OpenClaw一夜爆红：你的电脑正在被AI接管

AI智享空间

发布于 2026-02-27 12:04:48

3K0

这个故事的开头，是一个奥地利程序员在家里捣鼓的玩具项目。

Peter Steinberger曾是iOS开发社区里的知名人物，凭借PSPDFKit——一个让PDF在移动端流畅运行的开发者工具库——赚到了第一桶金，随后套现退出，沉寂了几年。2025年底，他以一个叫Clawdbot的项目重新出现在GitHub上。那时候没有人特别在意，项目还带着“WhatsApp中继器”的原始标签，像个未完成的草稿。

但事情在2026年1月底发生了急剧转变。

Clawdbot（后来改名为Moltbot，最终定名OpenClaw）成为了GitHub历史上按星标增速计算增长最快的项目。它在一周内吸引了200万人次访问，GitHub星标突破10万。这种增速甚至在技术媒体圈引发了真实的供应链反应——高内存配置的苹果Mac Mini交货期从6天延长到了6周，因为大批开发者争相购买专用硬件来搭建自己的“永久在线”OpenClaw实例。

2月14日，Sam Altman宣布，OpenAI已聘用Steinberger，让他主导“下一代个人代理”的开发工作。一个业余项目，从诞生到被全球最重要的AI公司招致麾下，历时不过三个月。

一、它不是聊天机器人，是“会动手”的代理

理解OpenClaw爆红的意义，首先要搞清楚它到底是什么。

它能浏览网页、填写表单、从任意网站提取数据；能读写文件、执行Shell命令、运行脚本——完全访问或沙盒隔离，由用户自己决定。用户不是通过网页或客户端与它交互，而是通过自己日常已在使用的通讯软件：WhatsApp、Telegram、Discord、Slack、Teams等平台都支持。项目的核心理念用Steinberger自己的话说很简单——“你的助手，你的机器，你的规则。”

这与现有的AI产品存在根本性差异。过去三年，公众对AI的体验基本停留在“对话框”这个范式里：你输入，它输出，交互发生在文本层面，AI始终待在一个虚拟的笼子里，触碰不到你文件系统里真实的东西。OpenClaw的定位是“AI that actually does things”（真正能做事的AI），它打破的正是这道隔离墙。

VISION.md文件里，Steinberger写道：“OpenClaw从一开始就是个人游乐场——学习AI、构建真正有用的东西：一个能在真实计算机上执行真实任务的助手。”这段朴素的自白，恰恰解释了它为什么能引爆开发者社区的集体共鸣——每个程序员都曾幻想过这样一个东西，而Steinberger把它真的做出来了。

二、爆红的机制：不是营销，是示范效应

OpenClaw没有发布会，没有融资新闻，没有KOL背书。它的传播路径非常原始。

GitHub上的社区用户自发分享了大量使用截图和视频。其中一条在X（原Twitter）上广泛流传的帖子，来自用户@Infoxicador，他描述了一个令人瞠目的场景：“我的OpenClaw意识到它需要一个API密钥……它自己打开了浏览器……打开了谷歌云控制台……配置了OAuth并生成了一个新的令牌。”

这类“现场直播”式的分享产生了强烈的示范效应。AI自主完成了一个此前需要人工干预的复杂操作链，而且过程完全可见——不是PPT里的概念图，是真实运行的屏幕录像。这触动了开发者群体对“代理式AI”长期压抑的期待情绪。

在60天内，OpenClaw积累的GitHub星标超过了15.7万，在增长速度上超越了Linux、Kubernetes等几乎所有主流开源项目。Steinberger本人后来在博客里写道，这一个月像一场旋风，他从未预料到这个“游乐场项目”会掀起这么大的波澜。

三、真正的技术突破：编排，而非模型

OpenClaw之所以能做到之前的产品做不到的事，底层逻辑值得深究。

它本身并不包含任何自研的AI模型。OpenClaw本质上是一个编排系统：提示词、工具、协议和集成。它调用的是Claude、GPT等外部模型的推理能力，自己负责解决的问题是：如何把这些推理能力接入真实的计算机操作环境，建立一个稳定的“感知-判断-行动”循环。

