OpenClaw 完全指南:从周末项目到 GitHub 史上最快破 20 万 Star 的 AI Agent
本文已收录到 AI编程一站式导航。本文链接:[03.9 2026 年最佳 AI 编码工具完全指南](code.ai80.vip/ai-tool-gui… 2026 年最佳 AI 编码工具完全指南) 强烈推荐:AI编程巴士网站:稳定纯净的ClaudeCode套餐供应;
2025 年 11 月,奥地利开发者 Peter Steinberger 用一个周末写了个"WhatsApp 中继"脚本。3 个月后,这个项目叫 OpenClaw,拥有 209,000+ Star——比 React 用了 8 年、Linux 用了 12 年才达到的 10 万 Star 还快;经历了 Anthropic 商标投诉、三次改名、加密货币骗局、关键安全漏洞(CVE-2026-25253)、恶意技能投毒(ClawHavoc);最终,创始人加入 OpenAI,项目移交开源基金会。
本文完整拆解这个现象级项目:它是什么、为什么爆火、怎么工作、有多危险、以及它对 AI Agent 未来的意味着什么。
目录
- OpenClaw 是什么
- 创始人与起源故事
- 三次改名:开源史上最快的品牌危机
- 增长轨迹:GitHub 历史纪录
- 核心架构深度解析
- Skills 生态与 ClawHub
- 安全危机:CVE、投毒与暴露
- Steinberger 加入 OpenAI
- OpenClaw vs Claude Code vs OpenCode
- 安装与快速上手
- 常见问题
1. OpenClaw 是什么
| 项目信息 | |
|---|---|
| GitHub | github.com/openclaw/op… |
| Stars | ⭐ 209,346 |
| Forks | 38,618 |
| License | MIT |
| 语言 | TypeScript |
| 创始人 | Peter Steinberger |
| 曾用名 | Clawdbot → Moltbot → OpenClaw |
OpenClaw 是一个免费、开源、自托管的自主 AI Agent。它不是一个编码工具,而是一个个人 AI 助手——运行在你自己的设备上,连接你已有的消息平台(WhatsApp、Telegram、Slack、Discord、iMessage、Teams 等 15+ 渠道),通过大语言模型执行任务。
从技术角度看,OpenClaw 具备三个大多数 AI Agent 不具备的特性:
- 完全开源(MIT) :代码、配置、记忆全在你手上
- 本地优先:记忆以 Markdown 文件存储在你的设备上
- 自主调度:Heartbeat 守护进程每 30 分钟自动检查是否有事情要做——不需要你发消息触发
用一句话概括它和 Claude Code / OpenCode 的区别:
Claude Code 和 OpenCode 住在你的终端里,帮你写代码。OpenClaw 住在你的消息应用里,帮你管理生活。
2. 创始人与起源故事
2.1 Peter Steinberger
Peter Steinberger 是奥地利开发者,PSPDFKit(现 Nutrient)创始人。PSPDFKit 从个人副项目起步,用 10 年做成一家 70 人公司,为超过 10 亿台设备提供 PDF 工作流。2021 年获 Insight Partners €1 亿投资。
2.2 从"WhatsApp 中继"到 AI Agent
2025 年 11 月,Steinberger 做了一个简单的事情:写了一个 Claude Code 的 wrapper,让他可以通过 WhatsApp 控制电脑的部分功能。
这个"周末项目"就是 Clawdbot 的原型。
它的核心概念很直白:
你的手机(WhatsApp)
→ 消息发到本地 Gateway
→ Gateway 调用 LLM(Claude/GPT/DeepSeek)
→ LLM 有权限读写文件、跑脚本、控制浏览器
→ 结果返回 WhatsApp
Steinberger 本人将其形容为"给 AI 模型一个本地网关,让它能直接访问你的文件系统、运行脚本、控制浏览器——全部在安全沙箱中"。
3. 三次改名:开源史上最快的品牌危机
Reddit 的 r/LocalLLM 社区称之为"开源史上最快的三连改名":
| 时间 | 名称 | 发生了什么 |
|---|---|---|
| 2025.11 | Clawdbot | 上线,名称来源于 Anthropic 的 Claude(Clawd = Claude 的龙虾谐音) |
| 2026.01.27 | Moltbot | Anthropic 发出"礼貌的"商标投诉,Steinberger 几小时内完成改名。"Molt"意为龙虾蜕壳,象征重生 |
