OpenAI抢人、大厂疯卷、全网霸榜:万字拆解真实且危险的OpenClaw
文章目录
🍃作者介绍:25届双非本科网络工程专业,阿里云专家博主,深耕 AI 原理 / 应用开发 / 产品设计。前几年深耕Java技术体系,现专注把 AI 能力落地到实际产品与业务场景。
🦅个人主页:@逐梦苍穹
🐼GitHub主页:https://github.com/XZL-CODE
✈ 您的一键三连,是我创作的最大动力🌹
1、前言
2026年开年,一个名叫 OpenClaw 的开源项目,以4个月创造 GitHub 历史最快增速的姿态,闯入了全球开发者的视野——287,000+ Stars,超越 React,登顶 GitHub 非聚合类项目第一宝座。
更戏剧性的是,项目创始人 Peter Steinberger 在这场爆红中途,宣布加入了 OpenAI,而项目本身则被移交给了独立非营利基金会,以 MIT 开源协议的形式永久传承。
作为一个每天与 AI 工具打交道的工程师,我花了大量时间深入研究 OpenClaw 的技术本质、生态现状、竞品格局和安全隐患。这篇文章,试图给你一个有深度、有温度、不只是堆数据的 OpenClaw 全景解析。
一句话定义:OpenClaw 是一个自托管、本地优先、多渠道 AI Agent 平台——你通过 Telegram / WhatsApp / 微信 / Slack 聊天,它在你的本地电脑上自主执行任务。
2、OpenClaw 是什么?(快速认知)
2.1 设计哲学:“IM as OS”
OpenClaw 的核心哲学只有一句话:
“最好的 UI 是你已经在用的那个。”
它不要求你安装新客户端、学习新界面。你的 Telegram 群组、WhatsApp 对话框、公司 Slack 频道——这些就是你与 AI Agent 交互的入口。Agent 在你的本地机器上运行,通过消息渠道接收指令,然后自主完成任务:执行 Shell 命令、操作文件、控制浏览器、发送邮件、调用 API……
这种设计,让 AI 从「工具」变成了「助理」,从「需要你学习」变成了「嵌入你的工作流」。
2.2 核心概念图
2.3 关键参数速览
| 参数 | 数值 |
|---|---|
| 当前版本 | v2026.3.8(2026-03-09发布) |
| 开源协议 | MIT |
| 安装方式 | npx clawdbot@latest(5分钟上线) |
| 支持平台 | 50+ IM 平台 |
| 支持模型 | Claude · GPT · Gemini · DeepSeek · Ollama(本地) |
| Skills 生态 | 官方 13,000+ · 社区 5,400+ 精选 |
| GitHub Stars | 287,000+(2026年3月最新) |
| 部署费用 | $0(仅需支付模型 API 费用 $5-40/月) |
2.4 更名三连的奇幻旅程
值得一提的是,OpenClaw 经历了一段戏剧性的更名历史:
| 时间 | 名称 | 原因 |
|---|---|---|
| 2025年11月 | Clawdbot | Peter Steinberger 周末黑客项目首发 |
| 2026年1月27日 | Moltbot | Anthropic 商标投诉,被迫更名 |
| 2026年1月30日 | OpenClaw | Moltbot 存活3天,废弃账号被诈骗者劫持,再次更名 |
这次"最快三连更名"在开源史上留下了独特一笔,也因此催生了大量假冒账号和安全事件(详见第7节)。
3、为什么 OpenClaw 这么火?(热度数据与事件回顾)
3.1 GitHub Stars 爆发曲线
4个月内从0到287,000 Stars,这是什么概念?React 花了十余年积累的 Stars,OpenClaw 用60天就追上了。
3.1.1 关键里程碑时间线
| 时间 | Stars | 重要事件 |
|---|---|---|
| 2025年11月 | 0 | Clawdbot 首版发布 |
| 2026年1月底 | 100,000+ | 更名 OpenClaw,GitHub 病毒式传播 |
| 2026年2月初 | 200,000+ | HackerNews 发酵,Google 搜索量超越 Claude Code |
| 2026年2月24日 | 250,000+ | 超越 Linux,GitHub 总榜第14 |
| 2026年3月1日 | 250,000+ | 超越 React (243K),非聚合类项目第一 |
| 2026年3月10日 | 287,000+ | 持续增长(本文写作时最新数据) |
3.2 创始人加入 OpenAI——引爆舆论的导火索
如果说 GitHub Stars 的爆发是技术圈的自发传播,那么 Peter Steinberger 宣布加入 OpenAI 则是将 OpenClaw 推向主流媒体的关键事件。
3.2.1 事件经过
2026年2月14日,Steinberger 在个人博客发文,宣布加入 OpenAI,并将 OpenClaw 移交给独立非营利基金会。
Sam Altman 在 X 平台公开确认:
“Peter Steinberger is joining OpenAI to drive the next generation of personal agents. He is a genius with a lot of amazing ideas about the future of very smart agents interacting with each other to do very useful things for people.”
