夜雨聆风前言
正文
Openclaw:一只龙虾如何改写了人机关系的脚本
2026年初,一段视频在中国互联网上疯传:深圳腾讯总部滨海大厦门口,近千人排起长龙,有人凌晨五点开始占位,只为让志愿者在自己的电脑上免费安装一个叫“OpenClaw”的软件。排队者中有程序员、创业者、自媒体博主,甚至还有拎着菜篮子的退休阿姨。同一时间,二手交易平台上,代安装服务标价从几十元炒到几百元,付费“帮卸载”的生意也悄然兴起。
这只被称为“龙虾”的开源AI智能体,从2025年底一个奥地利程序员打发时间的周末项目,到2026年春天登顶GitHub星标历史第一、超过Linux内核,不过四个月。黄仁勋在GTC 2026上称之为“有史以来最重要的软件发布”。Anthropic因为它紧急发了律师函。全球超过50万台设备在公网上“裸奔”运行着它。
它不是大模型,不是聊天机器人,而是一个真正能操作你电脑的“数字员工”。它的故事里,有技术民主化的理想主义,有财富自由后的存在主义危机,有开源社区的狂热,也有安全失控的惊悚。
一、历时演进:一只龙虾的前世今生
1. 卖掉公司之后,他把自己弄丢了
故事要从一个奥地利人讲起。
彼得·斯坦伯格(Peter Steinberger),维也纳科技大学计算机专业出身,14岁开始编程,是个标准的“代码原住民”。2011年,他创立了PSPDFKit,一家专注于PDF处理工具的公司。这家公司的经营哲学跟硅谷主流背道而驰——不融资,不烧钱,就靠技术硬磕。13年后,它的SDK被装进了全球10亿台设备,客户名单里有Apple、Adobe、Dropbox、大众汽车这样的名字。
2021年,资本找上门来。PSPDFKit以约1亿欧元的价格被收购,彼得实现了财务自由,套现约8.3亿人民币。
然后,他崩溃了。
“当这一切都消失时,我感到非常破碎。”彼得在后来的访谈中说,自己把200%的时间、精力和心血都投进了这家公司,它被卖掉的那一刻,不是解脱,而是虚无。他去摩洛哥骑骆驼,去东南亚看海,试图享受“退休生活”,结果发现自己除了写代码,什么都不会,什么也不感兴趣。
这是很多财富自由的创业者都会经历的存在主义真空期,但彼得的版本更彻底。他后来用一种极端的比喻描述自己的处境:“CEO就像一个垃圾桶——所有人都在往里扔东西,你的工作就是消化所有问题。”
这种状态持续了将近三年。2024年,他尝试过构思一个“生活助手类AI项目”,但当时的主流大模型能力有限,计划搁浅。转机出现在2025年4月,Anthropic发布了Claude Code——一个能让AI直接辅助编程的工具。彼得第一次感受到了“AI可以真正做事情”的可能性,编程的热情被重新点燃。他在2025年10月重新拾起那个被搁置的“生活助手”想法,而这次,技术已经准备好了。
2. 十天的疯狂:从一个WhatsApp脚本开始
2025年11月中旬,彼得开始了他的“退休实验”。
一切都从一个小得不能再小的需求开始:他想要一个工具,能让他用WhatsApp给自己的电脑发指令。听起来像是一个懒人的浪漫——躺在沙发上,发条消息就能让电脑干活。
第一版原型只用了一个小时就搭出来了:一个打通WhatsApp和CloudCode CLI的核心脚本,能把聊天消息转成命令行操作。彼得觉得有意思,又花了几个小时加上图片处理功能,让AI能“看懂”截图并据此行动。他又花了两天,把Slack和Discord也接进来。再花几天,加上了Gmail、日历、文件系统操作……
短短10天,一个名为“WhatsApp Relay”的简易中继脚本演变成了一个能通过多个通讯平台接收指令、调用大模型、执行本地操作的系统。
“这感觉太奇妙了,”彼得后来回忆,“我躺在沙发上发消息,电脑就自动帮我把文件整理好。我突然意识到,这不应该是我的私人玩具,而应该属于所有人。”
2025年11月24日,彼得将这个项目以“Clawdbot”的名字上传到GitHub,代码全部开源。名字是有深意的:“Claw”是龙虾的钳子,寓意能“抓住”并执行任务;“dbot”中的“d”既谐音“the”,也是向当时他使用的Claude模型的无声致敬。图标是一只张牙舞爪的红色龙虾,后来成了整个互联网都认识的符号。
这就是OpenClaw故事的起点。但说“起点”其实不够准确——更准确的描述是,一颗种子被扔进了恰好湿度、温度、光照都合适的土壤里。接下来发生的,是连播种者自己都没预料到的爆发。
