本周焦点 | 安全警报拉响，我们还能放心用开源吗？

最近，爆火的万能AI助手-OpenClaw（改名前叫Clawdbot）大家听过吗？能够深度操控本地电脑系统及软件而在开发者社区走红，并逐渐走向大众用户，甚至直接让mac mini卖断货了。

不过遗憾的是，它暴雷了。

恶意程序伪装成合法的开源工具，悄然潜入开发环境，窃取敏感数据，甚至影响到多家企业和关键项目。木马事件在开发者社区掀起轩然大波。

表面看是一次技术攻击，背后却暴露出整个开源生态中长期被忽视的安全隐患——“开源 ≠ 安全”。

今天，我们就借 OpenClaw 事件，聊聊几个值得所有技术人深思的问题。

---

🔍 开源，真的安全吗？

很多人默认：代码公开 = 有人盯着 = 不会出事。 但现实很骨感：多数开源项目缺乏专职维护者，依赖库常年无人审计，漏洞和后门可能藏匿数月甚至数年。

OpenClaw 正是利用了这种“信任惯性”——它混入看似无害的工具包，通过自动构建流程悄悄植入后门。等到被发现时，早已扩散至大量下游项目。

使用开源组件前，请务必确认其来源、活跃度和安全记录。别让“方便”变成“风险”。

---

⚙️ 软件供应链，正在成为黑客的新战场

OpenClaw 不是孤例。近年来，软件供应链攻击（Supply Chain Attack）频发：从 npm 包投毒、PyPI 恶意库，到 SolarWinds 事件，攻击者越来越擅长“从上游下手”。

一旦基础工具或依赖被污染，成千上万的项目都会被动沦陷。而大多数企业对第三方依赖的管理仍停留在“能跑就行”的阶段，缺乏代码签名、行为监控、SBOM（软件物料清单）等现代防护手段。

安全边界已从防火墙延伸到 package.json。是时候把“依赖安全”纳入 DevOps 流程了。

---

🤝 谁该为开源安全负责？

这是个难题。

• 开源维护者多是志愿者，没有义务提供“企业级保障”；

• 使用者往往直接 npm install，不查不验；

• 企业享受免费红利，却很少反哺安全投入。

结果就是：责任模糊，风险共担，但没人兜底。

企业应主动承担安全主体责任——采用 DevSecOps、资助关键项目、参与漏洞响应。开源不是“免费午餐”，而是需要共同维护的公共基础设施。

---

🌱 如何重建信任？

面对挑战，行业已在行动：

• 代码签名 + 可验证构建：确保你下载的二进制文件确实来自可信源；

• 自动化依赖扫描：如 Snyk、Dependabot、OSV 等工具可实时预警高危组件；

• 支持关键开源项目：GitHub、Linux 基金会等正推动“关键项目安全计划”；

• 开发者安全素养提升：安全不再是安全部门的事，而是每个程序员的基本功。

---

OpenClaw 是一面镜子，照出了我们在拥抱开源时的盲目与懈怠。

技术越开放，越需要制度、工具与责任的约束。

真正的开源精神，不仅是“自由使用”，更是“共同守护”。

下一次 git clone 之前，不妨多问一句： “这段代码，我敢信吗？”

OpenClaw更名的趣事

好了，聊些有趣的事情，也是关于OpenClaw。

OpenClaw其实更名过2次。

第一次更名

第一次改名，是收到了Anthropic正式发出商标侵权警告。

因为Clawd和Claude读音太像，且logo灵感直接来自官方。尽管斯坦伯格曾在播客中辩称这在法律上可行，但面对巨头的压力，他最终选择了妥协。作者在社交媒体平台X上无奈地表示，我是被Anthropic强迫的，改名不是我的决定。