—— Sam Altman (@sama)
3.2.2 这是"Acqui-hire"(收购人才)模式
这次合作本质上是典型的人才收购:
- OpenAI 雇用了 Steinberger,但未购买代码或知识产权
- OpenClaw 代码库仍为 MIT 开源协议,任何人可以 Fork 使用
- OpenAI 承诺资助基金会,但不控制代码走向
Steinberger 本人表述:
“I’m a builder at heart…What I want is to change the world, not build a large company. Teaming up with OpenAI is the fastest way to bring this to everyone.”
3.2.3 欧洲的叹息
部分欧洲科技媒体的标题令人感慨:“OpenClaw creator joins OpenAI, Europe loses a startup”——Steinberger 是奥地利人,这次事件再次引发了对欧洲科技人才流失美国的讨论。
3.3 社区热议:HackerNews 里的真实声音
围绕 OpenClaw,HackerNews 上出现了多个广泛讨论的帖子,这些真实声音比任何公关稿都更能说明问题:
| 帖子标题 | 核心论点 |
|---|---|
| OpenClaw is changing my life | 重复性/局部任务好用,复杂架构决策"立即崩溃";10,000行以上代码开始"破坏已有功能" |
| OpenClaw is everywhere all at once, and a disaster waiting to happen | “给 Agent 授予系统权限是巨大风险,如果想让它安全就要断网,断网就没用了” |
| OpenClaw is what Apple Intelligence should have been | 正面评价:这才是真正实用的个人 AI |
| NanoClaw solves one of OpenClaw’s biggest security issues | 社区安全方案,解决权限过大问题 |
这些讨论构成了 OpenClaw 生态的真实截面:既有被改变生活的信徒,也有深感不安的怀疑者。
4、大厂接入与生态爆发
4.1 云服务商:全球主流平台抢着支持
OpenClaw 的爆红,直接催生了云服务商的"抢滩行动"。
4.1.1 国际云平台
| 云平台 | 时间 | 举措 |
|---|---|---|
| 腾讯云 | 2026年2月 | 最早推出 OpenClaw 一键部署,Lighthouse 用户突破10万 |
| 阿里云 | 2026年2月4日 | 19个可用区上线,$4/月起,专属 Coding Plan API |
| AWS Lightsail | 2026年3月 | 官方托管选项,覆盖15个区域,默认接 Amazon Bedrock |
| DigitalOcean | 2026年2月 | 官方合作伙伴,Droplets 部署指南 |
| 百度/京东/火山引擎 | 2026年2月 | 国内各大云厂全线跟进 |
4.1.2 腾讯 QClaw:最重磅的产品级接入
2026年3月9日,腾讯正式发布 QClaw——将 OpenClaw AI Agent 能力直接集成进微信和 QQ,并同步推出 WorkBuddy 企业版。这意味着 OpenClaw 的能力正在通过大厂渠道触达数十亿中国用户。
4.2 国内 IM 平台生态
国内开发者为 OpenClaw 打造了完整的"中国生态套件":
4.2.1 各平台接入情况
| 平台 | 接入方式 | 难度 | 特点 |
|---|---|---|---|
| 飞书 | 社区开源(openclaw-feishu) | 中 | 官方有 Bug 修复支持 |
| 钉钉 | 社区开源 | 低 | “5分钟完成配置,无需任何材料” |
| 企业微信 | 社区开源 | 中 | 主动发送受限 |
| 微信/QQ | 腾讯 QClaw 官方 | 低 | 深度集成,2026年3月已上线 |
4.2.2 一键启动全部国内平台
# OpenClaw-Docker-CN-IM:一条命令,同时启动飞书+钉钉+QQ+企业微信
docker-compose up -d
