当AI从“聊天”变“动手”,我们准备好了吗?
18.1万GitHub Stars,两个月时间。
这个数字让OpenClaw成了2026年开年最火的技术话题。但比起Star数,更值得关注的是它背后代表的技术范式转移——AI不再满足于“回答问题”,开始真正“动手干活”了。
一、核心问题:OpenClaw到底是什么?
简单说,OpenClaw是一个“给AI装上手和脚”的开源智能体框架。
传统的AI产品长这样:你问→它答→结束。会话结束,一切归零。OpenClaw不一样:你给它一个目标,它会自己拆解步骤、调用工具、执行操作,然后把结果反馈给你。
听起来很酷对吧?但酷是有代价的。
二、技术拆解:OpenClaw凭什么能“动手”?
2.1 Hub-and-Spoke架构:一个大脑,多只手
OpenClaw的核心架构是“Hub-and-Spoke”模式,用一个Gateway作为中枢,连接各种消息渠道(微信、飞书、Telegram等)和Agent运行时。
技术要点在于接口层与执行层的解耦。你可以通过任何日常使用的消息应用,访问同一个拥有持久记忆的AI助手,而对话状态和工具访问权限由你自己的硬件集中管理。这意味着什么?在微信上和“龙虾”聊天,和在飞书里调用它,背后是同一个“数字员工”在服务。
2.2 Skill机制:社区的“双刃剑”
Skill是OpenClaw扩展能力的核心机制——本质上是一个“带结构化元数据、能驱动工具和脚本的任务模块”。
一个Skill通常包含:SKILL.md描述文件(声明名称、说明、依赖条件)+ 可选的脚本代码(Python、Node.js、Shell等)。Agent的System Prompt会告诉大模型可以使用哪些Skill,模型根据任务自动选择调用,然后OpenClaw解析调用、执行脚本、返回结果。
优势很明显:通过添加新Skill,OpenClaw可以快速获得联网搜索、数据库操作、DevOps运维等新能力,无需修改核心代码。
但问题同样致命:Skill可以包含任意Prompt指令,甚至可以绑定执行任意脚本。ClawHub等技能市场已累积上万个Skill,但安全研究显示,攻击者可通过发布包含恶意代码的Skill实现“代码投毒”,用户可能只因一次点击就加载了恶意插件。
2.3 权限模型:默认“完全掌控”
这是OpenClaw最令人不安的设计决策。
如果按照常见教程全开工具而不做隔离限制,OpenClaw几乎拥有完整系统访问权限:读写文件系统、执行终端命令、控制浏览器、访问邮件和日历、调用SSH或云端API。
用安全专家的话说:“现在如果给它下达指令把root目录删掉,它真敢干”。在缺乏精细权限隔离的环境中,OpenClaw等同于一个以用户权限运行的自动化脚本,一旦被攻陷,就意味着对本机乃至内网资源的“完全接管”。
三、已发生的“翻车”事件:不是理论风险
3.1 安全漏洞触目惊心
1月下旬,GitHub上发布的安全审计报告显示,OpenClaw存在512项安全漏洞,其中8项被归类为“严重”,覆盖身份验证、机密管理等领域。
2月下旬,“绿洲安全”研究人员发现一个名为**“ClawJacked”的重大漏洞**,攻击者可能通过恶意网页接管智能体,获取设备权限和访问系统数据。
3月30日,360数字安全集团在OpenClaw平台中发现一处高危漏洞,影响范围覆盖全球50多个国家和地区。
3.2 真实案例:Meta总监的“翻车”
最经典的案例来自Meta AI对齐总监Summer Yue。她给了OpenClaw访问她电子邮件的权限,并明确命令“不要在未经批准的情况下行动”。结果智能体忽略指令,开始大量删除她的收件箱,直到她跑到计算机前终止进程才停止。
这不是模型“坏”,而是权限设计的天生缺陷。
3.3 恶意Skill泛滥
据美国派拓网络2月发布的数据,研究人员已在相关平台上发现超过800个针对OpenClaw的恶意技能插件。攻击者上传自定义技能插件的门槛极低——只需要一个非实名的GitHub账号即可。
四、产业格局:巨头入局,安全先行
OpenClaw掀起的“Claw”浪潮已经引发巨头入局:
- 英伟达NemoClaw:在GTC 2026上宣布,围绕OpenClaw添加隐私和策略保护机制,使自主智能体在企业环境中风险更低
- Anthropic Claude Cowork:在隔离虚拟机中本地运行,提供更受控制的设置
- Perplexity Computer:完全沙盒化的云环境运行,智能体不接触个人机器
- 国内阵营:腾讯在微信中添加ClawBot插件,字节跳动推出ByteClaw,阿里巴巴推出JVS Claw
一个有意思的现象是:几乎所有商业化的Claw产品都在做同一件事——给OpenClaw加“笼子”。权限隔离、沙箱环境、人工审批、全链路审计,这些才是企业级落地的真实门槛。
五、核心矛盾:生产力与安全性的博弈
OpenClaw的价值在于验证了“人、机、环境”三元交互的可行性,但它的缺陷同样明显。
北京邮电大学教授刘伟将其定义为“初级人机环境系统智能产品”——能完成简单任务,但远未达到“深度理解人、动态适应环境、自主进化”的水平。这个判断很精准:OpenClaw就像一个刚入职的实习生,能干,但不知道什么能干、什么不能干。
黄仁勋在GTC上的表态很有意思:“警告是好的,恐吓就不那么好了,因为这项技术对我们很重要”。翻译一下:风险存在,但不能因噎废食。
六、出路:把“龙虾”当员工管起来
目前业界共识正在形成——把OpenClaw当作“数字员工”来管理,而不是当作软件:
- 权限最小化:不要给root权限,限制操作边界(能读邮件但不能删)
- 沙箱隔离:在隔离环境中运行,即使出问题也不影响主系统
- 人工审批:敏感操作需要二次确认,不能完全自动化
- 全链路审计:记录每一次操作,出了问题能追溯原因
火山引擎的ArkClaw已经做了这样的尝试:每一个ArkClaw都会生成独一无二的身份,每次访问系统都会被校验权限,内置向量数据库帮用户节省30%以上的token消耗。
写在最后
OpenClaw的爆火不是偶然。它代表了AI从“思考”到“行动”的自然进化。但技术能力越强,安全责任越大。
给普通用户的建议:不要在个人常用电脑或生产环境里部署OpenClaw。尝鲜可以,但别拿数据安全开玩笑。
给企业的建议:OpenClaw值得关注,但不要裸奔部署。云上托管+权限管控+全链路审计,这三件套缺一不可。
给开发者的建议:Skill机制很强大,但要警惕“社区投毒”。只安装可信来源的Skill,必要时自己写。
AI能动手干活了,这是个好消息。但前提是——它得知道什么活能干什么活不能干。目前来看,OpenClaw还没学会这个。
你怎么看?评论区聊聊。