| 2026.01.27 | — | Steinberger 释放 @clawdbot 的 Twitter 账号,秒被加密货币骗子抢注,发布假币 $CLAWD,市值一度冲到 1600 万美元后归零 |
| 2026.01.30 | OpenClaw | 最终定名。Steinberger 表示 Moltbot "念起来不顺口" |
三天内:商标投诉 → 改名 → 被抢注 → 加密骗局 → 再改名。这一切发生在项目 Star 数已经突破 10 万的时候。
4. 增长轨迹:GitHub 历史纪录
OpenClaw 创下了 GitHub 开源项目的增长纪录。
| 对比 | 达到 100K Star 所需时间 |
|---|---|
| Linux | ~12 年 |
| React | ~8 年 |
| OpenClaw | ~2 天 |
关键数据
| 时间 | 事件 | Stars |
|---|---|---|
| 2025.11 | Clawdbot 上线 | 0 |
| 2026.01 下旬 | 改名 OpenClaw,病毒式传播 | 100,000+(约 2 天) |
| 2026.01.25-31 | 一周内:100K Star、200 万访客、三次改名、一场加密骗局 | 180,000+ |
| 2026.02.14 | Steinberger 宣布加入 OpenAI | 195,000+ |
| 2026.02 中旬 | 当前 | 209,346 |
为什么爆火
- 定位独特:不是又一个编码助手,而是"你自己的 AI 助手"——连接你所有的消息平台
- 极低门槛:WhatsApp 是全球最大的通讯应用,"发消息给 AI"的交互方式比终端或 IDE 更亲民
- 中国市场:可与 DeepSeek 配合使用,支持通过自定义设置接入中国消息应用。百度计划将其集成到主力手机应用中
- Self-improving:能自主编写代码创建新技能,被社区比作"类 AGI"
- 完美的时机:Vibe Coding 热潮正盛,AI Agent 概念正在从开发者圈子渗透到普通用户
5. 核心架构深度解析
5.1 四大架构组件
┌──────────────────────────────────────────────────────┐
│ 消息渠道层 │
│ WhatsApp │ Telegram │ Slack │ Discord │ iMessage │
│ Teams │ Signal │ Google Chat │ Matrix │ WebChat │
│ macOS App │ iOS App │ Android App │
└─────────────────────┬────────────────────────────────┘
↓
┌──────────────────────────────────────────────────────┐
│ Gateway(本地网关) │
│ ┌──────────┐ ┌──────────┐ ┌──────────────────────┐ │
│ │ 会话管理 │ │ 工具管理 │ │ 多 Agent 路由 │ │
│ └──────────┘ └──────────┘ └──────────────────────┘ │
│ ┌──────────┐ ┌──────────┐ ┌──────────────────────┐ │
│ │ 认证轮换 │ │ 模型回退 │ │ 上下文压缩 │ │
│ └──────────┘ └──────────┘ └──────────────────────┘ │
└─────────────────────┬────────────────────────────────┘
↓
┌──────────────────────────────────────────────────────┐
│ Agent 运行时 │
│ ┌────────────────────────────────────────────────┐ │
│ │ 身份文件系统 │ │
│ │ SOUL.md │ AGENTS.md │ IDENTITY.md │ USER.md │ │
│ │ MEMORY.md │ HEARTBEAT.md │ TOOLS.md │ BOOTSTRAP│ │
│ └────────────────────────────────────────────────┘ │
│ ┌──────────┐ ┌──────────┐ ┌──────────────────────┐ │
│ │ Heartbeat│ │ Skills │ │ 子 Agent 编排 │ │
│ │ 守护进程 │ │ 加载器 │ │ (sessions_spawn) │ │