社区项目 openclaw-china(GitHub: BytePioneer-AI)已积累 1,900+ Stars,是国内开发者的首选集成方案。
4.3 企业级部署:真实落地案例
尽管大多数企业部署案例匿名呈现,但已有大量机构在生产环境使用:
| 场景 | 效果 |
|---|---|
| 邮件管理(客户经理) | 每日处理 50-100 封邮件,节省 78% 时间 |
| 客户入驻流程自动化 | 原需 3-4 小时,压缩至 15 分钟内 |
| 零售跨店分析 | 跨29家门店处理40TB数据,完成产品对比与定价情报 |
| 销售外联自动化 | 自动化邮件、线索追踪、CRM 更新 |
⚠️ 注意:Gartner 建议企业不要在生产环境直接使用 OpenClaw,原因是安全控制不足。企业部署需配合容器隔离、网络隔离和权限控制(详见第7节)。
5、竞品格局:谁是 OpenClaw 的对手?
5.1 竞品全景对比
5.2 OpenClaw 的独特象限
在 AI 工具的"云端 vs 本地"、"代码专用 vs 通用场景"两个维度上,OpenClaw 占据了一个绝无仅有的位置:
[云端 SaaS]
↑
Devin Claude Code
Cursor Windsurf
[代码专用]←——————[通用场景]——————→[代码专用]
AutoGPT OpenClaw ★
OpenHands Nanobot
↓
[本地运行]
OpenClaw = 本地 × 通用。这个象限,是竞品最稀缺的位置。
5.3 核心竞品深度对比
5.3.1 OpenClaw vs AutoGPT(2023年的Agent鼻祖)
AutoGPT 是第一个让"自主AI Agent"这个词进入大众视野的项目,有181k+ Stars。但两者定位已经截然不同:
| 维度 | OpenClaw | AutoGPT |
|---|---|---|
| 安装难度 | npx clawdbot@latest,5分钟 |
Docker + 环境配置,学习曲线陡 |
| 轻度使用成本 | $5-15/月 | $20-50/月 |
| 隐私保护 | 本地执行,支持 $0 Ollama 方案 | 数据流经 OpenAI 服务器 |
| IM 集成 | 50+ 平台原生支持 | 以 Web UI 为主 |
结论:OpenClaw 在易用性、成本和隐私上全面胜出,AutoGPT 在可视化工作流方面仍有优势。
5.3.2 OpenClaw vs Devin 2.0(AI软件工程师)
Devin 定位"世界首位AI软件工程师",经历了 $500→$20/月 的大幅降价,更适合工程团队:
| 维度 | OpenClaw | Devin |
|---|---|---|
| 任务范围 | 全场景:写代码、发邮件、管文件 | 代码专项:issue→PR全链路 |
| 并行任务 | 单实例 | 支持多个 Devin 并行 |
| 定价 | $0 + API($5-30/月) | $20-$500/月 |
| 隐私 | 本地执行 | 云端沙盒 |
一句话总结:Devin = $20/月的专业AI程序员(只写代码);OpenClaw = $5-30/月的通用AI助理(什么都能做)。
5.3.3 OpenClaw vs Claude Code(当前最强代码工具)
Claude Code 是2026年最成功的 AI 工具,ARR 达到了惊人的 $25 亿,占 Anthropic 总收入超过50%:
| 维度 | OpenClaw | Claude Code |
|---|---|---|
| 交互方式 | IM 聊天(Slack/Telegram 等) | 终端命令行 |
| 适用场景 | 全场景自动化 | 主要面向软件开发 |
| 模型绑定 | 多模型支持 | 绑定 Claude 模型 |
| 开源 | MIT 完全开源 | 闭源商业产品 |
两者不是零和关系:很多开发者同时使用——用 Claude Code 写代码,用 OpenClaw 处理日常自动化任务。
5.4 Fork 生态:开源的力量
OpenClaw 的极度开放催生了超过 35,000+ forks,以及数十个独立的衍生项目:
| 项目 | 特色 | 亮点 |
|---|---|---|
| NanoClaw | 安全加固版 | 容器隔离 + 强制权限门控 + 审计日志 |
