1月下旬，一个叫OpenClaw的开源项目在GitHub上积累了超过15万颗星。

最初的爆发尤为惊人：项目广泛曝光后的72小时内，就获得了6万颗星。这一增长速度远超大多数知名开源项目。

更有意思的是，这东西一开始叫Clawdbot（致敬Claude），被Anthropic发律师函后改名Moltbot，三天后创始人觉得"说起来太拗口"，又改成了现在的OpenClaw。

三周改两次名，热度不降反升。

为什么？

---

它解决了一个真实的痒点

先说OpenClaw是什么：一个开源的AI代理，能通过WhatsApp、Telegram、Discord等消息平台执行任务。

注意，是执行，不是建议。

传统的AI助手，你说"帮我把明天的会议改到下周"，它会打开日历App，剩下的你自己来。OpenClaw不一样。它会登录你的日历，找到那个会议，改时间，给参会者发通知，然后告诉你"搞定了"。

你说"帮我把这堆收据整理成报销单"，它会识别图片、提取信息、生成表格、存到指定文件夹。

"你描述结果，它负责过程。"

创始人Peter Steinberger给它的定位很直接："一个真正做事的AI。"

这个定位击中了很多人。过去十年，AI在"理解"和"生成"上突飞猛进，但在"执行"上一直很克制。OpenClaw的爆火说明，用户对"AI替我干活"的需求是真实存在的。

---

它背后的技术并不神秘

OpenClaw能火，不是因为它发明了什么黑科技，而是因为它把几个已有的东西组合得很好：

1.大语言模型的推理能力

OpenClaw本身不包含AI模型，它连接外部的LLM（比如Claude、GPT、DeepSeek），借用它们的"大脑"来理解任务和规划步骤。

2.MCP协议（Model Context Protocol）

这是Anthropic在2024年11月推出的开放标准，让AI能够安全地连接外部工具和数据源。你可以把MCP想象成AI世界的USB-C——一个通用接口。OpenClaw大量使用MCP来连接日历、邮箱、文件系统等服务。

3.ReAct范式

这是Google Research在2022年提出的方法论（发表于ICLR 2023，论文编号arXiv:2210.03629）。核心思想是让AI"边想边做"——生成一步推理，执行一步行动，根据结果调整下一步，如此循环。OpenClaw的任务执行逻辑，就是ReAct范式的消费级落地。

4Skills系统

借鉴自Claude的能力插件机制。每个Skill是一个小型包，包含指令、脚本和参考文件，让AI能一致地执行特定类型的任务。

这些组件单独看都不新鲜，但Steinberger把它们打包成了一个普通人能用的产品——这是真正的贡献。

---

它也暴露了一个真实的困境

OpenClaw爆火一周后，安全问题开始浮出水面。

研究人员发现数百个OpenClaw实例暴露在公网上，其中一些完全没有身份验证。API密钥、邮箱凭证、各种token——明文存储，任人读取。

更严重的是供应链风险：截至1月底，至少有230个恶意扩展被上传到官方技能库ClawHub。Cisco的研究团队分析了31,000个代理技能，发现26%包含至少一个安全漏洞。

Cisco安全团队的评估标题很直接："像OpenClaw这样的个人AI代理是安全噩梦。"

这不是OpenClaw独有的问题。它揭示了一个更普遍的困境：

AI要"真的能干活"，就需要权限。

邮箱权限、日历权限、文件权限、浏览器权限——给得越多，能力越强，风险也越大。

传统的AI助手为什么"只建议不执行"？一部分原因是技术限制，但更大一部分原因是安全边界。当AI只能输出文字时，它最坏的结果是胡说八道。当AI能操作你的电脑时，它最坏的结果是你的银行账户被清空。

OpenClaw选择了"能力优先"，把安全责任交给了用户。这在开源社区是常见做法，但当用户群体从极客扩展到普通人时，问题就来了。

---

它推动了什么

不管争议如何，OpenClaw确实推动了一些事情：

1证明了需求的存在

15万星不是刷出来的。这说明"AI替我干活"不是小众需求，而是大量用户真正想要的东西。

2给大厂施加了压力

Anthropic在OpenClaw爆火后不久发布了Claude Cowork——官方版的"AI执行任务"产品。OpenAI的Operator、Google的Project Mariner也在加速推进。一个独立开发者的周末项目，客观上加快了整个行业的节奏。

3把"AI代理安全"推上台面

在OpenClaw之前，AI代理的安全问题主要在学术圈讨论。现在，Gartner发了警告，Cisco出了报告，普通科技媒体也开始关注。问题被看见，才有可能被解决。

---

它适合谁

说了这么多，普通人该不该用OpenClaw？

✅ 适合的情况：

• 你是技术人员，能理解并配置安全措施

• 你愿意在隔离环境（比如单独的电脑或虚拟机）里运行它

• 你清楚自己在授予什么权限，并能承担风险

❌ 不太适合的情况：

• 你只是想要一个"好用的AI助手"，不想折腾配置

• 你打算让它访问敏感账户（银行、主力邮箱等）

• 你不确定什么是API密钥、什么是环境变量

如果你属于后者，更稳妥的选择是等待大厂的官方产品成熟。它们有资源做好安全，也有动力做好安全——因为出了事要负责。

---

一点个人感想

OpenClaw最让我感慨的，其实是它的诞生方式。

Peter Steinberger在采访里说，他写这个项目大量使用AI辅助编程，很多代码他自己都没细看。

"我发布的代码，我自己不读。"

用AI写代码，做出一个让AI替人干活的工具。

某种程度上，这就是2026年软件开发的缩影：人类负责想法和判断，AI负责实现和执行。

OpenClaw本身就是这种协作模式的产物。它的火爆，也许正是因为它让更多人看到了这种模式的可能性。

不是"AI取代人"，而是"人指挥AI"。
这个方向，大概是对的。

参考资料

1. Yao, S., et al. (2022). ReAct: Synergizing Reasoning and Acting in Language Models. ICLR 2023. arXiv:2210.03629

2. Anthropic. (2024). Introducing the Model Context Protocol.

3. Xinyi Hou., et al. (2025). Model Context Protocol: Landscape, Security Threats, and Future Research Directions. arXiv:2503.23278

4. Wikipedia. OpenClaw.

5. IBM Think. OpenClaw, Moltbook and the future of AI agents.

6. Cisco Blogs. Personal AI Agents like OpenClaw Are a Security Nightmare