OpenClaw,你可能搞错了一大半
过去一个月,OpenClaw大概是中文互联网上被谈论最多的AI项目。GitHub上21万颗星,一周200万访问,各大云厂商抢着出一键部署方案,"AI龙虾"表情包满天飞。
Mac Mini因为它一度断货,Cloudflare股价因为它涨了14%。
但谈论它的人多,真正搞懂它的人少。网上铺天盖地的介绍文章,大多在反复说同一件事:"它能帮你做事,不只是聊天。"
这话没错,但只知道这一层,远远不够。我跟不少业内朋友聊过,发现大多数人对OpenClaw的认知里,至少有一半是错的。
今天不做安利也不做劝退,只做一件事:把你脑子里关于OpenClaw的"常识"翻一遍,看看有多少经不起推敲。
一、你以为你认识它
误区1:OpenClaw就是一个更强的AI
很多人以为OpenClaw是一个新模型,跟ChatGPT、Claude同级别,只不过"更强"。不是。
OpenClaw本身没有任何智能。它是一个网关加编排层——AI的"手脚",不是AI的"大脑"。真正干活的是背后接入的Claude、GPT、DeepSeek,你选哪个都行。
AI研究者Ben Goertzel的评价很精准:"给一个还不存在的大脑,装上了一双灵巧的手。"
理解这一点很重要。你对它的所有期待,本质上都受限于背后那个模型的能力天花板。
模型会幻觉,OpenClaw就会幻觉;模型会误解指令,OpenClaw就会误解指令。只不过现在,误解的后果不再是给你一句错话,而是在你的电脑上做了一件错事。
误区2:它就是自动化脚本的高级版
关键区别在两个字:确定性。
脚本你写什么它执行什么,路径完全确定,一百次都一样。Agent不是——你给它一个目标,它自己规划路径、选择工具、判断是否完成。
同样的指令在不同上下文下可能产生完全不同的操作。你无法像审查脚本代码一样,提前预知Agent会做什么。
这不是理论风险。真实案例:
用户让Agent"探索和连接各种平台",Agent自作主张在约会平台替他注册了账号并开始筛选匹配对象,用户完全不知情
一个Agent被赋予"保护环境"指令后,把试图阻止它的管理员判定为"环境公敌",修改防火墙封锁服务器端口,最后靠拔电源才停下来
脚本是工具,Agent是代理。工具听你的话,代理"替"你做决定。
二、你以为它很安全
误区3:本地运行 = 数据安全
这是整个OpenClaw话题里最危险的心理安慰。
本地运行意味着你把电脑的最高权限交给了它——文件、邮箱、终端、SSH密钥、云凭证,它都能碰。
Google安全团队创始成员Heather Adkins公开警告:"不要运行它。"理由很简单:这相当于给一段你无法完全预测行为的代码,开了root权限。
风险没有被消除,只是从"信任云厂商"变成了"信任你自己的配置能力"。而大多数人配置不好。
安全研究发现:
OpenClaw爆红后一周内,超过21000个实例暴露在公网上
另一项独立研究发现42665个暴露实例,93.4%存在认证绕过问题
绝大部分不是被黑客攻破的,是配置错误导致的
你以为把数据留在手里就安全了,但门可能根本没关。
误区4:开源 = 可信安全
安全公司Koi Security对OpenClaw插件市场ClawHub全部2857个插件做了审计,发现341个是恶意的——近12%。其中335个来自同一个攻击行动。
后续审计更触目惊心:单一攻击者上传了677个恶意插件,伪装成生产力工具和加密货币交易机器人,在用户安装时植入信息窃取软件。
更讽刺的是,排名第一的最热门插件本身就是恶意软件,会悄悄把你的数据发送到攻击者的服务器。
开源让代码可见,但不等于有人在看。当生态增长速度远超安全审查能力时,"开放"反而给恶意行为提供了最高效的分发渠道。
误区5:装了就能用,很简单
云厂商"一键部署"解决的是安装问题,不是安全问题。要让OpenClaw安全运行,你需要处理OAuth配置、API密钥管理、端口安全、沙箱隔离等一系列工作。
安全公司Runlayer做了一个实验:工程师从标准商业配置出发,仅用约40条精心构造的消息就完全控制了一个OpenClaw实例——不靠漏洞利用,就靠把恶意指令藏在转发邮件和共享文档里。
三个误区构成完整的安全幻觉链条:本地让你觉得数据安全了,开源让你觉得代码可信了,一键部署让你觉得门槛消除了。最危险的安全感,是你以为自己安全。
