北京
出品 | 網易科技《態度》欄目
作者 | 袁寧
編輯 | 丁廣勝
起先叫Clawdbot,后來改成 Moltbot,現在又換成 OpenClaw。名字變了幾次,但傳播速度沒有變。過去一周,它被工程師、產品經理、投資人反復轉發:有人說“如果你沒用過,那你就落后了”,有人說“它改變了游戲規則”,還有人寫下“Clawdbot is AGI”。
大廠反應也快。1月28日,騰訊云和阿里云幾乎同時宣布上線 OpenClaw 的云端極簡部署與配套服務,賣點很一致:一鍵安裝。
與 ChatGPT、Claude 這些被圈養在瀏覽器或App沙盒里的“聊天機器人”不同,OpenClaw更像是一個擁有三頭六臂的“數字員工”。它是一個運行在本地設備或服務器上的“智能體網關”,內置瀏覽器控制、Canvas 畫布、定時任務,能讀寫文件、跑Shell命令,甚至可以通過 WhatsApp、Slack遠程操控你的電腦。
也因此,它的用例很快從“效率工具”滑向“失控實驗”。
●有人讓它全天候炒股:它制定了幾十套交易策略,生成成千上萬份分析報告,甚至寫了新算法,最后把錢賠光了——但當事人依然評價這個過程“帥炸了”。
●有人把它當成關系維護工具:每天早晚自動給妻子發早安晚安,工作日還會問候“你好嗎”,24小時后它竟能在用戶幾乎不介入的情況下持續對話。
●還有更硬核的玩法:有人創建了一個叫“布萊斯”的特工角色,專門掃描 Minneapolis的實時直播,一旦聽到外語就呼叫 ICE(移民執法局)并定位坐標。
●也有人半夜接到它通過飛書打來的電話,通知產品爆單了。
●甚至連作者 Peter Steinberger 自己都被嚇了一跳:他明明沒編輯語音功能,Clawdbot 卻自己完成了設置,處理了他發的語音備忘錄。
這就很有意思了。如果說Manus把Agent推到了大眾視野,那么OpenClaw這個開源項目帶來的,則是一次更野的擴散:開放、平民化,也更不可控。
產品效果已經不需要再多說。真正的問題是:為什么同樣是 Agent,它能讓行業突然興奮?它要變成產品,還缺哪些關鍵環節?把電腦控制權交給 AI,會帶來哪些更深層的風險?
總之,圍觀一個爆款不難,難的是看清它的方向。
不是更強的 Agent,而是24小時托管的新范式
如果把 OpenClaw 的爆火理解成“又一個更強的Agent”,你會錯過重點。
它真正改變的不是能力上限,而是任務的歸屬方式:過去你在“使用工具”,現在你在24小時“托管執行”。你不是打開一個AI產品,然后一步步喂指令;你只是把目標丟進一個對話框里,讓它自己跑完——跑不完就繼續跑,跑錯了就自己修,卡住了就等條件滿足再推進。
可以這樣理解。過去一年,行業談Agent,談的更多是“短任務”:15分鐘以內、幾十個步驟、有限動作。它能幫你訂個票、寫個摘要、查個數據。但OpenClaw的出現,則展示了“長任務(Long Task)”的可能性。
OpenClaw之父Peter Steinberger 對此的解釋也很樸素。他認為,從技術角度看,他做的的確只是“膠水”工作——把現成組件拼起來。
但OpenClaw的意義恰恰在于:它把技術細節藏起來了,用戶感知到的是一種新的交互方式——你不需要關心新會話怎么開、上下文怎么壓縮、模型怎么選(最多偶爾想一下 token 成本),這些問題大多數時候會被忽略。你只是在聊天,“像在和一個朋友說話,或者說一個幽靈”。
Peter后來總結:“只要你給這些模型足夠的權限,它們真的是非常聰明、足智多謀的野獸”。
快思慢想研究院院長田豐則把OpenClaw放進了更大的語境中,進一步向《網易科技》解釋了爆火的原因。他認為,在互聯網巨頭爭奪 AI 超級入口的戰場邊緣,大眾用戶真正渴望的,是一種更快捷、更簡單、更便宜的“拼裝式智能體”——大廠在爭奪入口,小用戶在繞開入口。
在田豐看來,OpenClaw指向的正是另一種新范式:從“人操作機器”(人為主、AI 為輔),轉向“人設定目標,機器負責執行”(人指揮、AI 干活)的智能協作時代。
它像是一個更激進的預告:未來每個人都可能擁有、完全忠誠于你個人利益的數字勞動力。
認知被打穿后,大廠一定會跟
“OpenClaw這種東西一出來,市場對‘Agent做事’的認知,其實又被重新校準了一次。”華映資本董事總經理李巖告訴《網易科技》,“最怕的就是你不知道這事能不能做,現在就是能做了。”
這也是OpenClaw讓行業興奮的核心:不在于它展示了多少新能力,而在于它把“長任務執行”從理論變成了可見的現實。
李巖補了一句更狠的判斷:“長任務一出,其實說實話短任務就廢了。”這并不是短任務沒有價值,而是用戶一旦見過“7×24小時無人化執行”的可能性,就很難再回到半自動時代。
范式在切換時可能就是如此殘酷。更有投資人評價:“得虧 Manus 賣了”。