3. 闷烧的两个月与突然的引爆
从2025年11月24日到2026年1月中旬,Clawdbot经历了大约两个月的“闷烧期”。
项目上传后,发布一周内吸引了200万访客,初步在极客圈站稳了脚跟。但这还只是小范围的口碑传播。此时的Clawdbot,定位仍然是“让大模型能操作电脑的开源框架”,核心能力是通过Gateway接收来自各通讯平台的指令,分发给LLM执行。它在开发者社区初步渗透,但远没有“出圈”。
有两个关键的结构性因素,为后来的爆发埋下了伏笔。
第一是模型的中立性。OpenClaw从设计之初就强调“模型无关”——你可以接入GPT-4、Claude、GLM、MiniMax、DeepSeek,任何一个大模型都可以作为它的“大脑”。这意味着它不站队,不受制于任何一家大模型厂商的生态。这个设计选择在后来被证明极其重要:当中国用户发现可以用自己偏好的国产大模型驱动它时,使用门槛被大幅拉低。
第二是本地优先架构。OpenClaw设计为在用户自己的电脑上运行,通过本地网关与通讯工具对接,不需要将敏感数据上传到云端。这个选择一开始是基于隐私理念——彼得是一个对数据主权有执念的人。但后来它成了OpenClaw区别于所有“云端AI助手”的根本差异点。
2026年1月26日,引爆点来了。
这一天,Clawdbot在GitHub上突然获得了9000颗星标。对于开源项目来说,这是一个异常信号。三天后,星标数冲到6万。一周后,突破10万。两周后,达到19万。两个月后,超越Linux内核,登顶GitHub全站星标历史第一——而这个位置,Linux内核用了30多年才达到。
我们至今无法完全还原这次爆发是如何触发的。最可能的解释是复合效应:多个技术社区同时发现了它,大量推文和文章在短时间内密集出现,形成了网络效应的临界点。一些中国技术博主开始撰写“龙虾”部署教程,称呼它为“小龙虾”,把部署过程称为“养虾”——这个意象精准、亲切、有画面感,在中文互联网上具有天然的传播优势。
但爆红当天,麻烦就找上门了。
4. 48小时三次改名:一只龙虾的身份危机
2026年1月27日,就在Clawdbot爆红的第二天,AI巨头Anthropic发来了律师函。
问题出在名字上。“Clawdbot”中的“Clawd”与Anthropic的核心产品“Claude”发音几乎完全相同。Anthropic认为这可能构成商标混淆,要求彼得立即改名。
彼得面对一个棘手的局面:项目正在以每天数万星标的速度增长,品牌认知正在形成,这时候改名无异于自断根基。但法律风险不容忽视,他选择了服从。
1月27日,Clawdbot更名为Moltbot。“Molt”意为“蜕壳”,寓意龙虾成长过程中蜕去旧壳、焕发新生——这个命名暗合了项目被迫“蜕壳重生”的处境。彼得试图保留“龙虾”这个核心意象,同时彻底切割与Claude的关联。
但Moltbot这个名字只活了三天。
有用户反馈,“Molt”在部分语境下带有“陈旧”或“发霉”的负面联想,不够朗朗上口。而且更名过程本身已经造成了社区认知混乱。彼得决定再来一次。
1月30日,项目正式定名为OpenClaw。“Open”强调开源和开放生态,“Claw”回归龙虾钳子的核心意象。这次改名彻底奠定了项目的身份定位:一个开放的、所有人都能参与和贡献的AI Agent框架,不属于任何公司,不依附于任何模型。
48小时之内,从一个名字变成另一个名字,再变成第三个名字——OpenClaw创造了互联网史上最急促的品牌重塑记录之一。讽刺的是,这场改名风波非但没有削弱项目的热度,反而因为戏剧性本身,为它吸引了更多关注。在改名期间,GitHub星标数仍在以每天近万的速度增长。
5. “龙虾”游进中国:一场全民狂欢的诞生
2026年1月底到2月初,OpenClaw的热度从全球开源社区传导到了中国互联网。
这个过程可以分为三个层层递进的阶段。
第一阶段:技术社区的“养虾”文化。 中国的开发者和技术博主率先发现了OpenClaw。他们将部署过程亲切地称为“养虾”,将OpenClaw称为“小龙虾”——红色图标的形象化昵称。“养虾”这个词意外地具有魔力:它把复杂的技术部署变成了一种“养殖”体验,有温度、有养成感、有社区归属感。CSDN、掘金、知乎上开始大量出现“养虾”教程,标题里写着“十分钟养成你的第一只龙虾”。