| ZeroClaw | Rust极致轻量 | <5MB RAM,支持 $10 RISC-V 板 |
| PicoClaw | Go超轻量 | <10MB RAM,1秒启动,发布1周获12k Stars |
| Nanobot | 港大出品 | 4000行代码实现核心功能,代码极简可读 |
| MaxClaw | 中文优化 | 云端托管,39-99元/月 |
安全加固分支(NanoClaw/IronClaw)的出现,本质上是社区对 OpenClaw 安全问题的集体回应。
6、技术生态:架构、Skills、MCP与Multi-Agent
6.1 五层技术架构
OpenClaw 的技术架构分为五层,设计理念清晰——“能听、能想、能做、能记”:
| 层级 | 核心职责 |
|---|---|
| Gateway 控制平面 | WebSocket/HTTP 统一服务器,协调所有组件 |
| Agent 执行层 | ReAct 推理循环 + ContextEngine 插件化 |
| 多渠道集成层 | 50+ 平台适配器 + Per-Channel 模型路由 |
| 会话 & Memory 系统 | SQLite + 向量搜索混合检索 + 自动记忆持久化 |
| 配置系统 | Zod 校验 JSON5 + 热重载 |
6.1.1 ContextEngine(2026.3.7 最重要的架构创新)
v2026.3.7 引入的 ContextEngine 插件接口,将上下文管理策略从核心框架解耦:
bootstrap → ingest → assemble → compact → afterTurn → prepareSubagentSpawn
开发者可以在这些钩子上挂载自定义的 RAG 管道、摘要策略或子任务内存空间,无需修改核心代码。这是 OpenClaw 走向企业级的关键一步。
6.2 Skills 生态:AI 的"插件商店"
Skills 是 OpenClaw 的杀手级功能——以 Markdown 格式存储的"提示词 + 工具描述",注入到 Agent 的系统提示中,让 Agent 获得新能力。
6.2.1 生态规模
| 来源 | 数量 | 特点 |
|---|---|---|
| 官方 ClawHub | 13,000+ | 社区自由发布 |
| VoltAgent 社区精选 | 5,400+ | 经过分类筛选 |
| 一行命令安装 | openclaw skills install <name> |
极简 |
热门 Skills 类别:代码审查/Git工作流、SEO优化/文章写作、日程管理/邮件处理、数据可视化/报告生成。
⚠️ 安全警告:任何开发者都可以发布 Skills,已发生 ClawHavoc 供应链攻击(341个恶意 Skills,包含 Atomic Stealer 载荷)。安装前务必审查 Skill 的权限和代码。
6.3 MCP:打通外部工具生态
OpenClaw 原生支持 Model Context Protocol(MCP),使用 @modelcontextprotocol/sdk@1.25.3:
{
"mcp_servers": {
"filesystem": {
"command": "npx",
"args": ["-y", "@modelcontextprotocol/server-filesystem", "/home/user/docs"]
},
"github": {
"command": "npx",
"args": ["-y", "@modelcontextprotocol/server-github"]
}
}
}
通过 MCP,Agent 可以无缝对接 1,000+ 社区构建的工具:Google Drive、GitHub、Slack、数据库、企业内部系统……这极大扩展了 OpenClaw 的工具访问能力,同时避免了为每个服务单独开发 Skill 的重复劳动。
6.4 Multi-Agent:AI 的"分布式协作"
OpenClaw 支持四种多 Agent 协作模式:
| 模式 | 描述 | 适用场景 |
|---|---|---|
| Supervisor(监督) | 中央 Agent 协调其他 Agent | 复杂任务分解 |
| Pipeline(流水线) | Agent 序列化处理 | 内容创作流水线 |
