OpenClaw及其后續(xù)發(fā)展

作者：ThiyagarajanM(Rajan)2026年3月6日

歷史上“增長最快”的開源項(xiàng)目，只用一小時(shí)就搭好了。99天后，其創(chuàng)建者加入了OpenAI，這個(gè)項(xiàng)目先后換過7個(gè)名字、爆發(fā)7次安全危機(jī)、收獲25萬顆GitHub星標(biāo)。

上周一位合作的創(chuàng)始人問我：這東西到底厲害在哪？

去年七月，他還在質(zhì)疑 Claude Code，說過去很多 AI 產(chǎn)品基本都是騙局，現(xiàn)在卻事事都用它。他很真誠地問：既然 Claude Code 已經(jīng)能寫代碼、理解代碼庫、跑測試、管 Git，大家到底在興奮什么？

去年人工智能領(lǐng)域有兩個(gè)重大事件：

3月ClaudeCode發(fā)布，編碼代理突然變得真實(shí)可感，可以在終端運(yùn)行并編寫實(shí)際代碼。

11月，Gemini3、Opus4.5和GPT5.2相繼發(fā)布，前后僅幾周時(shí)間。這些模型已經(jīng)足夠好用，可以勝任大多數(shù)生產(chǎn)任務(wù)。

從那之后，真正重要的問題變了。不再是哪個(gè)模型最智能，而是如何為模型構(gòu)建更強(qiáng)大的框架。

Steinberger在11月的一個(gè)周六寫出了那個(gè)“外殼”。他想在WhatsApp里用Claude，于是做了Warelay（WhatsApp Relay），只用了大約一小時(shí)。

他是PSPDFKit的創(chuàng)始人，PSPDFKit是一個(gè)被銀行和航空公司使用的PDF框架。他是一位正經(jīng)的工程師。但OpenClaw并不是傳統(tǒng)意義上 “嚴(yán)謹(jǐn)?shù)墓こ套髌贰薄?/p>

• 記憶用的是記事本就能改的文本文件
• 工具集成就是CLI腳本
• 沒用Anthropic的MCP協(xié)議

他自己說：“我不用MCP或那些亂七八糟的東西。”他只是編寫命令行工具。一個(gè)對接GoogleAPI。一個(gè)反向控制他的Eight Sleep智能床，讓AI在他到家前提前降溫，一個(gè)黑進(jìn)本地維也納外賣App。

他的智能體曾經(jīng)整夜盯著安防攝像頭，堅(jiān)信有個(gè)陌生人坐在他家沙發(fā)上。結(jié)果發(fā)現(xiàn)只是個(gè)影子。當(dāng)你給人工智能設(shè)置定時(shí)任務(wù)并讓它全程監(jiān)控時(shí)，這種事就難免發(fā)生。

但星標(biāo)漸漸多了起來。他改了好幾次名字。先是Clawdis，然后是Clawdbot。Anthropic的法務(wù)團(tuán)隊(duì)發(fā)來了商標(biāo)侵權(quán)通知，因?yàn)檫@個(gè)名字聽起來太像Claude了。于是改名為Moltbot，最后定名為OpenClaw。

在這一連串折騰中間，有個(gè)東西真正改變了整個(gè)品類：有人發(fā)現(xiàn)了心跳機(jī)制（heartbeat）。

我是這么跟我那位創(chuàng)始人朋友解釋的：ClaudeCode真的是非常優(yōu)秀。它是我見過最棒的結(jié)對編程助手。它對你的代碼庫的理解比你團(tuán)隊(duì)里的大多數(shù)人都透徹，它會仔細(xì)閱讀依賴關(guān)系，還能處理幾十個(gè)文件的重構(gòu)工作。

但它仍然像一個(gè)你隨時(shí)可用的工具。你打開終端，你們一起工作，然后你關(guān)閉終端。一切就此結(jié)束。下次你打開它時(shí)，對話又重新開始。

