OpenClaw全球进展观察:从“能说”到“能做”的范式跃迁

奇安信3月16日发布的国内首份《OpenClaw生态威胁分析报告》首次披露了OpenClaw生态的地理分布图谱：

1.部署集中度：部署在美国和中国的OpenClaw占全球总数的65%以上，其余主要分布在德国、新加坡、日本等地区。中国主要部署在北京、上海、广东、香港、浙江等经济发达省市。

2.规模数据：截至3月13日，全球范围已发现232958个暴露在互联网的OpenClaw部署实例，覆盖149703个独立IP地址。

3.漏洞风险：其中20471个实例可能存在安全漏洞（覆盖13643个IP地址），接近9%的暴露资产存在漏洞风险。

典型安全事故已开始浮现：某车企上海、北京、成都等多地员工的电脑曾集体“失控”，遭到非法控制，即便关机重启也无法阻止，疑似与使用OpenClaw有关；此外，信用卡盗刷、隐私泄露、终端非法访问等事件也频频发生。

1.国产厂商集体入场适配

云厂商方面，腾讯云、阿里云、华为云、天翼云、移动云、京东云、火山引擎、百度智能云等均已宣布支持OpenClaw。硬件厂商方面，小米技术团队推出自研端侧AI智能体“Xiaomimiclaw”，中科可控则通过天阔W50X液冷AI一体机实现从OpenClaw到CoPaw的国产化工程验证。

2.腾讯“镜像站”风波与和解

3月中旬，腾讯云推出SkillHub平台，提供13000多个OpenClaw技能，因未事先沟通引发OpenClaw创始人Peter Steinberger公开质疑。腾讯回应称初衷是为解决国内用户访问速度问题，并强调已通过技术手段降低对源站负载。3月15日，腾讯云正式成为OpenClaw官方赞助商，创始人转发表态“love a good redemption arc”，风波以合作收场。

3.英伟达推出安全定制版NemoClaw

针对安全隐患，英伟达在GTC大会上宣布推出基于OpenClaw的定制版本NemoClaw，允许用户为AI智能体添加隐私和安全控制功能，包括“网络护栏和隐私路由器”，防止智能体在企业内部随意执行任务。

4.Skills生态呈现裂变式增长

奇安信报告显示，全球四大主流平台上的Skills总量已逼近75万，每天新增2.1万个，日均增长率维持在2%-3%的高位区间。按此趋势，仅需一年Skills总量将突破800万。但生态扩张伴随风险：扫描覆盖的24万个公开Skills中，190个具有恶意性质，7727个处于可疑状态。

监管层反应

工信部2月5日即提示OpenClaw在默认或不当配置下存在较高安全风险；国家互联网应急中心3月10日发布风险提示，指出默认安全配置极为脆弱，攻击者可轻易获取系统控制权。

企业面临的四大能力缺失

奇安信将当前企业使用OpenClaw的痛点归纳为：

1.看不清：资产不可见，不知有多少实例在运行

2.管不住：高危操作无审批拦截

3.防不住漏：缺乏深度审计

4.护不住底：基础设施缺乏针对性防护

解决方案密集推出

1.奇安信：发布“龙虾安全伴侣”和SAFESKILL平台，通过“端-网-云”三层联动防护实现全景可视和行为管控，并强调私有化部署是企业落地的最佳答案。

2.腾讯：3月12日推出OpenClaw安全工具箱。

3.360：发布《OpenClaw安全部署与实践指南》，周鸿祎强调“龙虾是个好东西，绝非病毒”，主张在发展中建立安全边界。