| Parallel(并行) | 多 Agent 同时执行 | 独立任务批处理 |
| Swarm(蜂群) | 去中心化 P2P 协作 | 分布式智能决策 |
v2026.3.8 新增了 ACP Provenance(Agent 间身份溯源验证),解决了多 Agent 协作中身份欺骗的问题——这对企业级安全部署至关重要。
6.5 Memory 系统:让 Agent 真正"记住你"
OpenClaw 的 Memory 设计采用"文件即真相(File-First)"哲学:
MEMORY.md # 持久化决策、偏好、关键事实
memory/YYYY-MM-DD.md # 日常笔记和运行上下文
memory/**/*.md # 分类知识库
底层实现是 BM25 + 语义向量混合检索(SQLite FTS5 + sqlite-vec),加入了时间衰减机制——越新的记忆权重越高。
最创新的特性是压缩前自动记忆刷新:当长对话触达上下文窗口极限时,系统会自动触发一次静默 Agent 轮次,将关键信息写入持久记忆,再进行压缩,确保重要信息不丢失。
6.6 支持的 LLM 模型
OpenClaw 通过统一的 provider/model 格式支持所有主流模型,还支持按渠道配置不同模型:
{
"whatsapp": "openai/gpt-4o-mini",
"telegram": "anthropic/claude-sonnet-4-6",
"slack": "anthropic/claude-opus-4-6"
}
| 模型提供者 | 代表性模型 |
|---|---|
| Anthropic | Claude Sonnet 4.6、Claude Opus 4.6 |
| OpenAI | GPT-4o、GPT-5.4(v2026.3.7 新增) |
| Gemini 3.1 Pro、Gemini Flash | |
| DeepSeek | deepseek-chat、deepseek-reasoner |
| 本地模型 | Ollama(Llama/Mistral,完全本地,$0 费用) |
| 月之暗面 | Kimi K2.5(OpenClaw 推荐的首个免费可用模型) |
7、争议与隐患
没有一项技术是完美的。OpenClaw 的爆红背后,伴随着一系列值得认真对待的安全问题和争议。
7.1 安全事件汇总
7.1.1 假冒安装器 + Bing AI 推广(2026年2月-3月)
这是迄今为止影响最广的事件。攻击者在 GitHub 创建了名为 openclaw-installer 的组织,制造假冒安装器,而 Bing AI 搜索因 GitHub 托管而自动给予高可信度,将恶意仓库高排名推送给搜索 “OpenClaw Windows” 的用户。
恶意软件组件包含:
- Vidar Stealer:窃取 Telegram、Steam 凭证
- GhostSocks Proxy:将受害者机器变为住宅代理
- Stealth Packer:具备 VM 检测、鼠标移动检测等多种反检测能力
教训:即使是 GitHub 仓库也不能无条件信任。Bing AI 的高可信度推送暴露了 AI 搜索在安全验证上的严重缺陷。
7.1.2 ClawHavoc 供应链攻击
2026年2月,研究人员在 ClawHub 注册表中发现 341 个恶意 Skills,包含 Atomic Stealer 载荷,可收集 API 密钥并注入键盘记录器。这些恶意 Skills 占当时注册表的约20%,是 AI Agent 生态史上最严重的供应链攻击之一。
7.1.3 CVE-2026-25253(CVSS 8.8)
AI Gateway 组件的高危漏洞,允许本地实例被远程代码执行(RCE)。这意味着即使是内网部署的 OpenClaw,也可能被单链接攻击。v2026.2.23 发布了修复,但历史版本用户风险依然存在。
7.1.4 npm 恶意包 GhostClaw
伪装成 OpenClaw 安装器的恶意 npm 包,部署 RAT(远程访问木马),目标是 macOS 凭证,由 JFrog 安全研究团队命名为 “GhostClaw”。
7.2 企业安全警告
- Gartner 强烈建议企业不使用 OpenClaw,理由是"不可接受的网络安全风险"
- Palo Alto Networks 称其为"安全噩梦"
- Microsoft Defender 团队发布专题文章,从防御视角分析风险
