OpenClaw一周使用手记:一个老程序员的冷静观察
缘起
上周组里有人提了一嘴OpenClaw,说GitHub已经33万星了,比Linux还猛。我一开始没当回事——这两年开源圈靠热度起来的项目太多了,真正能留下来的没几个。
但当我看到腾讯、百度都在接入,Reuters和The Information都在做专题报道的时候,觉得还是有必要自己上手看看。
于是花了一周时间,从本地部署到配置工作流到踩安全的坑,把它完整体验了一遍。下面是我的记录和思考。
它到底解决什么问题
用了这么多年各种工具,我的判断标准很简单:你到底解决了一个真实问题,还是在制造一个新的"需要学习的东西"?
OpenClaw解决的问题很明确:让AI从"能对话"变成"能执行任务"。
以前的大模型——不管是GPT还是Claude——本质上都是输入文字、输出文字。你说"帮我整理会议纪要",它给你生成一段文本,但整理的动作得你自己来。
OpenClaw做的是把模型的理解能力接上实际的工具和操作。你说同样的话,它会去读日历、翻记录、做整理、存文件。这个从"说"到"做"的跨越,是它真正的价值。
从架构上看,它是一个模型无关的Agent编排层。底下接什么模型都行,它关心的是怎么把模型的输出变成可执行的动作序列。
和传统自动化的区别
我用n8n和Zapier好几年了。OpenClaw和它们的根本区别在于:它能处理需要"判断"的环节。
传统自动化是确定性的:条件A满足就执行动作B,分支逻辑全靠你事先写好。
OpenClaw的Agent循环里有一个LLM推理步骤,所以它能做"半结构化任务"——输入不完全固定、处理需要根据语义理解做决策的场景。
比如"收到一条消息→判断是咨询还是投诉→走不同流程"。用传统自动化,你得写一堆关键词匹配规则,还漏洞百出。用Agent,它理解语义,准确率明显更高。
这个区别看起来不大,但在实际工作中能省掉很多"人在中间转一手"的环节。
我踩了哪些坑
坑一:部署配置比想象中麻烦
虽然官方说"一键部署",但如果你想正经用起来——配模型API、设权限、接工具、调安全策略——还是需要不少时间。不是消费级产品的体验。
坑二:安全默认值太松
这是我最不满意的地方。默认配置下,很多该关的接口没关、该限制的权限没限制。SecurityScorecard能扫到4万多个暴露实例,跟这个默认配置的松散脱不了关系。
对于一个号称"能代替你执行操作"的框架,安全默认值松是不能接受的。
坑三:Prompt Injection是真实威胁
WIRED报道的那个研究我自己也复现了——用特定话术确实能诱导Agent做出非预期操作。传统安全思维里我们防的是代码漏洞,Agent安全防的是"被说服做错事",这是一个全新的攻击面。
目前没有什么优雅的解决方案。能做的就是:关键操作加人工确认、限制工具权限、对Agent的决策结果做规则级二次校验。
它火的逻辑
分析了一下为什么它能在这个时间点爆发,我觉得有三个因素:
一是用户需求确实在从"对话"转向"执行"。两年聊天AI的普及教育了市场,现在大家自然会期待下一步。
二是自托管对技术人群有天然吸引力。数据可控、流程可定制、不受大厂锁定。
三是生态效应开始形成。ClawHub上线、大厂接入、云平台提供部署服务——从单点项目变成了一个平台。
我的判断
写了十几年代码,看过太多"革命性"技术来了又走。我对OpenClaw的判断是:
方向对了,但成熟度还差至少一到两个大版本。
它解决的是一个真实需求——让AI从对话走向执行。这个方向不会回头。大厂的集体押注也侧面验证了这一点。
但现阶段它更像一个技术预览版(Tech Preview)而不是GA版本。安全体系没跟上,默认配置太松,生态治理刚起步。
适合个人开发者和技术团队在受控环境中研究和试用。不适合直接接入生产环境,更不适合接触敏感数据和关键业务流程。
如果你问我"装不装",我的回答是:装来学习和研究,值得。装来跑核心业务,再等等。