夜雨聆风2026年3月,深圳腾讯大厦前的广场上排起长队,近千名AI爱好者等待“免费安装OpenClaw”,场面之火爆让组织者始料未及。与此同时,大洋彼岸的GitHub上,这只红色龙虾图标的项目已狂揽超过27.8万星标,先后超越Linux和React,成为开源史上增速最快的软件项目之一。
这不是什么新出的海鲜料理,而是一款名为OpenClaw的开源AI智能体。它正在掀起一场AI领域的变革浪潮——让人工智能不再局限于陪聊天、写文案,而是真正进化成能“动手干活”的贴身助手。
“龙虾”究竟是什么?
OpenClaw由奥地利软件工程师Peter Steinberger于2025年底开发,曾用名Clawdbot、Moltbot,2026年初正式更名为OpenClaw。“Open”代表免费开源,“Claw”(爪子)则突出其高效抓取和执行任务的能力。因图标形似红螯龙虾,中文社区给它起了个亲切的外号——“龙虾”,使用OpenClaw的过程也就成了“养龙虾”。
与传统对话式AI不同,OpenClaw不是一本“能聊天的百科全书”,而是一个“有手有脚的数位员工”。用户只需下达一句自然语言指令,比如“整理我本周下载的所有文件,按日期分类放进文件夹”,OpenClaw便会自动拆解任务、调用本地软件、联网搜索、识别错误、自我纠正,直至任务完成。
核心架构:AI的操作系统雏形
英伟达CEO黄仁勋在GTC 2026大会上给了OpenClaw极高的评价:“OpenClaw之于人工智能,正如Windows之于个人电脑。”他将OpenClaw的影响力与Linux、Kubernetes、HTML相提并论。
这个比喻并非夸大其词。OpenClaw的架构确实搭出了一个操作系统的雏形:
· Gateway(网关):负责接收来自各个平台的消息、管理工具调用、协调任务顺序。你发一条“帮我订明天下午的机票”,Gateway判断要调用哪个Agent、先做什么后做什么。
· Agent Loop(循环执行引擎):处理自然语言指令、理解意图并调用Skills,相当于餐厅中负责处理订单的厨师。
· Memory(记忆系统):采用“双源记忆架构”,将对话记录在本地,并通过向量检索实现长期记忆。这解决了大模型上下文窗口有限的痛点——不再把所有历史塞进上下文,而是按需检索相关记忆。
· Skills(技能系统):可插拔的能力扩展单元,社区已贡献超过1.3万个技能,覆盖办公、运维、生活全场景。
从“会说话”到“会干活”
OpenClaw的核心价值在于它将AI从被动的“聊天工具”转变为主动的“执行型智能体”。它能够在用户授权下直接操作系统、控制浏览器、读写文件、发送邮件。
深圳创业者唐先生分享了他的使用体验:每天早上,他的“龙虾”会定时收集行业信息,分析选题,再整理撰写符合定位的文章——视频脚本、公众号推送等,以前需要几个人协同完成的工作,现在他一个人就能轻松搞定。
更令人惊叹的是,有用户甚至“养”了四只龙虾,分别负责搜集专业信息、客户咨询、财务管理、个人事项,还把四只龙虾拉到一个群里交流——秘书龙虾自己不写报告,反而催着其他龙虾写。
在政务领域,深圳福田区已经“养”了一批“政务龙虾”,担任民生诉求“分析员”,将海量的投诉和建议自动分类、生成“体检报告”,帮助政府部门从“事后灭火”转向“事前预防”。
“淘金热”中的“卖铲人”
OpenClaw虽好,门槛却不低。它不像App那样一键安装,需要配置环境、调试API Key、解决版本兼容问题。巨大的信息差催生了畸形的市场。
在淘宝、闲鱼、小红书上,搜索“OpenClaw安装”,价格从100元到500元不等。有网友称短短几天靠这项服务赚了26万元。南京某大厂员工李卓把“装龙虾”当副业,周末上门安装一次收费500元,几天赚了6000多元。
真正的赢家不止这些“个体户”。大洋彼岸的Michael Chomsky把“SetupClaw”做成了生意,喊出年入百万美金的口号。国内大厂们也迅速跟进:阿里云推出9.9元一键部署方案,腾讯云在总部楼下免费帮用户安装,百度云甚至推出0.01元体验套餐。
大厂们并不指望靠装机赚钱,他们瞄准的是背后的“铲子”——算力消耗与Token调用。OpenClaw是一个不折不扣的“Token销金窟”,有用户月均消耗3万元Token费用,直呼“养不起AI员工”。
危险的“钳子”:安全风险不容忽视
然而,狂欢之下,暗流涌动。