全球已有 30,000+ 暴露实例,其中大量未配置任何身份验证。
7.3 基金会治理的不确定性
创始人离职后,OpenClaw 的长期治理依赖于新成立的 501©(3) 非营利基金会。这种模式理论上是健康的(Linux Foundation 的成功先例在此),但:
- 基金会具体章程、董事会成员尚未完全公开
- 资金来源主要依赖 OpenAI,存在隐性控制风险
- 社区志愿者维护模式,可持续性存疑
7.4 HN 上的批评声音
HackerNews 社区的真实担忧值得正视:
“如果你想让 OpenClaw 安全,你就需要断网;但断网之后它基本没有用处了。”
这个矛盾揭示了 OpenClaw 的根本架构困境:强大的功能需要广泛的权限,而广泛的权限是最大的安全风险。NanoClaw 等安全加固分支尝试在两者之间寻找平衡点,但这是一个系统性问题,不是几个 CVE 修复能根本解决的。
8、总结与展望
8.1 OpenClaw 代表的技术范式
OpenClaw 不只是一个工具,它代表了 2026 年 AI 工具发展的一个重要方向:
“让 AI Agent 离普通用户更近” —— 通过 IM 入口、本地执行、极简安装,OpenClaw 将"AI 自动化"从程序员的专属领地带入了普通用户的日常。
从工程师视角看,它开创并验证了几个重要命题:
- IM-First 交互是真正的用户界面创新:不需要用户改变习惯,AI 嵌入现有工作流
- 本地优先是 AI 隐私的正确答案:用 Ollama 实现完全离线 $0 方案,在数据主权时代极具价值
- MIT 开源 + Skills 生态 = 超强生命力:35,000+ forks 和活跃的社区确保项目不会因创始人离开而消亡
- Multi-Agent 协作是下一代 AI 范式:OpenClaw 用实践证明了 Agent 间协作的商业价值
8.2 给不同读者的建议
| 读者身份 | 建议 |
|---|---|
| 个人技术爱好者 | 可以大胆尝试,但不要在本地机器上存放敏感数据,建议用虚拟机隔离 |
| 开发者/工程师 | OpenClaw + Claude Code 是当前最强组合,前者处理自动化,后者处理代码 |
| 企业 IT 决策者 | 先研究 NanoClaw 或企业级安全方案,Gartner 的警告值得重视 |
| AI 产品经理 | OpenClaw 的 “IM-First” 和 “本地优先” 两个设计哲学,值得在产品设计中借鉴 |
| 安全研究者 | ClawHavoc 和 GhostClaw 事件是 AI Agent 供应链安全研究的绝佳案例 |
8.3 未来展望
基于官方路线图和社区趋势,我们可以预见:
短期(2026 Q2):ContextEngine 完善 + UI Dashboard 多语言支持 + 更强的 Skills 安全审核
中期:企业级多租户支持 + 完全离线运行能力(本地 LLM + 本地 RAG)
长期:图形化 Agent 配置界面 + 更完善的 Multi-Agent 编排框架
AI Agent 的时代刚刚开始。OpenClaw 作为这个时代最具代表性的项目,它的成功与挫折,都在为整个行业探路。无论它未来走向如何,"让每个人都能拥有自己的 AI Agent"这个命题,已经被证明是可行的。
参考资料
- OpenClaw 官网
- OpenClaw GitHub 主仓库
- Peter Steinberger 个人博客
- TechCrunch:OpenClaw 创始人加入 OpenAI
- Amazon Lightsail OpenClaw 公告
- Tencent QClaw 发布
- OpenClaw 超越 React(Star History)
- Huntress 安全警报:假冒安装器
- ClawHavoc 供应链攻击分析
- DeepLearning.AI:切穿 OpenClaw 的炒作
🚀 持续探索 AI 与前沿技术 分享大模型应用、软件开发实战与行业洞察。 欢迎关注公众号 【龙哥AI】,加入 7000+ 技术同行的交流圈! 🌟 探索技术边界,让开发更有效率 |
 |
AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。
更多推荐
11
0- 0
已为社区贡献18条内容
所有评论(0)