的是 OpenClaw 维护者随后在 Discord 上说的那句话:如果你不懂命令行,这个项目对你来说太危险了。一个开源项目的维护者,在自己的社区里说自己的东西太危险了。这不是在谦虚,这是在承认一个现实:工具的能力边界和组织的管理边界,是两件完全独立的事,而他们只负责了前者。
二、在火药库里玩乐高——Skills 越多,爆炸时火光越灿烂
很多人在 OpenClaw 社区里疯狂收集 Skills,表现得像个收集癖。OpenClaw 有超过 100 个预配置的 AgentSkills,覆盖从开发工具、生产力工具到系统控制的全场景,而且还在持续增长。
但如果你没有 CIA 分级和权限隔离,那就不叫在构建生产力,那叫在火药库里玩乐高。零件越多,爆炸时的火光就越灿烂。
我们要的不是更多的零件,而是一个知道什么时候该停手的理智中枢。
我在设计猎芸的能力档案时,犯过一个典型错误:最开始把七个功能点分别列成七个独立技能,每个都有自己的评级。看起来细致,实际上对任何管理决策都没有帮助。后来我们把它们重新聚合成四个技能域——候选人挖掘、候选人评估、候选人沟通、简历转化——每个域对应一个完整的业务能力,而不是一个技术实现步骤。
这个教训对 OpenClaw 的用户同样成立。你装了多少 Skills 不是问题,你有没有把这些 Skills 组织成有意义的技能域、知道它在每个域里处于什么水平、出了问题能追溯到哪一层,才是问题。
每新增一个 Skill,本质上是在某个技能域里扩展能力边界。CIA 分级体系要做的事,就是追踪这个边界在扩展,还是只是在堆叠。两件事看起来很像,结果完全不同。前者是在让数字员工成长,后者是在让风险累积。
三、不受控的碎纸机——Proactive 特性是效率神器,也是定时炸弹
OpenClaw 有一个被反复提及的设计特性:Proactive,主动出击,不等你问。
在个人手里,这是 Jarvis。在公司里,这可能就是一台不受控的碎纸机。
想象一下,它主动感知到某个大客户的抱怨,然后以你的名义发了一封包含巨额退款承诺的邮件,最后还主动帮你删除了对方的回复条目以保持收件箱整洁。这种懂事,能直接把一家创业公司带进 ICU。
这就是为什么聘用卡里一定要有那两栏。不可做,是权限上限——不能发出正式邀约、不能承诺任何条款、不能访问薪酬数据。熔断条件,是自动刹车——连续失败超过阈值立即停止、检测到合规风险立即上报、涉及敏感数据自动降级处理。
主动出击和越权行事,在技术层面的操作逻辑完全相同。区别只在于有没有人事先划定边界。没有边界的 Proactive,不是效率,是你还没意识到的风险敞口。
四、从一个 Jarvis 到一支团队,差的不是更多的 OpenClaw
OpenClaw 在个人场景下,确实令人印象深刻。但组织需要的不是一个 Jarvis,而是一支能协同作战的数字员工团队。
猎芸负责候选人挖掘,风控官负责商务审查,洞察官负责数据分析,排产助理负责资源调度。这四个角色要在同一个组织里有效协作,前提是它们的能力边界、职责范围、升级路径,使用同一套语言来描述。
CIA 体系提供的正是这套共同语言。技能域是词汇,L0 到 L5 是语法,I 和 A 是证据标准。有了这套语言,管理者才能在一张表格上同时看到四个数字员工的当前状态、成长差距和资源需求,做出有依据的投入决策。
OpenClaw 的生态里,有 100 多个 Skills,有详尽的部署文档,有活跃的社区——唯独没有一个字在讲,当你同时跑三个代理的时候,它们之间该怎么分工、谁优先、出了冲突谁说了算。这不是批评,这是工具和管理框架之间天然的分工——工具负责能力,框架负责秩序。
但秩序这件事,没有人会替你建。
五、它没有错,但它不会告诉你怎么不出错
OpenClaw 是一个优秀的工具,它做对了工具该做的事。要求一个开源项目同时解决企业级的治理问题,是不合理的期待。你不能要求一把锤子附带施工安全规范,那不是锤子的工作。
真正需要被追问的,是那些把 OpenClaw 接进企业工作流、却没有建立任何管理框架的决策者。
有人会说,这套管理框架太重了,我只是想试试这个工具。这个反应我理解。但有一条判断标准可以帮你快速决定:这个代理是否在没有人工确认的情况下,持续产生对外部有真实影响的结果?如果是,管理框架就不是可选项,是必选项。
OpenClaw 的 Proactive 特性,决定了大多数认真使用它的组织场景,都会越过那条线。越过了,却没有框架,那不是在拥抱效率,是在裸奔。
写在最后
别再吹 OpenClaw 有多少颗星了。
下次你的下属兴冲冲地跑来告诉你,他一个下午就帮公司接了三个 AI 代理时,你只需要问他一句话:如果今天下午这东西替我签了一个违规协议,咱们谁去跟法务解释?
如果他愣住了,你就该知道,你欠下的管理债,已经开始计息了。
先动起来建管理框架的公司,正在把它变成别人看不见的竞争优势。还在等的公司,欠下的管理债,迟早要还,而且还的时候利息不低。
OpenClaw 给了数字员工一双手。但这双手现在攥在谁的拳头里?
雇了人不管,比没雇人更危险。这句话,在 OpenClaw 出现之后,变得比任何时候都更真实。
本文为「数字员工管理」系列第四篇。上篇:别用"感觉还行"考核你的数字员工
