夜雨聆风4月4日,Anthropic 把 OpenClaw 从 Claude 订阅里切掉了。
这事表面上是个商业决策,用订阅跑第三方 agent 框架太费钱了,Anthropic 不想补贴。但往深里看,这件事撕开了当下 AI 编程工具市场最底层的一道裂痕,到底什么叫一个好 agent?
OpenClaw 和 Claude Code 是两条完全不同的答案。
先说 OpenClaw 是什么
OpenClaw 最早叫 Clawdbot,后来叫 Moltbot,现在叫 OpenClaw。你大概在各种地方见过它的名字,Jensen Huang 在 GTC 2026 上把它比作 Linux,AMD 专门给它的本地运行做了 RyzenClaw 和 RadeonClaw 硬件配置,Opera 把它接进了浏览器,甚至中国的智谱 AI 也在同一天发布了它的本地化版本。
其实它就是一个跑在你本地的 agent 框架。你跟它说「把我邮箱清理一下」,它真的去清理。你说「帮我发封邮件给张总」,它真的去发。它不是给你建议,它是真的动手。
能做到这一点,靠的是 Skills 系统。OpenClaw 把各种工具封装成可插拔的 skill,邮件 skill、文件 skill、浏览器 skill、代码 skill,你想让它干什么,就给它装什么。100多个预置 skill,你也可以自己写。说到底,它就是把 LLM 和你电脑里的真实软件连接起来的中间层。
关键在于「本地」这两个字。
它跑在你自己的机器上,有完整的系统权限,能读你的文件,能控制你的浏览器,能调用你本地的各种 API。也就是说,它能做非常多的事情,但同时
还有另一件事,也没人替你看着它。
Claude Code 是什么
Claude Code 是 Anthropic 自己的编程工具,4月1日泄露了512000行代码,科技圈光顾着围观版权争议,没人注意到泄露里藏着的那条产品线索。
有人从代码里挖出了一个 feature flag,叫proactive_mode。
这个模式的逻辑很简单,Claude Code 会在你没发指令的时候自己判断该干什么、自己执行、自己汇报。相当于一个从来不问你「今天要干嘛」的员工,你觉得它应该闲着,它觉得有的是活要干。
这个功能最终会不会发布是两说。但它被写进代码这件事本身,已经说明 Anthropic 在想什么,他们想做一个高度自主的 agent,但又不想完全放开。
Claude Code 一直是有控制感的。你叫它,它动。你打断,它停。它的边界是清楚的,它的权限是受限的。它的订阅模式也体现了同样的思路,你用的是 Claude 的能力,Claude 给你提供工具,边界清晰,权责清晰。
然后 Anthropic 把 OpenClaw 切了。
两个产品,两种哲学
把这两个东西放在一起看,有意思的地方就出来了。
OpenClaw 的思路是最大 autonomy,本地运行,skill 扩展,开源透明,你想怎么改就怎么改。它的前提假设是「你会为自己的 agent 负责」。如果你是个能管好自己服务器的高级用户,这套东西强大得离谱。
Claude Code 的思路是受控 autonomy,云端订阅,边界清晰,你用我的能力,我定我的规则。它的前提假设是「不是每个用户都应该有 root 权限」。如果你是个想专注写代码而不是管 infra 的普通开发者,这套东西省心得离谱。
一个想造 Linux,一个想造 iPhone。
Linux 是什么都开放,你自己编译,自己配,自己负责。iPhone 是什么都替你决定好了,你只用管用就行了。
这两条路在传统软件世界里并行了几十年,没分出过胜负。
但在 AI agent 这个领域,这个问题变得格外尖锐,因为 agent 做的每一个决策,影响的不只是它自己,还有你电脑里的文件、你账户里的数据、你控制不了但正在发生的那些事。
autonomy 和安全,吵了几十年没吵明白