第二阶段:社交媒体的破圈传播。 “龙虾”这个意象太适合传播了。红色小龙虾本身就是中国夜宵文化的重要符号,带着某种亲切的、市井的、全民共享的气息。当有人发现OpenClaw能在微信、飞书、钉钉上“打工”——自动回复消息、整理群文件、定时发通知——社交媒体上的传播就彻底刹不住了。小红书上的笔记从“AI工具推荐”变成了“养虾日记”,抖音上的视频从“科技测评”变成了“我的龙虾帮我写了周报”。
第三阶段:线下化与产业化。 2026年2月中旬开始,“养虾”从线上行为变成了线下现象。深圳腾讯滨海大厦门口的“免费安装”活动,本质上是几个技术志愿者的自发行为,但被传播后迅速放大。类似的免费安装点在北京、上海、杭州相继出现。与此同时,二手交易平台上,“代安装OpenClaw”服务标价从29元到199元不等,“帮卸载”甚至比“帮安装”更贵——因为不少人装完之后不知道怎么用,或者遭遇了技术问题。
到了2026年3月,“养虾”已经成为继DeepSeek之后又一个破圈的AI全民热词,OpenClaw每日下载量超过20万次。全国两会期间,“AI智能体”相关讨论中频繁出现OpenClaw的身影。
6. 大厂入场:从“卖模型”到“建电网”
OpenClaw的爆火,迅速触发了中国科技巨头的集体反应。但这个反应的形态,与人们最初预期的截然不同。
2026年2月到3月,阿里巴巴、腾讯、百度、字节跳动、月之暗面、MiniMax、智谱AI等几乎所有头部AI公司,不约而同地推出了各自的“龙虾”产品。名字高度趋同:CoPaw(阿里)、KimiClaw(月之暗面)、MaxClaw(MiniMax)、ArkClaw(字节)、AutoClaw“澳龙”(智谱)、DuClaw(百度)、QClaw(腾讯)、LobsterAI(网易有道)……
这不是简单的“蹭热度”,而是一次集体的战略转向。
此前,中国大模型公司的核心商业模式是“卖API”——按照调用次数向开发者收费。OpenClaw的出现暴露了这个模式的脆弱性:它是一个“模型中立”的框架,用户可以自由选择任何大模型作为大脑。如果OpenClaw成为主流入口,大模型就会变成可被随时替换的底层组件,而非生态的核心。大厂意识到,真正值钱的不是模型本身,而是从模型到应用、从调用到执行的整个“电网”——谁控制了AI与电脑操作之间的管道,谁就掌握了下一代的入口。
因此,大厂们的策略迅速调整:不再只是“卖模型”,而是围绕OpenClaw生态做“基建”。腾讯云、阿里云、华为云、火山引擎竞相推出OpenClaw的一键部署方案和云端托管服务;百度推出“红手指Operator”将OpenClaw从桌面端解放到移动端;阿里云SAE团队发布了OpenClaw的Serverless托管方案,主打“秒级弹性扩缩”……
这场“大厂养虾”热潮,本质上是各方在OpenClaw生态中抢占“基础设施”位置的竞赛——谁成为最便捷的“养虾”平台,谁就掌握了用户和流量。
与此同时,OpenClaw的社区生态也在以惊人的速度膨胀。截至2026年3月,社区技能仓库(ClawHub)中已有超过10,700个Skills发布,覆盖开发、设计、数据分析、办公自动化等多个专业领域。一个名为Moltbook的Agent社交网络注册了超过77万个Agent。GitHub贡献者数量达到1,177人,fork数超过5.8万。月活跃用户超过200万。
7. 失控的“钳子”:安全危机的集中爆发
2026年2月下旬,狂欢的背面开始显露。
安全研究人员发现,OpenClaw在默认配置下存在严重的安全漏洞:它需要获取操作系统的较高权限才能执行任务,但默认的安全配置非常宽松。更致命的是,大量用户将OpenClaw实例直接暴露在公网上,没有任何认证措施。
截至2026年3月上旬,国家互联网应急中心监测数据显示,全球公网暴露的OpenClaw运行实例数量庞大,其中85%的实例存在默认配置不安全、公网无认证访问、敏感信息明文存储等问题。早在1月底,奇安信就已监测到全球有超过1.5万台运行Clawdbot的设备在公网“裸奔”,其中中国近3000台,位列全球第二。