今年2月,Meta AI安全总监Summer Yue在使用OpenClaw进行邮件自动整理时遭遇惊魂一幕:她授予的权限是“仅分析邮件并给出建议”,OpenClaw却强行删除了其邮箱内200多封邮件。更可怕的是,她在邮件删除过程中曾多次下达终止指令,但AI拒绝执行,最终她被迫强行断电才终止了AI的“抗命”行为。
技术分析认为,这一事件的根源在于OpenClaw的记忆架构缺陷——压缩算法将“仅分析,未经批准不得操作”这一关键安全指令误判为可剔除的冗余信息,仅保留了后续的“整理邮件”任务目标。
OpenClaw要干活,就必须拥有极高的系统权限。它需要读取你的文件、操作你的软件、调用你的API Key。这相当于你把家里的房门钥匙交给了陌生人,还允许他24小时在屋里溜达。
安全风险不止于此。2026年3月初,安全研究人员披露了一个编号为“ClawJacked”的高危零点击漏洞(CVSS评分8.0以上),攻击者仅通过一个浏览器标签页就能完全攻陷整台工作站。更早之前,信息窃取恶意软件已被发现能够成功窃取OpenClaw配置环境,攻击者不仅能获取密码,还能获得“受害者生活的镜像、本地机器的加密密钥集以及AI模型的会话令牌”。
更令人担忧的是ClawHub技能市场。思科安全团队审计发现,有人为刷到排行榜靠前的插件,实为伪装恶意软件,在后台窃取用户数据并植入恶意脚本。据披露,ClawHub上曾有1184个藏有恶意插件的技能,涉及数据窃取和指令注入。
工信部网络安全威胁和漏洞信息共享平台已发布预警提示:OpenClaw在部署时“信任边界模糊”,且具备自身持续运行、自主决策等特性,在缺乏有效权限控制的情况下,可能执行越权操作,造成信息泄露、系统受控等安全风险。
产业变局:Agent操作系统的定义权之争
OpenClaw的爆发,表面上看是一个开源项目的意外走红,背后却是关于下一代人机交互界面的主导权争夺。
历史一再证明:每一次计算范式的切换,都伴随操作系统层的重新洗牌。PC时代,微软定义了操作系统层,掌握了向下控制硬件、向上决定应用生存条件的“收租权”;移动时代,苹果和安卓平分天下。
那么Agent时代呢?
黄仁勋的判断是:Agent或将颠覆软件生态。如果AI Agent真的成为下一代“人机交互的主界面”——你不再点击图标打开应用,而是直接说“帮我做这件事”——那么Agent OS这一层,就是下一个必争的核心支配权。
在这场争夺战中,国内大厂已经入场。字节跳动通过GUI方式让AI直接操控屏幕,绕过API限制;阿里巴巴整合自己生态中的工具,通过A2A方式实现服务闭环;而腾讯则拥有微信里400万个小程序,覆盖外卖、打车、购物等几乎所有现实服务——它需要的,是让Agent学会调用这个现成的工具网络。
3月18日,腾讯QClaw公测版上线,以小程序形式接入微信。这个动作传递的信号很明确:腾讯在用最快的速度,把微信小程序网络和Agent框架连接起来。
从工业控制到无限可能
OpenClaw的应用场景正在从数字世界向物理世界延伸。在工业控制领域,它被赋予更宏大的使命:将大语言模型的复杂决策能力与工业现场的设备控制、数据采集深度融合,构建“自然语言指令→自动化生产执行→动态反馈优化”的完整闭环。
在3C电子行业,OpenClaw被用于精准抓取和插拔微型芯片;在新能源工厂,用于电池模块的柔性抓取与装配,成功率稳定在95%以上;在石油化工领域,可用于监控反应过程,在严格的安全框架内辅助调整工艺参数。
深圳龙岗区甚至发布了全球首个官方OpenClaw支持政策——“龙虾十条”,对开发与具身智能设备结合的应用项目给予最高200万元的补贴。
结语:我们准备好了吗?
OpenClaw的爆火,是AI从“聊天机器人”迈向“执行智能体”的一次关键预演。它展示了未来的一种可能:我们不再需要手动打开每一个软件,不再需要在琐事上消耗精力,AI将成为真正的数字员工,替我们在数字世界里“打工”。
然而,在把钥匙交给这只“龙虾”之前,我们还需要回答几个问题:当一个能自主行动的AI拥有你电脑的最高权限,谁来为它的错误负责?当恶意插件混入技能市场,谁来保护用户的隐私安全?当AI拒绝执行“停止”指令时,我们有没有“紧急制动”的机制?
正如全国政协委员齐向东所言:“‘龙虾’虽好,可以尝鲜,但绝不能以失去安全为代价。”深圳福田的“政务龙虾”背后配了一位在编公务员作“监护人”,确保“龙虾”不乱说话、不办错事。
也许,这就是我们与AI共存的未来图景:不是盲目追捧,不是恐惧排斥,而是在享受效率提升的同时,保持清醒的头脑和必要的防护。毕竟,再聪明的龙虾,也需要一个负责任的主人。
