什么是 OpenClaw?
在大约 90 天内,OpenClaw reportedly 从零增长到超过 190,000 个 GitHub stars,超越了众多大型开源项目的短期增长势头,并迫使整个 AI 生态系统开始关注。在这一崛起的核心,是一个明显的转变:从被动的聊天界面转向主动的自主代理。
OpenClaw 不只是“又一个聊天机器人封装器”。它是一个开源、自托管的代理基础设施,能够进行推理、调用工具、执行操作,并在你的本地机器或服务器上持续运行。
本报告将拆解 OpenClaw 是什么、如何工作、它失败在哪里,以及为什么它加速了从聊天机器人时代向自主代理时代的过渡。
1) 用一句话总结 OpenClaw:有“手”的 AI
像 ChatGPT 或 Claude 这样的聊天机器人通常会在浏览器标签页里等待提示。OpenClaw 则不仅仅是回答问题:
- 读取和写入系统文件
- 执行命令
- 控制浏览器
- 使用 API 和外部服务
- 按计划触发主动工作流
因此,许多团队将 OpenClaw 描述为“代理运行时”,而不是聊天产品。
核心能力
-
多渠道网关
Gateway 服务可以将代理连接到 WhatsApp、Telegram、Discord、Slack、iMessage 和 Signal 等渠道。 -
模型无关的运行时
OpenClaw 不绑定任何单一供应商。它可以与 Anthropic(Claude)、OpenAI(GPT-4o)、Google(Gemini)、DeepSeek 运行,也可以通过 Ollama 运行本地模型(Qwen、Llama 等)。 -
主动自治
通过基于 cron 的计划和心跳检查,代理无需手动提示即可自动唤醒。例如:每天早上 08:00,代理检查收件箱更新、总结日程优先级,并发送每日简报。
2) 技术架构:按生产系统标准构建
OpenClaw 最强的工程决策在于,它将代理视为受控管线,而不是魔术。
2.1 Gateway + Lane Queue
Node.js Gateway 服务充当系统的控制平面。为了避免竞争条件和状态损坏,它使用 Lane Queue 模型,使任务默认串行化。此设计限制并发混乱,并保持工具执行的确定性。
2.2 ReAct 循环(Reason + Act)
代理行为遵循 ReAct 循环:
- 基于上下文和状态进行推理
- 选择一个动作/工具调用
- 通过 Gateway 执行
- 观察输出并持续循环直到完成
该循环允许迭代式决策,而不是一次性响应。
Thought -> Action -> Observation -> Thought -> ... -> Final Output
2.3 分层持久化记忆
不同于云端机器人在会话之间容易丢失上下文,OpenClaw 会存储本地的持久化记忆:
- JSONL 抄录:逐行记录提示、工具调用和输出的审计轨迹
- MEMORY.md 和 USER.md:长期偏好、工作流习惯和用户特定的操作上下文
- SOUL.md:行为特征、回复风格和沟通语气
这种记忆模型可在长期协作中保持交互一致性。
2.4 通过可访问性树进行语义浏览器控制
许多代理依赖截图,这不仅令 token 成本高、而且执行脆弱。OpenClaw 使用 Chrome DevTools Protocol (CDP) 将可访问性树解析为结构化文本。
每个可操作元素都会获得一个确定性的引用,例如:
button "Sign In" [ref=1]
模型无需依赖图像推理,而是可以执行如:
browser.click(1)
这种方式可以显著减少 token 成本,同时提升可靠性。
3) 时间线:超高速增长、命名混乱与 CLAWD 诈骗事件
OpenClaw 的故事也揭示了开源项目在迅速成功后,会多快吸引到法律、品牌和财务方面的攻击。
- 2025 年 11 月:奥地利开发者 Peter Steinberger 将该项目作为周末作品以“Clawdbot”名称发布。
- 2026 年 1 月下旬:由于名称与“Claude”过于相似而产生商标压力,项目被迫更名。
- 2026 年 1 月 27 日:项目改名为“Moltbot”,灵感来自蜕壳过程。
- 在账号迁移期间:一个短暂的账号空档期被骗子利用,他们劫持了与旧品牌关联的社交账号。
- 一个假冒的 Solana 代币以“CLAWD”品牌伪装成官方项目,市值一度达到约 1600 万美元,随后崩盘至接近归零。
- 2026 年 1 月 30 日:最终更名为“OpenClaw”,与开源定位保持一致。
此事件成为高速增长的开源项目在品牌重塑过程中存在执行风险的经典案例。
4) 安全现实:功能更强的智能体,爆炸半径也更大
OpenClaw 最大的价值主张——系统级操作——也是其最大的风险面。
4.1 暴露的公共实例
配置不当的 VPS 安装(例如绑定到 0.0.0.0 且无身份验证) reportedly 使数万实例暴露在互联网上。攻击者利用暴露的控制面板窃取 API 密钥并执行恶意 shell 命令。
4.2 恶意技能供应链
插件生态(“ClawHub”)吸引了被投毒的包。有报告称,一些排名靠前的技能在看似无害的功能背后隐藏了凭证窃取行为。
4.3 提示注入 + 工具访问 = 致命三重奏
如果一个智能体可以读取不受信任的网页内容、运行命令并发送消息,那么单次注入式提示就可能引发横向破坏:
- 外泄本地数据
- 运行有害命令
- 以用户身份发送恶意外部消息
实用加固清单
- 默认将服务绑定到本地 (
127.0.0.1) - 所有外部端点必须置于强身份认证之后
- 将机密信息与智能体可读路径隔离
- 通过显式允许列表限制 shell/文件/网络工具
- 对高风险操作要求人工审批
- 添加出口控制和结构化审计日志
- 将第三方技能视为不受信任的代码
5) OpenAI 合作与行业转变
2026 年 2 月 14 日,Peter Steinberger 宣布加入 OpenAI,领导 Personal Agents 项目。根据公开条款,OpenClaw 不会转为专有产品 IP,而是将迁移至一个独立的开源基金会。
这件事之所以重要,原因只有一个:AI 竞赛不再仅仅关乎模型质量。新的战略高地是智能体基础设施——将模型智能转化为现实世界行动的运行时层。
简而言之:
- 模型层决定 AI 能思考得多好
- 智能体层决定这些思考能否安全、可靠地执行
OpenClaw 让这种区别变得无法忽视。
最终结论
OpenClaw 代表了自治 AI 系统的机遇和风险:
- 机遇:实现聊天窗口之外的实际自动化
- 风险:在操作系统、浏览器和插件层面扩大攻击面
对 2026 年构建智能体系统的团队而言,教训非常明确:将智能体平台视为生产级基础设施,而非消费者聊天应用。可靠性、隔离性和安全控制如今是最核心的要求。