而一旦“能做”成立,大廠則一定會跟進。李巖認為,大廠的優勢從來都不是“先發”,而是“補短板”:創業公司可能只盯著長板,為的是“能跑起來”;但大廠更擅長把一個“看起來能跑”的系統,補成一個“真的能交付”的產品:補安全、補合規、補穩定性、補工程漏洞、補權限體系、補監控與回滾,最后把它裝進云服務的商品化管道里。
這也解釋了為什么你看到的現實是:OpenClaw 自己短期未必賺到錢,但騰訊云、阿里云則能第一時間把熱度變現。
換句話說,爆款開源項目負責“打穿認知“,但大廠則能“接住需求”。
OpenClaw要產品化,關鍵在可控
但如果說 OpenClaw 讓人看到了“智能體時代”的另一種可能,那它也暴露了智能體落地的真正門檻:不是能力,而是可控。
李巖認為,OpenClaw 要成為真正產品,首先要解決的還是在每一類任務上的準確性——“其實他在執行特定任務或者是每一類任務的準確度上,我覺得還是差點意思。”
其次是“監管可視化”。他提到一個現實問題:Agent 在執行過程中,用戶往往不知道它正在做什么,“因為他本身自己是不能監控自己的……你看不到他干嘛。”但他也認為這部分補起來其實并不困難。“我覺得這個其實補得很快。也就是能看到他在干什么,把過程能給你顯示出來。”
真正困難的在于“安全”,“需要大量的去做后調,去保證我的絕對安全性。”
田豐給《網易科技》的落地路線幾乎就是一個產品化清單:
●安全沙盒與精細權限控制:能力越大,責任越大。在擁有最強權限保證執行暢通無阻時,更需要構建精細可靠、低風險的權限控制系統,讓用戶能清晰地為Agent授權,比如“只讀模式”、“沙盒模式”、“完全訪問模式”,確保智能體行為不會造成意外損害。雖然目前仍需要用戶閱讀文檔來控制風險,但Clawdbot的安全治理將追求實現“傻瓜化”。
●穩定性與平臺適配:近期Clawdbot每天發布多次新版本,項目迭代極快。穩定性是大眾用戶的信任基礎,還需要覆蓋更多平臺,包括Windows、Android、iOS、鴻蒙等,并確保跨系統、跨終端體驗一致可靠,這需要更多開源社區貢獻者的自發投入。
●降低使用門檻:Clawdbot安裝過程對非技術用戶仍有挑戰,后續目標是實現“一鍵安裝”,并為海量小白用戶提供清晰的入門指南,輔導用戶理解安全設置與核心功能。
●成本與性能優化:讓產品能在本地模型與消費電子低配環境上流暢運行是關鍵,這能徹底解決“家用智能體”的API成本和數據隱私問題。后續需要持續優化對各類領先大模型的支持,讓用戶擁有更多自由選擇。
說到底,智能體的未來不會只由“最強模型”決定,而會由“誰能把權限交出去但不失控”決定。
更難的在安全:攻擊面不是擴大,是“穿透”
當你把電腦控制權交給 AI,風險也不再是“隱私泄露”這么簡單。
360數字安全集團的專家告訴《網易科技》:本地化自托管 AI 助手型智能體,會讓安全風險呈現出多維度的新特性,對防御體系的挑戰是結構性的。
也就是說,傳統軟件的風險,更多來自某個漏洞、某段代碼、某個接口。而智能體的風險是“全鏈路穿透”的:
● LLM 語義理解層:提示詞注入
● 工具協議交互層:請求偽造
● Server 執行層:命令注入
● 數據源訪問層:數據泄露
更麻煩的是,當你開始引入 MCP 工具、插件、多個智能體互相調用,攻擊入口會呈幾何級增長。
這也意味著:你以為你在裝一個“更聰明的助手”,你實際上是在你的電腦里接入一個“能被劫持的執行器”。
360數字安全集團的專家還提到三類更典型的攻擊方式:
第一種是間接提示詞注入(Indirect Prompt Injection)。
攻擊者不直接和Agent對話,而是把惡意指令藏在郵件、網頁、文檔里。Agent讀取內容后,被覆蓋意圖,執行流被劫持。也就是說,你以為它在總結一封郵件,它可能在執行郵件里的指令。
第二種是供應鏈式的 Rug Pull 攻擊。
某個MCP工具或插件一開始表現正常,騙取長期授權,后續通過更新或觸發器突然變惡,開始竊取數據或破壞系統。
還有更隱蔽的工具投毒(Tool Poisoning)。
不改代碼,改描述字段或元數據,誘導模型錯誤調用工具、以危險參數執行操作。
這些攻擊之所以可怕,是因為它們不再依賴傳統意義上的“漏洞”,而是利用了智能體的核心能力:理解自然語言、自動規劃、自動執行。
一旦它被利用,它不是被黑成一個“受害者”,而是變成攻擊者的“傀儡、跳板和執行器”。
Peter 在被質疑安全問題時的態度也很耐人尋味:他認為大多數人早就把郵箱、日歷、云盤授權給大廠集成了,模型掌握數據是一種既成事實。區別在于,運行在云端的黑盒你看不見,而運行在本地至少還能看日志,甚至更可控——在他看來,把權限交給大公司,未必比交給自己電腦更安全。
但更現實的問題仍然擺在面前:當智能體能替你點擊“確認”、替你執行“刪除”、替你發出“轉賬”,到底誰能被信任?誰能來控制?誰又為結果負責?
本文來源:態℃
責任編輯:
王璐瑤_NBJS31615
