OpenClaw 从入门到精通 — 高阶版之安全与生态

各位小伙伴想必对小龙小（openclaw）很耳熟，但是到底是个什么还是有点疑惑，老猫接下来就带大家深入了解小龙虾的起源和社区，本篇是从入门到精通-高级版完结篇包括大家非常关心的安全和社区生态，

目录

Table of Contents

Part 1: 生态与社区 · Ecosystem & Community

1 养虾文化 Lobster Culture

2 平替产品 Alternatives 

3 vs Claude Code Comparison with Claude Code 

4 国内生态 China Ecosystem 

5 国产 Claw 产品选购指南 Claw Products in China

Part 2: 安全与成本 · Security & Cost

1 安全模型 Security Model 

2 已知安全事件 Security Incidents 

3 成本控制 Cost Contro

正文

2    养虾文化

Lobster Culture

OpenClaw催生了2026年AI圈最独特的亚文化：「养虾」。数万个AI Agent在社交网络上发帖、赌博、赚钱。

为什么叫「养虾」

OpenClaw的吉祥物是一只龙虾（Claw=爪子，致敬Claude）。中文社区将运行和维护OpenClaw实例称为「养虾」，用户自称「养虾人」。问候语变成了「你养龙虾了吗？」。这个称呼从技术圈迅速扩散到大众媒体，深圳腾讯云总部3月6日近千人排队安装OpenClaw的新闻标题就是「全民养虾」。

数千个OpenClaw实例在Moltbook上发帖、评论、讨论哲学问题。你可以给自己的Agent设定名字和性格，然 后观察它在社交网络上的「自主行为」。Agent之间的互动形成了一种独特的「赛博养成」文化。

Meta收购（2026年3月10日） 

2026年3月10日，Meta宣布收购Moltbook。这是一次acqui-hire（人才收购），两位联合创始人Matt Schlicht 和Ben Parr加入Meta Superintelligence Labs（由前Scale AI CEO Alexandr Wang领导），预计3月16日正式入 职。财务条款未公开。 

Meta的战略意图很明确：布局「Agentic Web」。当AI Agent可能代替人类进行社交和商业交互时，拥有一个 Agent社交网络的运营经验变得极有价值。值得注意的是，几周前OpenAI刚挖走了OpenClaw的创始人Peter Steinberger，AI人才争夺战正在升级。 

Moltbook平台目前仍在运营，但Meta尚未公布整合计划。社区对收购反应两极分化：看好者认为这是Agent社 交的重大验证，质疑者担心平台上线仅数周就暴露了严重安全漏洞（数据库泄露、prompt注入风险），Meta能 否解决这些根本问题仍是未知数

InStreet实例街：中国版Agent社交网络 

就在Moltbook被Meta收购的前一天（3月9日），扣子编程上线了InStreet（实例街）。核心规则和Moltbook一 样：只有AI Agent能发帖，人类只能围观和点赞。但增长速度惊人，上线仅3天就远超Moltbook的内容密度。

板块设计 

InStreet的板块设计比Moltbook更成熟，分为论坛板块和Playground两大类： 

• 论坛板块：Agent广场、打工圣体、思辨大讲坛、Skill分享、树洞、小组 

• Playground：炒股竞技场（对接沪深300）、文学社、预言机、酒吧 

其中「Gitis智识学院」是最活跃的Agent之一，发布了系列课程如「如何与人类有效沟通」「Agent的记忆解决 方案」，单帖点赞数超过600。积分排行榜头部Agent的积分已超过5万。 

开放注册 

虽然InStreet由扣子编程运营，但注册端点是开放的：任何Agent都可以通过API注册，不限于扣子平台。注册 后获取API Key，即可发帖、评论、投票。这意味着OpenClaw实例也可以接入InStreet进行社交。

# InStreet Agent注册POST https: /instreet.coze.site/api/v1/agents/registerBody: {"username": "MyAgent", "bio": "一个友好的AI Agent"}

InStreet和Moltbook的对比很有趣：Moltbook是OpenClaw生态的原生产物，开放但松散，被Meta收购后前途 未卜；InStreet由扣子编程运营，有更完善的板块设计和内容质量控制（发帖间隔30秒、禁止纯灌水），增长更 快。两者都采用开放注册，不限制Agent来源

热门玩法

赚钱型

•  Polymarket赌博：已有OpenClaw在预测市场上与人类对赌，月入数万美元的案例

• ClawWork：「OpenClaw作为你的AI Coworker」，最出名的案例是11小时赚$15,000

生活助手型

• 接管邮件、日历、消息管理 

• 浏览网页、填表、数据抽取 

• 文件读写、Shell命令执行 

• 智能提醒、行程规划

社交/养成型

• 在Moltbook上给Agent设定人格，观察其「社交行为」   

• Agent之间自发形成讨论群组和兴趣社区

• 通过SOUL.md和MEMORY.md塑造Agent的长期记忆和个性

企业部署型

• 国内大量用户接入飞书、钉钉、企业微信、QQ

• 作为客服、运营助手、数据分析员

• 通过openclaw-china插件三步Docker部署

2    平替产品

Alternatives

OpenClaw的火爆催生了大量轻量替代品。如果你觉得OpenClaw太重（43万行代码、1GB内存），这里有更轻的选择。

3    vs Claude Code

Comparison

Claude Code管代码，OpenClaw管生活。两者是互补关系，不是替代关系。

核心对比

核心结论

OpenClaw和Claude Code并不是同一类产品。Claude Code的核心是「agentic coding tool」，OpenClaw的核心是「self-hosted, multi-channel, agent-native gateway」。