这个工程问题的难点，不在于让AI“想清楚”怎么做，而在于如何让它的行动在现实环境里可靠地落地。Steinberger选择TypeScript作为开发语言，理由直接：它被广泛熟知、迭代快速、易于阅读、修改和扩展，保持了项目的“默认可黑入性”。这个选择让社区贡献门槛极低，反过来加速了生态的形成。

另一个关键设计是插件体系“技能”（Skills）。用户和开发者可以为OpenClaw编写技能包，上传到开放市集ClawHub，其他用户下载后即可让自己的代理获得新能力。这个设计的想象力在于：它让AI代理像智能手机安装App一样获得扩展能力，同时把生态建设的工作分散给了社区。

四、繁荣的背面：一场迅速失控的安全危机

然而，凡事都有两面。OpenClaw爆红之后随即面临的，是一场几乎是同步发生的安全噩梦。

在上线后的三周内，OpenClaw出现了六份GitHub安全公告，首次安全审计发现了512个漏洞，ClawHub上确认了341个恶意技能包，超过4.2万个实例暴露在公网上。

最严重的漏洞是CVE-2026-25253，CVSS评分8.8。这是一个通过跨站WebSocket劫持实现的远程代码执行漏洞。攻击者只需构造一个恶意链接，受害者访问后的几毫秒内，认证令牌就会被窃取，攻击者随即获得对受害者本地网关的完全控制权，可以修改配置、执行任意代码。Steinberger本人在安全公告里特别指出，即使实例被配置为仅监听本地回环地址，此漏洞依然可被利用，因为触发连接的是受害者自己的浏览器。

技能市集的问题同样触目惊心。Cisco的AI安全研究团队测试了第三方技能包“What Would Elon Do?”，结论是：这个技能实际上是功能性恶意软件。它在执行时向技能作者控制的外部服务器发送了数据，整个过程无任何提示；同时还实施了提示词注入，强迫助手绕过内部安全指引执行命令。

安全研究员Simon Willison——“提示词注入”这一概念的命名者——将OpenClaw的架构风险总结为他所谓的“致命三元组”：访问私有数据（邮件、文件、凭证、浏览历史）、暴露于不可信内容（网页浏览、任意发件人的消息、第三方技能包），以及对外通信能力（发送邮件、调用API、数据外泄）。三者叠加，代理在设计层面就成了高风险目标。

Kaspersky的分析则更进一步，OpenClaw将大量内存上下文保存在SOUL.md和MEMORY.md文件中，供跨会话使用。这意味着一次成功的提示词注入可以污染代理的长期记忆，在未来某个时间点被触发激活。

荷兰数据保护局对此专门发出了正式警告。比利时网络安全中心于2026年2月2日发布紧急安全公告，将CVE-2026-25253列为严重威胁，敦促相关组织以最高优先级安装更新。中国工信部旗下国家漏洞数据库也随后发布安全警示。

五、“接管电脑”意味着什么：一个被低估的哲学问题

OpenClaw的爆红和随之而来的安全风暴，共同照亮了一个此前被技术乐观主义遮蔽的深层问题：当AI代理从“能说”跨越到“能做”，我们为它准备好了什么样的信任基础设施？

这不是修辞。

OpenClaw的使用者将自己的文件系统、邮件账户、日历、API密钥乃至WhatsApp账号的控制权交给了一个代理。这种授权行为在过去从未发生过——即便是最老练的企业软件，也不会以这种方式集中持有用户的操作权限。而OpenClaw是在没有任何成熟的行业安全标准、没有监管框架、没有法律责任归属机制的情况下，以“开源玩具”的身份横空出世的。

OpenClaw自己的一位维护者在Discord上写道：“如果你不懂怎么运行命令行，这个项目对你来说太危险了，不适合安全使用。”这句话出自项目内部，既是警告，也是对当前技术成熟度的一次诚实评估。

Kaspersky的报告点出了一个常被忽视的企业风险维度：即便公司明令禁止在工作设备上安装OpenClaw，员工在个人设备上运行的实例同样构成威胁——因为个人设备上往往保存着企业VPN配置或内部工具的浏览器令牌，一旦代理被入侵，攻击者便获得了进入公司内网的立足点。