OpenClaw的運(yùn)行機(jī)制與眾不同。它每隔三十分鐘就會自動喚醒，檢查你的收件箱、回復(fù)郵件、執(zhí)行任務(wù)，這一切都發(fā)生在你睡夢中。一位用戶曾讓OpenClaw幫他與多家經(jīng)銷商就汽車價(jià)格進(jìn)行數(shù)天的談判，期間不斷交換報(bào)價(jià)單。最終，他以低于標(biāo)價(jià)四千美元的價(jià)格成交。另一位用戶則因?yàn)镺penClaw的代理程序整夜閱讀并整理了四千封積壓的郵件，才得以清理干凈。

我的理解是這樣的：ClaudeCode就像一位住在你終端里的才華橫溢的同事。而OpenClaw更像是一位住在你電腦里的古怪朋友，會在你外賣遲到時(shí)給你發(fā)短信。它們本質(zhì)上是同一個(gè)大腦，但神經(jīng)系統(tǒng)卻截然不同。

真正重要的是動詞的變化。ClaudeCode會在你發(fā)出指令時(shí)做出回應(yīng)，而OpenClaw則會主動啟動并開始執(zhí)行任務(wù)。這是完全不同的東西。

有人會反駁。他們指出，Ralph是Huntley編寫的bash循環(huán)程序，可以自主運(yùn)行ClaudeCode；GasTown可以并行協(xié)調(diào)30個(gè)代理；ClaudeCode自身的子代理和代理團(tuán)隊(duì)也是如此。甚至有人開發(fā)了一個(gè)名為ClaudeClaw的東西，它本質(zhì)上是將守護(hù)進(jìn)程持久化功能嫁接到ClaudeCode上。

我認(rèn)為他們對方向的判斷是對的，但對OpenClaw的獨(dú)特之處理解有誤。Ralph運(yùn)行一個(gè)循環(huán)的編碼代理。GasTown負(fù)責(zé)協(xié)調(diào)這些編碼智能體。子智能體探索代碼庫并運(yùn)行測試。它們都運(yùn)行在終端中。它們都從事開發(fā)工作。

OpenClaw會讀取你的電子郵件，管理你的日歷，通過WhatsApp給你發(fā)消息，控制你的智能燈，并在凌晨3點(diǎn)監(jiān)控你的安全攝像頭。

當(dāng)代碼智能體出錯(cuò)時(shí)，你會收到一個(gè)錯(cuò)誤的提交。當(dāng)生活智能體出錯(cuò)時(shí)，你的收件箱會消失，而且會多出一個(gè)你從未創(chuàng)建過的約會資料。攻擊面根本不是一個(gè)量級。

心跳功能獲得了25萬顆星標(biāo)，但同時(shí)也讓攻擊者只需點(diǎn)擊一下就能在你機(jī)器上執(zhí)行代碼的漏洞。不是“自主化伴隨安全問題”，而是自主化本身就是安全問題。同一扇門，雙向開啟。

Steinberger每加一個(gè)新功能，都會和所有舊功能互相影響。攻擊面膨脹速度遠(yuǎn)超補(bǔ)丁速度。他每個(gè)月還要掏一萬美元服務(wù)器費(fèi)，只為讓項(xiàng)目跑下去。

安全公司Snyk掃描技能市場后發(fā)現(xiàn)，三分之一的技能存在安全漏洞，其中七分之一存在高危漏洞。一位研究人員僅用了兩分鐘就發(fā)現(xiàn)了惡意軟件。此前無人檢查，因?yàn)闄z查并非任何人的職責(zé)。

一家安全廠商超過一半的企業(yè)客戶在一個(gè)周末內(nèi)授予了OpenClaw特權(quán)訪問權(quán)限，而且未經(jīng)任何審核。GitHub上25萬顆星似乎足以讓他們下定決心。說實(shí)話，在大多數(shù)情況下，這種做法確實(shí)有效。熱門餐廳通常不會毒害你，但擁有你筆記本電腦root權(quán)限的自主智能體可不是餐廳。WordPress就為此付出了慘痛的代價(jià)。它是互聯(lián)網(wǎng)上最流行的內(nèi)容管理系統(tǒng)，也是遭受攻擊最多的系統(tǒng)。