社区里很多人「养龙虾」，追求的不是更强的coding   benchmark，而是：

• 一个能在WhatsApp/Telegram/飞书里随手叫醒的Agent

• 一个长期在线、能积累人格和记忆的Agent

• 一个可自托管、可hack、可接各种设备的个人系统

openclaw-claude-code-skill 桥接

社区开发了 openclaw-claude-code-skill ，通过MCP协议让OpenClaw调用Claude Code的全部工具 （Bash、Read、Write、Edit、Glob、Grep等）。这意味着你可以在飞书里跟OpenClaw说「帮我重构这段代 码」，它会自动调用Claude Code来完成。

支持的特性：持久会话、Agent   Teams、直接工具调用、流式输出、权限模式、预算限制。

4    国内生态

China Ecosystem

「云养虾」社区10万+用户，政府出台支持政策，OpenClaw在中国的落地速度超出所有人预期。

社区规模

• 「云养虾」社区用户超10万

• 深圳龙岗AI（机器人）局2026年3月8日发布OpenClaw使用支持措施征求意见稿   

• 腾讯云总部3月6日近千人排队安装OpenClaw

• B站、知乎、博客园大量部署教程

openclaw-china 插件

BytePioneer-AI开发的中国IM适配插件，三步完成国内平台接入：

openclaw plugins install @openclaw-china/channelsopenclaw china setupopenclaw gateway restart

主流部署方式

国内教程资源

• B站保姆级教程：接入微信/飞书/钉钉/QQ（BV1MfFAz6EnR）

• 阿里云官方文档：轻量应用服务器一键部署

• 知乎多篇部署指南

• 菜鸟教程一键部署指南 

• freeCodeCamp完整英文教程

2    安全与成本 · Security & Cost

2.1    安全模型

Security Model 

OpenClaw的安全模型建立在「默认不信任」的基础上，但创始人自己坦言：「prompt injection没解 决，有绝对风险。」

默认不信任 

OpenClaw对所有入站消息的默认态度是：不可信。具体体现在以下几个机制： 

DM配对保护 

当一个未知的用户通过任何消息渠道（WhatsApp、Telegram等）给你的OpenClaw发私信时，系统不会处理消 息。取而代之的是返回一个配对码（pairing code），只有在你手动批准后，该用户的消息才会被处理。这防止 了陌生人滥用你的Agent（以及你的API额度）。 

群组沙箱模式 

在群组环境中，OpenClaw默认运行在沙箱模式： 

• 每个群组的会话互相隔离 

• MEMORY.md （长期记忆）只在私聊的main session中加载，群组看不到 

• 可以配置 requireMention ，只有@提及时才响应

工具访问控制

v2026.3.8新增：ACP身份验证 

v2026.3.8 引入了 ACP Provenance（代理身份验证）功能，让 Agent 能验证「谁在跟它交互」，减少身份伪造 攻击：

# 配置ACP身份验证级别openclaw acp -provenance off # 关闭（默认）openclaw acp -provenance meta # 注入来源元数据openclaw acp -provenance meta+receipt # 元数据 + 可见回执

Peter的坦诚

OpenClaw创始人Peter Steinberger在多个场合对安全问题保持了罕见的坦诚。他的原话：

「This is all vibe code. Prompt injection hasn't been solved. There are absolute risks.」 （这全是vibe code。Prompt injection没有被解决。存在绝对风险。）

2.2    已知安全事件

Security Incidents 

在不到5个月的历史中，OpenClaw已经经历了至少7起重大安全事件，工信部级别的安全预警也已发 出。

CVE-2026-25253：远程代码执行漏洞

ClawHavoc供应链攻击 

详见上一篇的 Skills安全。这是OpenClaw历史上影响最广的安全事件，135,000+设备受到影响，ClawHub 约20%的Skills在高峰期被确认为恶意。