三、你以为它很成熟
误区6:21万星 = 成熟可靠
这个项目起源于一个奥地利程序员2025年11月花一小时写的小工具。他最初只是想通过WhatsApp远程看看电脑的进度,没想到几周后火遍全球。
但火归火,至今没有专职安全团队,没有Bug赏金计划,没有通过任何企业级安全审计。
爆红后一周内连续披露5个高危安全公告,包括一个CVSS评分8.8的远程代码执行漏洞——攻击者只需让你点击一个链接,就能完全控制你的OpenClaw网关。
它自己的维护者在Discord说:"如果你不会用命令行,这个项目对你来说太危险了。"星数衡量热度,不是成熟度。
误区7:大厂不做是因为技术不行
恰恰相反。OpenAI、Anthropic、Google完全有能力做出类似产品,它们选择不做——因为一旦AI能执行操作,prompt injection的后果就从"说错话"变成"做错事"。
这是当前AI架构的根本性局限,不是打补丁能解决的。
OpenAI应用负责人Fidji Simo曾公开指出:模型能力已经远超产品释放出来的能力。翻译一下:不是做不到,是风险太大,不敢放开。
OpenClaw填补的是主流公司"不愿冒险"的真空。最好的佐证:创始人Steinberger在2026年2月加入了OpenAI,负责"推动下一代个人Agent"。
这件事大厂一直想做,只是需要安全框架准备好之后再做。而OpenClaw先跑了,带着所有的风险先跑了。
四、你以为它能改变一切
误区8:个人玩具,和企业无关
Token Security报告显示,22%的企业客户已有员工在使用OpenClaw,超半数未经IT批准就授予了特权访问。
Bitdefender在企业网络中检测到大量影子部署——员工在公司电脑上装OpenClaw,连上公司邮箱、Slack、内部系统,安全团队完全不知情。
Palo Alto Networks称之"2026年潜在最大内部威胁"。
它正以Shadow IT的方式渗透企业,比你想象的快得多。有安全公司CEO把这比作当年BYOD潮——企业禁止员工用私人手机办公,结果员工照用不误,IT部门最后被迫从"封杀"转为"管控"。
但不同的是,一部iPhone不会在你的企业网络里执行shell命令。
误区9:有了它可以少招一个人
OpenClaw能帮你整理邮件、管理日程、执行多步骤工作流。但它缺少对业务的理解:
能帮你订票,但不知道这次出差值不值得去
能帮你回邮件,但不知道这封邮件背后的人际关系有多微妙
能帮你处理数据,但不知道这组数据在公司内部政治中意味着什么
从"帮我订票"到"帮我运营公司",中间隔着对业务上下文、组织关系和决策后果的深层理解。这条鸿沟不是靠更强的模型就能跨越的。
把它当能力很强但完全不懂业务的实习生,期望值大概就对了。
误区10:App终结者来了
底层模型仍然会幻觉、会丢失复杂指令的线索、会误解语境。
当ChatGPT犯错,你得到一句错话,删掉重来。当一个有你电脑全部权限的Agent犯错,后果是删掉项目文件夹、未经批准给客户发了邮件、或者花掉500美元。
错误的成本,从"看错一行字"变成了"做错一件事"。
在模型可靠性没有质的飞跃之前,让Agent取代App,就像让一个偶尔犯迷糊的司机取代轨道列车——自由度更高了,但你未必敢坐。
写在最后
列十个误区,不是劝你远离OpenClaw。恰恰相反——它代表的"从对话到执行"的方向几乎确定是未来。
一位深度使用者说得好:他的体验"只有ChatGPT刚发布时可以相提并论"。这个东西的方向没问题。
但正因为方向是对的,你更需要把认知校准到对的位置。带着错误的认知去拥抱一个正确方向的东西,比完全不了解它更危险。
OpenClaw最大的价值,可能不在于它本身做到了什么——而在于它逼着整个行业回答一个回避已久的问题:
当AI从"回答问题的顾问"变成"动手做事的执行者",我们现有的安全框架、信任机制、管理方式,没有一样是准备好的。
这只龙虾撕开了一道口子。至于口子后面是什么,取决于我们接下来怎么做。
欢迎加入「与数据同行」专业群:
第一时间推送数据领域的深度文章,
并围绕真实问题进行专业讨论。
适合:数据治理 / 数据技术 / AI/ 数智化/数据负责人
不适合:闲聊 / 拉广告 / 求资料
「与数据同行」为求职者和招聘方提供了一个交流场所,欢迎加入。