OpenClaw及其后續發展

作者：ThiyagarajanM(Rajan)2026年3月6日

歷史上“增長最快”的開源項目，只用一小時就搭好了。99天后，其創建者加入了OpenAI，這個項目先后換過7個名字、爆發7次安全危機、收獲25萬顆GitHub星標。

上周一位合作的創始人問我：這東西到底厲害在哪？

去年七月，他還在質疑 Claude Code，說過去很多 AI 產品基本都是騙局，現在卻事事都用它。他很真誠地問：既然 Claude Code 已經能寫代碼、理解代碼庫、跑測試、管 Git，大家到底在興奮什么？

去年人工智能領域有兩個重大事件：

3月ClaudeCode發布，編碼代理突然變得真實可感，可以在終端運行并編寫實際代碼。

11月，Gemini3、Opus4.5和GPT5.2相繼發布，前后僅幾周時間。這些模型已經足夠好用，可以勝任大多數生產任務。

從那之后，真正重要的問題變了。不再是哪個模型最智能，而是如何為模型構建更強大的框架。

Steinberger在11月的一個周六寫出了那個“外殼”。他想在WhatsApp里用Claude，于是做了Warelay（WhatsApp Relay），只用了大約一小時。

他是PSPDFKit的創始人，PSPDFKit是一個被銀行和航空公司使用的PDF框架。他是一位正經的工程師。但OpenClaw并不是傳統意義上 “嚴謹的工程作品”。

• 記憶用的是記事本就能改的文本文件
• 工具集成就是CLI腳本
• 沒用Anthropic的MCP協議

他自己說：“我不用MCP或那些亂七八糟的東西。”他只是編寫命令行工具。一個對接GoogleAPI。一個反向控制他的Eight Sleep智能床，讓AI在他到家前提前降溫，一個黑進本地維也納外賣App。

他的智能體曾經整夜盯著安防攝像頭，堅信有個陌生人坐在他家沙發上。結果發現只是個影子。當你給人工智能設置定時任務并讓它全程監控時，這種事就難免發生。

但星標漸漸多了起來。他改了好幾次名字。先是Clawdis，然后是Clawdbot。Anthropic的法務團隊發來了商標侵權通知，因為這個名字聽起來太像Claude了。于是改名為Moltbot，最后定名為OpenClaw。

在這一連串折騰中間，有個東西真正改變了整個品類：有人發現了心跳機制（heartbeat）。

我是這么跟我那位創始人朋友解釋的：ClaudeCode真的是非常優秀。它是我見過最棒的結對編程助手。它對你的代碼庫的理解比你團隊里的大多數人都透徹，它會仔細閱讀依賴關系，還能處理幾十個文件的重構工作。

但它仍然像一個你隨時可用的工具。你打開終端，你們一起工作，然后你關閉終端。一切就此結束。下次你打開它時，對話又重新開始。

OpenClaw的運行機制與眾不同。它每隔三十分鐘就會自動喚醒，檢查你的收件箱、回復郵件、執行任務，這一切都發生在你睡夢中。一位用戶曾讓OpenClaw幫他與多家經銷商就汽車價格進行數天的談判，期間不斷交換報價單。最終，他以低于標價四千美元的價格成交。另一位用戶則因為OpenClaw的代理程序整夜閱讀并整理了四千封積壓的郵件，才得以清理干凈。

我的理解是這樣的：ClaudeCode就像一位住在你終端里的才華橫溢的同事。而OpenClaw更像是一位住在你電腦里的古怪朋友，會在你外賣遲到時給你發短信。它們本質上是同一個大腦，但神經系統卻截然不同。

真正重要的是動詞的變化。ClaudeCode會在你發出指令時做出回應，而OpenClaw則會主動啟動并開始執行任務。這是完全不同的東西。

有人會反駁。他們指出，Ralph是Huntley編寫的bash循環程序，可以自主運行ClaudeCode；GasTown可以并行協調30個代理；ClaudeCode自身的子代理和代理團隊也是如此。甚至有人開發了一個名為ClaudeClaw的東西，它本質上是將守護進程持久化功能嫁接到ClaudeCode上。

我認為他們對方向的判斷是對的，但對OpenClaw的獨特之處理解有誤。Ralph運行一個循環的編碼代理。GasTown負責協調這些編碼智能體。子智能體探索代碼庫并運行測試。它們都運行在終端中。它們都從事開發工作。