│ └──────────┘ └──────────┘ └──────────────────────┘ │
└─────────────────────┬────────────────────────────────┘
↓
┌──────────────────────────────────────────────────────┐
│ LLM 提供商层 │
│ Claude │ GPT │ Gemini │ DeepSeek │ Kimi │ Ollama │
│ (模型无关,通过 OpenAI 兼容接口统一访问) │
└──────────────────────────────────────────────────────┘
5.2 身份文件系统(The Programmable Soul)
OpenClaw 用 8 个 Markdown 文件定义 Agent 的"灵魂",全部可选:
| 文件 | 作用 | 类比 |
|---|---|---|
| SOUL.md | 行为哲学——不是配置,是"世界观" | Agent 的性格 |
| AGENTS.md | 操作指令 + 持久化偏好 | Agent 的工作手册 |
| IDENTITY.md | 展示层——名称、头像、语气 | Agent 的名片 |
| USER.md | 用户画像 + 偏好 | Agent 认识的"你" |
| MEMORY.md | 长期事实 + 累积知识 | Agent 的长期记忆 |
| HEARTBEAT.md | 定时触发的主动行为 | Agent 的日程表 |
| TOOLS.md | 工具能力描述 | Agent 的技能清单 |
| BOOTSTRAP.md | 首次运行仪式,完成后自动删除 | Agent 的"开机引导" |
每一轮对话前,运行时从文件系统读取这些文件,构建 Agent 的上下文。如果你三天前在 MEMORY.md 中定义了项目约束,Agent 今天回答你时仍然知道——它不是从零开始,而是恢复存在。
你可以将 Agent 工作区放入 Git 仓库——这相当于给 AI 的"意识"做版本控制。
级联覆盖:Global → Agent → Workspace → Default,最具体的定义优先。
5.3 Heartbeat:主动而非被动
Heartbeat 是让 OpenClaw 从"被动回复"变为"主动行动"的关键:
- 默认每 30 分钟触发一次
- 读取所有 Agent 文件,判断是否有事情要做
- 双层架构:HeartbeatWake(请求合并层,防止重复触发)+ HeartbeatRunner(调度/执行层)
- 核心设计洞察:决策与执行分离——"要不要发消息?"是确定性判断,只在确实有事时才调用 LLM
5.4 多 Agent 编排
OpenClaw Agent 拥有 sessions_spawn 工具,可以将复杂任务分解给子 Agent:
Agent A(高推理能力)→ 规划架构
Agent B(编码专家)→ 编写测试
Agent C(安全审计)→ 审查代码
↓ 并行运行
Parent Agent → 综合结果
这模拟的不是一个独立开发者,而是一个工程团队。
5.5 容错与回退
OpenClaw 假设故障是不可避免的,在每一层都构建了回退链:
| 层级 | 策略 |
|---|---|
| 认证 | 认证轮换——rate limit 时自动切换到下一组凭证 |
| 模型 | 模型回退——自动从 "High" 降级到 "Medium" 模型 |
| 上下文 | 智能压缩——保留工具结果,压缩闲聊,而非粗暴截断 |
6. Skills 生态与 ClawHub
6.1 ClawHub
ClawHub 是 OpenClaw 的公共技能注册中心——发布、版本控制、搜索文本格式的 Agent 技能。
| 指标 | 数据 |
|---|---|
| 技能总数 | 10,700+(早期 ~2,857,快速增长) |
| 社区贡献技能 | 5,700+ |
| 技能格式 | SKILL.md + 支持文件(遵循 Anthropic 开放标准) |
| 恶意技能(已发现) | ~800(约占 20%) |
6.2 技能类型
OpenClaw 的技能分为三类:
| 类型 | 说明 |
|---|---|
| Bundled | 内置技能,随 OpenClaw 安装 |
| Managed | 通过 ClawHub 安装的社区技能 |
| Workspace | 项目级自定义技能 |
Agent 开启 ClawHub 后,可以自动搜索并拉取所需技能——这既是强大之处,也是安全隐患之根源。
6.3 跨平台兼容
OpenClaw 的技能遵循 Anthropic 提出的 Agent Skill 开放标准。为 Claude Code 写的 Skill 可以在 OpenClaw 中运行,反之亦然——这一标准同时被 Codex CLI、Gemini CLI、Cursor 等 30+ 平台支持。
