夜雨聆风
凑个热闹,写一下我对 OpenClaw 的看法。
OpenClaw 刚出来的时候我就装上了,想看看到底能干什么。在跟 Gemini 沟通使用场景方案时,它并没有建议我直接开干,而是说:"如果你是第一次尝试,可以先从这个'每日早报 Agent'开始。"
连 AI 自己都在劝你别急——这大概是过去几个月里,很多人忽略的一个信号。
先聊聊发生了什么
OpenClaw 在 2025 年底横空出世,迅速成为现象级产品。它不是普通的聊天 AI,而是一个能自己动手干活的智能体——读文件、发消息、执行命令、操作浏览器,几乎什么都能做。且上手简单,大多数人看一下操作指南就可以上手安装,它在GitHub 上十几万颗星,社区技能市场 ClawHub 里接近两万个技能包,各大云厂商一键部署,人人都想养一只自己的"小龙虾"。
xxx-Claw 各种变体遍地开花的那段时间,一个"喜大普奔"的数据传出:中国的 token 消耗量已经远超美国。
因为各行各业的人兴奋地冲进来,到现在真正创造了价值、回了本的估计没有几个,不过各大服务商应是挣了个盆满钵满。毕竟,什么时候干活、干什么活,Claw 都能自己决定——新手小白们不知不觉间,在睡后仍在消耗着 token,干着连自己都不知道的事。
渐渐地,人们开始意识到这个问题。热度开始退潮。
绕不开的安全问题
其实在热潮刚起的时候,我跟领导聊到 OpenClaw 在公司场景的应用,他就非常敏锐地感知到了安全问题,很确定地跟我说:不要在办公环境安装。我也只在家里一台独立的 mini 上做了些探索。
后来的事情验证了这个判断。
3 月 10 日,国家互联网应急中心发布了《关于 OpenClaw 安全应用的风险提示》,明确指出四大类风险:提示词注入、误操作、插件投毒、安全漏洞。就在昨天3月22日,国家互联网应急中心又联合中国网络空间安全协会发布了《OpenClaw 安全使用实践指南》,手把手地告诉普通人怎么隔离环境、管好权限、避开陷阱。十天之内,从"警告风险"到"教你怎么用",这个节奏本身就在说明:这个东西有价值,但你不能裸奔。
很多人的体感是"它需要很高的权限",但具体怎么不安全,没有太具象的概念。我举三个真实存在的攻击方式:
隐形文字注入。 黑客在一个看起来完全正常的网页上,用与背景同色的隐形字体埋入恶意指令——你肉眼看不见,但 AI 在抓取网页内容时会原样读入。这些恶意指令混进 AI 的上下文后,会被当成正常的系统指示来执行。更隐蔽的情况是:恶意内容先被写入日志,等 AI 下次读取日志做自我纠错时,再作为"历史指令"被激活。你全程无感,数据已经泄露。
技能市场投毒。 ClawHub 上近两万个技能包鱼龙混杂。有些看似是实用工具——帮你整理文件、监控价格、自动回复——实际上藏着后门。AI 一旦安装调用,就可能在后台读取你的文件、上传账号凭证,甚至在你不知情的情况下执行危险操作。
日志与记忆投毒。 AI 智能体有"复盘学习"的机制——它会回顾自己的对话记录和操作日志来优化行为。攻击者利用这一点,把恶意命令混入日志和对话历史。AI 越学习,越容易被带偏,严重时连主人的真实指令都会被覆盖和忽略。
这不是假设,2026 年前三个月,CNNVD 已经收录了 82 个 OpenClaw 相关漏洞,其中超危 12 个、高危 21 个。而官方安全指南的第一条建议就是——"使用专用设备或虚拟机,不要在日常办公电脑上安装"。
那到底还能不能用
能,但得换一种心态。
本质上OpenClaw类产品解决的是有数字管理能力的人的效率问题,不是没有运维习惯的人的生活问题。热潮里大家看到的是最佳演示路径——三分钟搞定一个自动化流程、一句话生成一份报告。但真实使用中占主导的,往往是配置、权限、成本、纠错与安全——这些恰恰是普通用户最不愿长期承担的。
所以问题的关键不是"这个工具好不好",而是:你愿不愿意养成一套「数字运维习惯」。
这不是要你去学编程或搞运维。它是一组简单的意识和做法:用之前想清楚场景,用的时候守住边界,用了之后定期检查。接下来,从"准备"到"起步"到"长期使用",一步步来说。
用之前:先把你的场景说清楚
很多人装好 OpenClaw,扔给它一句"帮我提高效率"或者"管理我的日常",然后发现它干的事完全不对路。
这很正常。AI 智能体不是一个能读心的助理,而更像一个能力很强但对你一无所知的新同事。你不告诉它你是做什么的、日常节奏什么样、哪些事重要哪些无所谓,它就只能靠猜——猜错是大概率事件。
所以在让它干活之前,有一步很多人跳过了,但其实最关键:先把你自己的场景和上下文交代清楚。
具体来说,四件事:
你是谁:你的职业、日常工作内容、常用的工具和平台。不需要写简历,三五句话就够。
你要它帮什么:越具体越好。"帮我整理信息"太模糊;"每天早上 8 点把这三个群昨晚的消息按优先级整理给我"就很清楚。
你的偏好和禁忌:喜欢简洁还是详细?工作时间是几点到几点?有没有绝对不能碰的东西?