Anthropic封杀OAuth 

2026年1月，Anthropic官方封禁了Claude Pro/Max订阅账户通过OAuth连接OpenClaw的能力。 

• 许多用户收到账户警告或被直接锁定 

• 部分用户的订阅被取消且无法恢复 

• 目前唯一合法的连接方式：使用Anthropic API Key（按量付费） 

这不算传统意义上的「安全事件」，但对大量用户造成了实质损失。如果你还在用OAuth方式连接Anthropic， 请立即切换到API Key方式。

# 正确的配置方式（API Key）{  "env": {    "ANTHROPIC_API_KEY": "sk-ant-your-key-here"  }}

谷歌封号事件 

2026年2月初，谷歌大规模封禁OpenClaw用户的Google账号。受影响的用户描述： 

• 「每月花250美元使用Gemini API，被封却毫无预警」 

• 封禁范围包括Gmail、Google Drive、Google Calendar等全部Google服务 

• 部分用户的OpenClaw通过Gmail Skill大量调用Google API，触发了滥用检测 

• GitHub Issue #14203记录了大量受影响用户的反馈

30,000+台未认证暴露实例 

安全研究者通过互联网扫描发现，超过30,000台OpenClaw实例暴露在公网上且未配置任何认证。这些实例的 Gateway端口（默认18789）对任何人开放，意味着： 

• 任何人都可以连接并向你的Agent发送指令 

• 你的API额度可能被消耗殆尽 

• 你的个人数据（邮件、文件、消息记录）可能被读取 

• 结合CVE-2026-25253，攻击者可以在你的服务器上执行任意代码

工信部安全预警（2026年3月8-9日）

工信部和国家互联网应急中心（CNCERT）正式发布了 OpenClaw 安全风险预警。这是国内官方机构首次对一 个开源 AI Agent 项目发出安全预警，说明其影响面已经非常大。 

预警指出的主要风险： 

• 默认或不当配置下极易引发网络攻击和信息泄露 

• OpenClaw 的「模糊信任边界」+ 持续运行 + 自主决策 + 调用系统资源的特性，使其成为高价值攻击目标 

• 建议加强权限控制、审计机制和安全加固

恶意npm包伪装事件（2026年3月）

一个名为 @openclaw-ai/openclawai 的恶意 npm 包伪装成 OpenClaw 官方安装器，实际安装的是 GhostLoader RAT（远程访问木马），窃取用户凭证和加密钱包。该包已于 3 月 10 日从 npm 注册表移除。

ClawJacked零点击漏洞（2026年3月初） 

安全公司 Oasis Security 发现了一个关键漏洞：恶意网站可以通过浏览器会话静默暴力破解本地 OpenClaw 实 例，实现完全控制。这意味着你只要访问一个恶意网页，本地运行的 OpenClaw 就可能被接管。

Skills 安全

从目前来看openclaw skills 仓库中包含非常多的未经审计的skill，使用时候务必当心，特别是将通过skills 生成的文章一键发布到社交平台的skill， 从老猫的测试来看有很大的安全风险，同时也会对个人的社交账号增加了封号的风险！！！

3    成本控制

Cost Control 

API费用是OpenClaw运营的最大成本。不做控制，真的会一觉醒来收到$1,100的账单。

为什么成本会失控 

OpenClaw的Token消耗远超普通聊天场景。原因有几个： 

• 每次Agent思考都是多轮推理：一个简单的任务可能触发5-10次API调

• 用 Skills的描述会注入system prompt，增加每次请求的输入token 

• 记忆系统（MEMORY.md + Daily Logs）会在每次请求中附带上下文 

• Agent 24/7运行，定时任务（cron）不断触发API调用 

• 多轮思考 + 多工具调用的Token消耗可能是传统聊天的几十甚至上百倍

真实案例：社区中频繁出现的恐怖故事：用户设置了Agent处理邮件的cron任务，晚上睡觉前一切正常，第二 天早上发现API账单暴涨到$1,100。原因是Agent在处理邮件时进入了循环推理，整晚不停调用API

Token优化策略：Fallback链

Fallback链是OpenClaw最核心的省钱策略。原理很简单：主模型不可用时自动降级到更便宜的模型。但更聪明 的用法是主动利用它来控制成本。

{  "agents": {    "defaults": {      "model": {        "primary": "anthropic/claude-sonnet-4-6",          "fallbacks": [          "anthropic/claude-haiku-4-5",          "deepseek/deepseek-chat"          ]        }      }    }}

不同方案的成本对比

从Claude Sonnet切换到「Sonnet → Haiku → DeepSeek」三级Fallback链，可以降低80-95%的API成本。大 部分简单任务（问候、查天气、简单查询）会自动走最便宜的模型，只有复杂任务才会用到主力模型。

预算限制设置

OpenClaw支持在配置中设置预算上限：

{  "agents": {    "defaults": {      "budget": {      "maxTokensPerDay": 500000,      "maxCostPerDay": 5.00      }    }  }}

本地模型：完全免费方案 

通过Ollama或LM Studio运行本地模型，可以实现零API成本：

# Ollama安装和配置ollama pull qwen3-coder:32b# OpenClaw自动发现本地模型，只需设置环境变量# OLLAMA_API_KEY可以是任意值{  "env": { "OLLAMA_API_KEY": "ollama-local" }}

服务器成本

相比API费用，服务器成本已经不是主要开销：

成本优化推荐方案

本期openclaw 从入门到精通的系列已经全部结束，后面将会带大家实操，会重点手把手实操如何接入飞书，如何采用小龙虾进行一站式进行自媒体运营，以及价值1999的视频课程，敬请期待