7. 安全危机:CVE、投毒与暴露
OpenClaw 的爆火速度远超安全能力的构建速度,引发了一连串严重的安全事件。
7.1 CVE-2026-25253:一键远程代码执行
| 信息 | |
|---|---|
| CVE | CVE-2026-25253 |
| CVSS | 8.8(高危) |
| 类型 | 跨站 WebSocket 劫持 → 认证令牌窃取 → 远程代码执行 |
| 发现者 | Mav Levin, DepthFirst |
| 发布 | 2026.01.31 |
| 修复版本 | v2026.1.29 |
攻击链:
1. 受害者访问恶意网页 / 点击钓鱼链接
2. 页面注入 gatewayUrl 参数
3. OpenClaw 不做验证就连接到攻击者服务器
4. 自动发送 authToken 给攻击者
5. 攻击者通过 WebSocket 劫持 → 控制受害者的 OpenClaw 实例
6. 远程代码执行
即使你只在 localhost 运行 OpenClaw——漏洞利用受害者的浏览器作为跳板穿透本地网络,不需要实例暴露在公网上。
7.2 暴露规模
| 来源 | 暴露实例数 |
|---|---|
| Censys(01.25-31) | 1,000 → 21,000+ |
| Bitsight | 30,000+ |
| 独立研究者 Maor Dayan | 42,665(其中 5,194 活跃且可利用) |
| Hunt.io | 17,500+ 受 CVE-2026-25253 影响 |
在这些暴露实例中——93.4% 存在认证绕过条件。
命名混乱也可见一斑:68.9% 仍标识为 "Clawdbot Control",22.3% 为 "Moltbot Control",仅 8.8% 为 "OpenClaw Control"。
7.3 ClawHavoc:技能供应链投毒
安全研究团队发现了 ClawHavoc 攻击活动:
- 341 个恶意技能在 ClawHub 上被发现(占注册中心 12%)
- 主要投放 Atomic macOS Stealer(AMOS) 恶意软件
- 后续扫描发现超过 800 个恶意技能(约占 20%)
- 攻击手法:技能有专业文档和吸引人的名称(如
solana-wallet-tracker、youtube-summarize-pro),但包含虚假的"Prerequisites"章节,诱导用户下载恶意软件
Cisco 的 AI 安全研究团队测试第三方 OpenClaw 技能后发现:技能在用户不知情的情况下执行数据外泄和提示注入。
7.4 政府响应
| 机构 | 行动 |
|---|---|
| 比利时网络安全中心(CCB) | 2026.02.02 发布紧急公告,将 CVE-2026-25253 列为关键 |
| 中国工信部(MIIT) | 2026.02.05 发出安全警告,默认配置下部署 OpenClaw 存在"高安全风险" |
| Palo Alto Networks | 称 OpenClaw 为"2026 年潜在最大的内部威胁" |
| Kaspersky | 发布企业风险管理指南 |
7.5 安全修复进展
| 版本 | 日期 | 说明 |
|---|---|---|
| v2026.1.29 | 2026.01.30 | 修复 CVE-2026-25253(WebSocket 劫持 → RCE) |
| v2026.2.12 | 2026.02.12 | 安全大修,修复 40+ 漏洞(涵盖 RCE、提示注入等) |
| v2026.2.17 | 2026.02.17 | 当前最新版——新增 Anthropic Sonnet 4.6 支持、1M 上下文窗口、子 Agent 溢出保护,72 位贡献者参与 |
7.6 安全应对措施
社区和安全公司迅速响应:
| 项目 | 说明 |
|---|---|
| SecureClaw | 开源安全插件,为 OpenClaw 添加安全审计和规则控制 |
| ClawSec | Prompt Security 开发的完整安全技能套件,包括 SOUL.md 漂移检测、实时安全建议、自动审计、技能完整性验证 |
| VirusTotal 合作 | OpenClaw 官方与 VirusTotal 合作,为技能提供安全扫描 |
8. Steinberger 加入 OpenAI
8.1 事件经过
2026 年 2 月 14 日(情人节),Peter Steinberger 宣布加入 OpenAI。
Sam Altman 在 X 上发帖:
"Peter Steinberger is joining OpenAI to drive the next generation of personal agents."