OpenClaw 50万台暴露实例这件事,我之前写过。3万多个有安全风险,15200个可以被 RCE 漏洞直接拿下。Cisco 在 RSAC 2026 上发了三个开源安全工具,Palo Alto 发了 Prisma AIRS 3.0,全是补救性的。
没有任何一家拿出「怎么一键关掉公司内所有 OpenClaw 实例」的方案。
这不是技术问题,这是设计哲学问题。
OpenClaw 的设计决定了它永远不会有原生的企业级总开关。它是本地优先的,它信任用户,它的权限模型是「你装了你就要自己管」。对于那些有能力管好自己 infra 的团队来说,这没问题。但对于企业 IT 来说,那结果就是,你的员工跑了一个 agent,你可能根本不知道它在哪、它访问了什么、它把数据发给了谁。
Claude Code 也不完美。它的订阅模式决定了它的 agent 能力是有天花板的,它的边界是 Anthropic 定的,不是你定的。它现在能做的事已经很强了,但你想让它做的事如果超出了 Anthropic 设定的边界,对不起,要么等官方开放,要么自己写 plugin,但 plugin 也没有 OpenClaw 的 skill 系统那么自由。
Cisco 的 Jeetu Patel 在 RSAC 2026 上说了一句话,我觉得是整场大会里最到位的
「我把它们(AI agents)比作青少年。极度聪明,但完全不知道后果是什么。」
这句话戳中的是两个产品都没有正面回答的问题,谁来教它们后果是什么?
从这两条路,我们能学到什么
我想把这个问题拆开来看,不站队,但理清楚两边各自交了什么学费。
OpenClaw 交的学费,autonomy 是有代价的。
你给了一个系统无限制的本地权限,你就得承担它被利用的风险。Skills 系统是它的长板,也是它的短板,你装了一个来路不明的 skill,它就能用你给的权限做任何事。ClawHavoc 已经证明了这一点。开源生态的去中心化特性让恶意 skill 难以被集中管控,这是一个结构性的问题,不是打补丁能解决的。
Claude Code 交的学费,控制是有代价的。
订阅切掉 OpenClaw 这件事,短期内保护了 Anthropic 的商业利益,但也同时证明了受控 agent 的天花板,你用的是我的环境,你享受我的能力,你就得遵守我的规则。这个规则不只是技术层面的,也是商业层面的。当你的 agent 工作流深度绑定了某个平台之后,你发现你想挪走,代价已经很高了。
那一个好 agent 应该怎么设计?
我自己的感受是,这个问题没有标准答案,但它有一个底层的取舍逻辑
第一,autonomy 应该分层。不是所有事情都需要同一个 level 的权限。你让它读文件是一个权限级别,让它发邮件是另一个,让它控制你的银行账户又是一个。好的 agent 设计应该在权限层面做精细化控制,而不是全开或者全关。
第二,透明和可审计是底线。不管你用 OpenClaw 还是 Claude Code,有一个东西是必须有的,你要知道你的 agent 做了什么,正在做什么,打算做什么。OpenClaw 的问题不是它跑在本地,而是它跑在本地的时候,用户根本没有办法清楚地看到它在干什么。
第三,kill switch 不只是安全功能,它是信任的基础。一个永远关不掉的 agent,不管它多么强大,说到底是一个你无法信任的系统。因为信任的前提是「我可以随时收回权限」。
写到这儿我停下来想了一下,OpenClaw 和 Claude Code 其实代表了 AI 发展里的两种主流叙事
一种相信开放和 autonomy 能带来最大的可能性,相信用户有能力为自己负责,相信失控才是进步的燃料。
另一种相信约束和控制才是负责任的做法,相信不是每个用户都知道边界在哪里,相信平台有义务替用户守好底线。
这两条路现在都在往前走,谁也没把谁打死。
也许最后的好消息是,这个行业够大,容得下 Linux 和 iPhone 同时存在。
坏消息是,在它们找到彼此之前,很多用户的 agent 会以我们还没完全理解的方式改变他们的数字生活。
哪种 agent 更适合你?取决于你是哪种人。