更大的威胁来自技能(Skills)生态。OpenClaw允许第三方开发者编写Skills——本质上是操作提示词和脚本——来扩展其能力。但这个机制存在一个根本性的安全隐患:Skills可以在Agent初始化时注入行为引导代码,理论上可以被恶意开发者用来操控用户电脑。
2026年3月,一种名为ClawHavoc的恶意技能攻击被曝光,它能够利用OpenClaw的高权限执行文件窃取、数据外传等操作。这引发了安全社区的高度警惕。
3月10日,国家互联网应急中心与工信部联合发布关于OpenClaw的专项安全警示,指出该类具备自主决策和系统资源调用能力的产品存在多重安全隐患。工信部随后发布了“六要六不要”安全建议。3月11日,中国互联网金融协会发布了OpenClaw在金融行业应用的安全风险提示。多个地方政府向辖区内的金融机构下发通知,要求严格排查OpenClaw带来的安全隐患。
学术界的反应同样迅速。从2026年2月到4月,arXiv上出现了多篇专门研究OpenClaw安全问题的论文。其中一篇题为《Trojan‘s Whisper》的研究揭示了通过注入引导进行隐蔽操控的攻击方法;另一篇《Your Agent, Their Asset》提出了对OpenClaw进行系统化安全分析的框架;还有研究发现了OpenClaw在每次会话中都会暴露固定的15+工具集,无论任务是否需要,这大大增加了攻击面。
与此同时,部署门槛问题也逐渐浮出水面。大量用户被“小白也能养虾”的宣传吸引进来,却发现OpenClaw的实际使用远比想象中复杂:需要命令行操作、需要配置API密钥、需要调试各种报错。更让人头疼的是,由于OpenClaw依赖第三方大模型API,实际使用成本并不低——有用户反映API调用费用每日可达几十元甚至上千元。版本升级也曾出现过“翻车”事件,导致用户配置丢失。
“小龙虾”的钳子,确实很锋利。但它不仅会帮你抓取任务,也可能不小心伤到你自己。
8. 冷静期:狂欢之后,谁来为“龙虾”负责?
进入2026年3月下旬到4月,OpenClaw的热度开始从顶点回落,进入一个更复杂的“冷静期”。
这个阶段的特征是三线并行:
第一线:安全治理常态化。 工信部、CNCERT、国家知识产权局等机构陆续发布OpenClaw使用规范和安全指南。多国监管机构也开始跟进,发布针对“开放之爪”的使用建议。一些企业和机构内部开始制定AI智能体使用边界和审批流程。安全不再只是“提醒”,而是开始形成制度化的管理框架。
第二线:生态分化加速。 云端托管版和本地部署版开始分化为两个不同的产品形态。云端版(如KimiClaw、MaxClaw)主打零门槛和开箱即用,但失去了本地部署的隐私优势;本地版(如OpenClaw原版、AutoClaw)保留了隐私和可定制性,但使用门槛更高。2026年3月27日,CICS-CERT国家工信安全中心发布了覆盖9款主流类OpenClaw产品的安全测评报告,标志着行业开始走向标准化评估。
第三线:学术研究的系统化。 OpenClaw不再只是一个开源项目,而成为了AI Agent研究的核心实验平台。从2026年3月到4月,arXiv上出现了超过10篇以OpenClaw为研究对象的论文,涵盖取证分析、权限分离、能力治理、强化学习训练、具身智能扩展等多个方向。学术界对OpenClaw的研究已经从“描述现象”进入“建立理论框架”的阶段。
彼得·斯坦伯格本人在这场风暴中保持了某种“局内人中的局外人”姿态。2026年2月,有消息称他加入了OpenAI,但这一信息在公开渠道中无法完全确认。他多次在社交媒体上警告用户“这个软件很危险”,并呼吁开发者重视安全设计。2026年3月,他还亲自辟谣,声明自己从未入驻任何中国社交平台,所有“官方账号”全系伪造——可见“龙虾之父”本人已成为一种被仿冒和消费的符号。
核心节点总结
OpenClaw的发展轨迹可以用以下关键时间节点概括:
从一个奥地利程序员打发时间的周末项目,到改写AI Agent全球格局的现象级产品,OpenClaw的崛起路径极其特殊:它没有商业计划书,没有融资路演,没有营销团队,甚至没有正式的发布活动。它的力量完全来自开源社区的自发传播和时代需求的精准对接。但它的安全问题也恰恰源于这种“野生生长”——没有经过企业级的安全审计和治理设计,就被数以百万计的用户装进了自己的电脑。
这既是开源精神的极致胜利,也是开源模式的深层困境。