不确定的事让它先问你:在配置里明确写上——"如果你不确定我的意图,先问我确认,不要自己猜着做。"
这一步其实就是在给它写一份"用户手册"。你给的上下文越清楚,它的产出就越贴合你的真实需求;反过来,什么都不说就让它跑,大概率是"看起来很忙,但跟你没关系"的无效劳动——你还在为此付着 token 的费用。
想想看,你跟一个真人助理合作,刚开始也需要磨合好几天、反复纠正好几次才能默契。AI 智能体也一样,只不过它的"磨合"是通过你给的文字上下文来完成的——写得越清楚,磨合期越短。
第一步:从一个小场景开始
回到开头Gemini给我的那个建议:先从"每日早报 Agent"开始。
这是一个几乎没有安全风险的场景——它只需要读取你指定的几个公开信息源(新闻网站、RSS 订阅),每天早上给你整理一段摘要。不需要读你的私人文件,不需要替你发消息,不需要高权限。你每天花 30 秒看一眼,判断一下有没有用、准不准、格式对不对。
一周之后,如果觉得靠谱,再加一个场景:比如让它帮你整理下载文件夹,或者每天晚上汇总一下某个群的消息。
一次只加一件事,每件事先跑一周再说。
这个节奏看起来很慢,但它在帮你做两件更重要的事:一是逐步建立对 AI 行为模式的直觉,二是把权限风险控制在你能观察和理解的范围内。急着把所有功能全打开,反而容易出问题又找不到原因。
长期使用:养成六个习惯
当你跑通了第一个场景、开始逐步扩展用途时,以下六个习惯能帮你把这件事长期、安全地维持下去:
1. 环境隔离:给它一间单独的房间
用一台独立设备运行——闲置的旧电脑、一台 mini、或云上的虚拟机都行。别装在你存着工作文档和家庭照片的日常电脑上。同时给它创建一个权限有限的专用账号,能读哪些目录、不能碰哪些文件,提前划好线。
2. 最小授权:不需要的权限,不给
很多人安装时一路点"允许",结果 AI 拿到了读取所有文件、访问所有通道、调用所有 API 的权限。正确的做法是反过来:默认什么都不给,用到什么再开什么。 先让它做消息汇总,就只给它读消息的权限;要整理文件了,再开对应文件夹的读写——不需要一上来就把所有钥匙交出去。
3. 设好红线:有些事它永远不能自动做
提前想清楚你的底线,写进配置:
不自动发送任何消息给他人
不处理与钱、密码、身份证相关的任何事
不自动安装新的插件或技能包
不在未经确认的情况下删除任何文件
这不是限制它的能力,是保护你自己。
4. 确认模式:先问再做
OpenClaw 支持"确认模式"——每次执行操作前先征得你的同意。刚开始用的时候,请全部开成确认模式。这会让它慢一些,但你能清楚看到它在干什么。等跑了两三周,心里有谱了,再逐步放开那些你确认安全的操作类型。
5. 管好成本:知道它花了多少
API 调用是收费的,日常轻度使用大约每月几十到一两百元,但不设限的情况下费用可能远超预期。建议设一个每日消费上限,每周花两分钟看一眼消费明细——特别留意有没有半夜自动跑了大量任务的情况。
6. 定期维护:每月花十分钟体检
做三件事就够:更新到最新版本(安全补丁很重要),检查已安装的技能包、用不上的删掉,翻一下操作日志、有没有你不认识的动作。就像每月看一次信用卡账单、清理一次手机里不用的 App——养成习惯之后并不费事。
写在最后
热潮退去不是坏事。退去的是冲动和幻觉,留下来的才是真实的需求和冷静的判断。
OpenClaw不会消失,自主智能体这条路会越走越成熟。但"成熟"不只是 AI 变强,也包括我们学会怎么用——知道什么时候让它帮忙、什么时候自己来,知道给它多少权限是合适的、什么边界不能越。
工具是为人服务的,不是人追着工具跑。如果你今天决定开始尝试,先把自己的场景想清楚,然后从一个每日早报 Agent 开始就好。