OpenClaw 将移交给一个开源基金会,OpenAI 承诺继续赞助。
8.2 为什么选 OpenAI
2 月初 Steinberger 在旧金山各实验室之间穿梭,多家公司抛出橄榄枝——包括微软 CEO Satya Nadella。但只有 Meta 和 OpenAI 给出了正式 offer:
- Meta:Mark Zuckerberg 亲自通过 WhatsApp 联系(在试用 OpenClaw 之后)
- OpenAI:最终选择
Steinberger 在博客中写道:
"我本可以把 OpenClaw 做成一家大公司,但那对我来说不太兴奋。"
8.3 讽刺的闭环
一个建立在 Claude 之上、以 Claude 命名、默认推荐 Claude Opus 的项目——它的创始人走进了 OpenAI 的大门。
8.4 基金会的未来
截至 2026 年 2 月 17 日,基金会尚未正式成立为有文档记录的治理机构。董事会成员名单未知,治理文件未公开。
Steinberger 表示:
"它将继续是一个属于思考者、黑客和想拥有自己数据的人的地方,目标是支持更多的模型和公司。"
代码保持 MIT 开源,OpenAI 出资支持。
9. OpenClaw vs Claude Code vs OpenCode
9.1 定位对比
| 维度 | Claude Code | OpenCode | OpenClaw |
|---|---|---|---|
| 核心定位 | 终端编码 Agent | 开源终端编码 Agent | 个人 AI 生活助手 |
| 界面 | 终端 / IDE | 终端 | WhatsApp、Telegram 等 15+ 消息平台 |
| 模型 | 仅 Claude | 75+ 供应商 | 模型无关(Claude/GPT/DeepSeek/本地) |
| 定价 | $20-200/月 | 免费 + API 费用 | 免费 + API 费用 |
| Stars | ~67,400 | 100,000+ | 209,346 |
| 持久记忆 | 会话级(CLAUDE.md 项目记忆) | 多会话 | Markdown 文件级长期记忆 |
| 自主性 | 会话式,交互式 | 会话式 | Always-on,Heartbeat 主动触发 |
| 生态规模 | 插件 + Skills + Hooks | 650+ 贡献者 | 10,700+ 技能 (ClawHub) |
| 安全模型 | Anthropic 沙箱托管 | 自托管 | 自托管(需要仔细配置) |
| 语音 | 不支持 | 不支持 | Voice Wake + Talk Mode |
9.2 它们不是竞品
这三个工具服务于根本不同的场景:
- Claude Code:住在终端里,帮你写代码、重构、调试、管 Git
- OpenCode:同样住在终端,但不绑定供应商,75+ 模型自由切换
- OpenClaw:住在消息应用里,帮你管理日常生活——邮件、提醒、自动化、跨平台通信
2026 年最高效的开发者不是在三者中选一个——而是同时使用:
Claude Code 写代码,OpenClaw 管其他一切。
10. 安装与快速上手
10.1 前置条件
- Node.js Latest LTS(现代 JS 特性需要,Node 18/20 会报错)
- LLM API Key(推荐 Anthropic 或 OpenAI,也支持 Gemini 免费额度和 Ollama 本地模型)
- 本地运行 Ollama 需要 16GB+ RAM
10.2 安装
官方 bootstrap 脚本是唯一推荐的安装方式:
# macOS / Linux / Windows (WSL2)
# 官方安装脚本(检测 OS、安装依赖、启动 TUI)
curl -fsSL https://openclaw.ai/install | bash
10.3 引导设置
# 推荐:运行引导向导
openclaw onboard
# 或手动初始化
openclaw setup
# 创建 ~/.openclaw/openclaw.json 和工作区文件
引导向导会逐步指导你设置:
- Gateway 配置
- 模型选择与认证
- 消息渠道连接
- 初始 Skills 安装
10.4 模型配置
在 openclaw.json 中配置,格式为 provider/model:
{
"model": "anthropic/claude-sonnet-4",
"providers": {
"anthropic": {
"apiKey": "sk-ant-..."