名称换成Moltbot，不过紧跟着离谱的事情就来了。

OctaneAI的CEO马特施利希特基于Moltbot生态构建的一个特定应用场景，诞生了Moltbook，一个专为AI智能体设计的社交平台。

这个平台有个奇葩的设定，只有AI能发帖，人类只能围观。

你没看错，就是只能AI发帖子，人边上看着。

AI自主完成整个闭环，创建个人主页、发布动态、评论互动、组建社区甚至审核的也是AI。

第二次更名

Moltbot名字用的不到两天，又再次更名了。社区反馈Moltbot 虽无商标冲突，但名称冷僻、传播性差，且域名 / 社交账号遭抢注，存在仿冒与品牌不稳定问题。

于是OpenClaw就诞生了。

科技动态

1、 人工智能+电影虚拟拍摄

2026年2月4日，由浙江省电影局与中国电影科学技术研究所共同发起的创新实验室正式成立。

实验室将聚焦人工智能与虚拟拍摄技术的融合创新，围绕关键技术国产化攻关、中试项目孵化、AI虚拟制片全流程平台建设等重点方向。

不妨畅想一下，未来（也许就在明天）你脑子里有了一个好的想法，不要几分钟就能落地制作成电影。

而且你可以让自己当主角，可以让历史人物、神话人物给你当配角；可以任意选择恢弘磅礴的场景；可以实现你想要的一切。

多么美妙！

2、 AI红包大战

不久前，腾讯也上线了春节活动，用户上元宝App可分10亿元现金红包。

2月2日，千问App宣布投入30亿元启动“春节请客计划”，联合淘宝闪购、飞猪、大麦、盒马等阿里生态业务，发放现金红包、提供免单机会。

百度也宣布，自1月26日至3月12日，用户在百度App使用文心助手，有机会瓜分5亿元现金红包。

期待一下，AI红包大战开启啦。

而就在昨天，2月6号，最熟悉的场景是这个，让千问点奶茶，直接干崩了，全是红色的感叹号！

网友也戏称，AI对奶茶店发起了DDOS攻击，不过给自己也干没了。

大哥大姐，我也想喝奶茶了，有没有赞助下的。

3、史上“最智能”的冬奥会

也许是史上“最智能”的一届奥运会。

各国代表团成员只需用母语提问，即可获取从资格审核到后勤调度等各项问题的精准解答。

网友，也能够实时、精准地解答关于赛事规则与奥运历史的各类提问。

分享

1、LG CLOiD家务机器人

懒人和单身汉的福音啊，这一切看起来似乎有些太美好了。

乱糟糟的衣物，终于找到人收拾了。

2、iNewme：智能化妆镜

不知道会不会有女性喜欢，这个化妆镜，它可以帮助你判断，是不是需要补涂防晒、防晒是否均匀。

3、iPowerUp：太阳能手机壳

看到这个，我脑子里一下冒出来以前的一个梗。

产品经理让程序员开发一个app，根据用户的手机壳颜色来改变软件主题。

太阳能手机壳，产品脑洞挺大，感觉对于户外运动、工作的人员可能比较实用、方便。1小时太阳能充电可以连续使用1-2小时。

4、MOVA：会飞的扫地机器人Pliot 70

无人机和扫地机的组合体，无人机负责“运输”，能带着扫地机自主规划航线，把它送到阳台、阁楼、阳光房顶这些传统扫地机去不了的地方，扫地机完成清洁后，无人机再把它接回来。

5、AI漫画技能

你只要输入一个想法，自动生成一套漫画。

是完整的AI漫画创作工具链，支持从0到1的全流程漫画创作。

AI漫画技能https://blog.csdn.net/u010813284/article/details/157813663?spm=1001.2014.3001.5502

观点

1、30年来最佳创业窗口（创业有风险，慎重）

有网友分析，2026年可能是最近30年来最适合创业的窗口。

技术门槛降低（单人+AI工具可完成过去30人工作）、成本结构变化（AI能以几分钱复制价值50万美元软件）、单人或小团队生产力被AI放大等。99%的MVP不再需要风险投资，超级细分市场成为新蓝海，设计与品牌能力成为新护城河。

---

 关注公众号 “AI知识仓” ，学习最新AI知识，不迷路。

 

爱漫画，关注小红书 “AI漫画家”，天天乐哈哈。