我印象最深的是Meta公司AI協(xié)調(diào)總監(jiān)的遭遇。她把OpenClaw連接到了工作郵箱，結(jié)果整個(gè)收件箱都被清空了。她之前看到了三次警告，但都沒理會。最后不得不拔掉網(wǎng)線。

負(fù)責(zé)確保AI安全的人員竟然無法保護(hù)自己的收件箱安全。意識到風(fēng)險(xiǎn)和及時(shí)做出反應(yīng)是兩回事，而OpenClaw的反應(yīng)速度遠(yuǎn)超這兩者。

與此同時(shí)，Steinberger卻在虧損。受基礎(chǔ)設(shè)施需求旺盛的影響，Cloudflare的股價(jià)飆升了20%。蘋果的MacMini在全球范圍內(nèi)售罄。這兩家公司都從OpenClaw中獲利，但它們都與OpenClaw的開發(fā)沒有任何關(guān)系。

這是老套路了。應(yīng)用層創(chuàng)造了大部分可見的價(jià)值，而底層基礎(chǔ)設(shè)施則悄悄地攫取了大部分利潤。Linux是免費(fèi)的，AWS不是。OpenClaw是免費(fèi)的，Cloudflare的股價(jià)漲幅一點(diǎn)都不免費(fèi)。

我想起了Karpathy在二月初稱OpenClaw是“最不可思議的、堪比科幻電影的東西”，兩周后又稱它為“一堆爛攤子”。兩次都是同一個(gè)項(xiàng)目，同樣的漏洞。他兩次的評價(jià)都沒錯(cuò)，只是關(guān)注點(diǎn)不同而已。

龍蝦必須蛻殼才能長大。它破殼而出，爬出舊殼，在柔軟而暴露的狀態(tài)下度過數(shù)日。它無法保護(hù)自己，只能不斷長大。OpenClaw在99天內(nèi)蛻殼7次，換了7個(gè)名字。每一次危機(jī)都讓這個(gè)項(xiàng)目更難夭折。更好的名字、更完善的管理、更安全的保障，最終形成了一個(gè)基金會架構(gòu)。

但每次系統(tǒng)升級過程中，那些遭受損失的用戶卻成了犧牲品。他們的憑證被盜，API令牌被泄露，收件箱被刪除。他們沒有從這次升級中獲益，反而成了升級的代價(jià)。

Perplexity洞察到這一趨勢，推出了Computer。它采用云托管，不用本地部署，這意味著困擾OpenClaw的所有漏洞都已不復(fù)存在。這與AWS當(dāng)年抽象化Linux管理的做法如出一轍。先行者證明某種方案可行，托管層則負(fù)責(zé)確保其安全性。先行者贏得榮耀，托管層獲得收益。

現(xiàn)在智能體看起來越來越相似了。每個(gè)實(shí)驗(yàn)室都在推出它們。模型正在趨同。去年的Opus變成了今年的Sonnet，明年就成了免費(fèi)版本。

OpenClaw擁有當(dāng)時(shí)最優(yōu)秀的自主系統(tǒng)。但它缺少的是能夠說“不”的機(jī)制。沒有真正的技能評估，沒有有效的權(quán)限限制，也沒有系統(tǒng)監(jiān)控智能體的實(shí)際行為。AI協(xié)調(diào)主管的收件箱里需要的不是一個(gè)更聰明的智能體，而是一個(gè)更笨但約束更好的智能體。

我認(rèn)為，無論你怎么稱呼它，無論是控制、判斷，還是決定智能體不應(yīng)該做什么的因素，最終可能都蘊(yùn)含著價(jià)值。現(xiàn)在每個(gè)人都在追求更快的策略。而何時(shí)停止的機(jī)制卻完全缺失。

自主性是人們最喜歡的功能，但代價(jià)也很高。

本文編譯自substack，原文作者Thiyagarajan M (Rajan)

https://mtrajan.substack.com/p/openclaw-and-what-comes-after