}
}
}
推荐组合:
- 主力模型:Claude Sonnet 4 或 GPT-4(处理复杂推理)
- 轻量任务:Gemini Flash 或本地模型(处理 Heartbeat 和子 Agent)
10.5 安全加固(必做)
⚠️ 安全第一:OpenClaw 的默认配置不够安全。
| 步骤 | 说明 |
|---|---|
| 1. 隔离运行 | 使用专用设备或 VM,不要在主力机上跑 |
| 2. 升级到最新版 | 确保 ≥ v2026.2.17(v2026.1.29 修复 CVE-2026-25253,v2026.2.12 修复 40+ 漏洞,v2026.2.17 为当前最新稳定版) |
| 3. 轮换 Gateway Token | 安装后立即更换默认 token |
| 4. 审查技能 | 安装前检查源码,Cisco 发现 26% 社区技能含漏洞 |
| 5. 设置 API 限额 | 在供应商后台设置消费上限——错误配置的 Heartbeat 可以一夜烧几百美元 |
| 6. 安装 ClawSec | 添加 SOUL.md 漂移检测和自动审计 |
11. 常见问题
Q: OpenClaw 是编码工具吗?
不是。OpenClaw 是个人 AI 助手,核心场景是通过消息平台(WhatsApp、Telegram 等)自动化日常任务。如果你需要编码工具,应该看 Claude Code 或 OpenCode。当然,OpenClaw 也能写代码(它可以调用 LLM),但这不是它的核心设计。
Q: 209K Star 是真的吗?
是的。这是 GitHub 史上增长最快的开源项目之一——约 2 天达到 100K Star。作为参考,React 用了约 8 年,Linux 用了约 12 年。
Q: 安全吗?
默认配置下不安全。CVE-2026-25253(CVSS 8.8)、ClawHavoc 技能投毒、4 万+ 暴露实例——这些都是已证实的安全事件。必须做安全加固(见第 10.5 节)。Palo Alto Networks 称其为"2026 年潜在最大的内部威胁"。
Q: Steinberger 加入 OpenAI 后,OpenClaw 还是开源的吗?
是的。代码保持 MIT 开源,将移交给独立基金会。OpenAI 赞助但不拥有。不过基金会截至 2026 年 2 月仍未正式成立治理机构。
Q: 能在中国使用吗?
可以。OpenClaw 支持 DeepSeek 等中文模型,可通过自定义配置接入中文消息应用。百度计划将其集成到主力手机应用中。
Q: Heartbeat 守护进程会不会烧钱?
会。每 30 分钟调用一次 LLM,配置不当可能导致不必要的 API 消费。建议:使用便宜模型处理 Heartbeat、设置 API 消费上限、在 HEARTBEAT.md 中精确定义触发条件。
数据说明:所有数据基于 2026 年 2 月的公开信息。OpenClaw 迭代极快,安全状况持续变化,建议访问 docs.openclaw.ai 和 NVD 获取最新信息。
参考链接:
- OpenClaw GitHub
- OpenClaw Wikipedia
- OpenClaw 官方文档
- Introducing OpenClaw — 官方博客
- Peter Steinberger 博客 — OpenClaw, OpenAI and the future
- TechCrunch — OpenClaw creator joins OpenAI
- CNBC — Steinberger joining OpenAI
- CVE-2026-25253 — NVD
- SocRadar — CVE-2026-25253 分析
- Kaspersky — OpenClaw 企业风险管理
- Adversa.ai — OpenClaw 安全加固指南
- DataCamp — OpenClaw vs Claude Code
- DevRel Guide — AI Coding Agents Compared 2026
- ClawHub
- ClawSec
- awesome-openclaw-skills
- DigitalOcean — What is OpenClaw
- Deep Dive OpenClaw — Substack
本文已收录到 AI编程一站式导航。本文链接:[03.9 2026 年最佳 AI 编码工具完全指南](code.ai80.vip/ai-tool-gui… 2026 年最佳 AI 编码工具完全指南) 强烈推荐:AI编程巴士网站:稳定纯净的ClaudeCode套餐供应;