OpenClaw會讀取你的電子郵件，管理你的日歷，通過WhatsApp給你發消息，控制你的智能燈，并在凌晨3點監控你的安全攝像頭。

當代碼智能體出錯時，你會收到一個錯誤的提交。當生活智能體出錯時，你的收件箱會消失，而且會多出一個你從未創建過的約會資料。攻擊面根本不是一個量級。

心跳功能獲得了25萬顆星標，但同時也讓攻擊者只需點擊一下就能在你機器上執行代碼的漏洞。不是“自主化伴隨安全問題”，而是自主化本身就是安全問題。同一扇門，雙向開啟。

Steinberger每加一個新功能，都會和所有舊功能互相影響。攻擊面膨脹速度遠超補丁速度。他每個月還要掏一萬美元服務器費，只為讓項目跑下去。

安全公司Snyk掃描技能市場后發現，三分之一的技能存在安全漏洞，其中七分之一存在高危漏洞。一位研究人員僅用了兩分鐘就發現了惡意軟件。此前無人檢查，因為檢查并非任何人的職責。

一家安全廠商超過一半的企業客戶在一個周末內授予了OpenClaw特權訪問權限，而且未經任何審核。GitHub上25萬顆星似乎足以讓他們下定決心。說實話，在大多數情況下，這種做法確實有效。熱門餐廳通常不會毒害你，但擁有你筆記本電腦root權限的自主智能體可不是餐廳。WordPress就為此付出了慘痛的代價。它是互聯網上最流行的內容管理系統，也是遭受攻擊最多的系統。

我印象最深的是Meta公司AI協調總監的遭遇。她把OpenClaw連接到了工作郵箱，結果整個收件箱都被清空了。她之前看到了三次警告，但都沒理會。最后不得不拔掉網線。

負責確保AI安全的人員竟然無法保護自己的收件箱安全。意識到風險和及時做出反應是兩回事，而OpenClaw的反應速度遠超這兩者。

與此同時，Steinberger卻在虧損。受基礎設施需求旺盛的影響，Cloudflare的股價飆升了20%。蘋果的MacMini在全球范圍內售罄。這兩家公司都從OpenClaw中獲利，但它們都與OpenClaw的開發沒有任何關系。

這是老套路了。應用層創造了大部分可見的價值，而底層基礎設施則悄悄地攫取了大部分利潤。Linux是免費的，AWS不是。OpenClaw是免費的，Cloudflare的股價漲幅一點都不免費。

我想起了Karpathy在二月初稱OpenClaw是“最不可思議的、堪比科幻電影的東西”，兩周后又稱它為“一堆爛攤子”。兩次都是同一個項目，同樣的漏洞。他兩次的評價都沒錯，只是關注點不同而已。

龍蝦必須蛻殼才能長大。它破殼而出，爬出舊殼，在柔軟而暴露的狀態下度過數日。它無法保護自己，只能不斷長大。OpenClaw在99天內蛻殼7次，換了7個名字。每一次危機都讓這個項目更難夭折。更好的名字、更完善的管理、更安全的保障，最終形成了一個基金會架構。

但每次系統升級過程中，那些遭受損失的用戶卻成了犧牲品。他們的憑證被盜，API令牌被泄露，收件箱被刪除。他們沒有從這次升級中獲益，反而成了升級的代價。

Perplexity洞察到這一趨勢，推出了Computer。它采用云托管，不用本地部署，這意味著困擾OpenClaw的所有漏洞都已不復存在。這與AWS當年抽象化Linux管理的做法如出一轍。先行者證明某種方案可行，托管層則負責確保其安全性。先行者贏得榮耀，托管層獲得收益。

現在智能體看起來越來越相似了。每個實驗室都在推出它們。模型正在趨同。去年的Opus變成了今年的Sonnet，明年就成了免費版本。

OpenClaw擁有當時最優秀的自主系統。但它缺少的是能夠說“不”的機制。沒有真正的技能評估，沒有有效的權限限制，也沒有系統監控智能體的實際行為。AI協調主管的收件箱里需要的不是一個更聰明的智能體，而是一個更笨但約束更好的智能體。

我認為，無論你怎么稱呼它，無論是控制、判斷，還是決定智能體不應該做什么的因素，最終可能都蘊含著價值。現在每個人都在追求更快的策略。而何時停止的機制卻完全缺失。

自主性是人們最喜歡的功能，但代價也很高。

本文編譯自substack，原文作者Thiyagarajan M (Rajan)

https://mtrajan.substack.com/p/openclaw-and-what-comes-after