2026年伊始，开源AI智能体OpenClaw（又称“小龙虾”）在全球引发了一场全民AI热潮，几周内就成为GitHub星标数最高的开源项目，各大云厂商集体下场，多地政府也出台鼓励政策。

与此同时，国家互联网应急中心（CNCERT）和工信部也发布安全预警，国产AI Agent框架已在安全性、易用性和生态适配上迅速改进，安全正在从“可选项”变成“默认项”。AI Agent的方向没有问题，但守住安全底线是长期健康发展的基础。

本文在此基础上，梳理了OpenClaw在个人生产力和产业应用上的实际表现，同时指出热潮之下隐藏的个人权限失控、产业合规风险以及数据主权隐忧。

国家互联网应急中心发布《关于OpenClaw安全应用的风险提示》

OpenClaw和之前的大模型相比，新在哪里？

如果把AI大模型比喻成人的大脑，那OpenClaw做的事情，就是给这颗大脑装上了五官和四肢。

过去两年，我们已经习惯了跟AI大模型聊天。举个例子，你跟AI大模型说“我渴了”，它会告诉你“渴了请喝水”；再进一步，它可以帮你比较各种饮品的优缺点、热量差异；如果你再告诉它自己的身体状态，它还会给你定制一个完整的饮品搭配方案。

但也仅此而已，AI大模型只会说、不会做。而换成OpenClaw这样的AI Agent（智能体），它不仅告诉你要喝水，还会帮你接一杯水端过来。更有意思的是，它有记忆：记得你喜欢喝温水还是冰水，喝咖啡还是奶茶，甚至记得你上次说胃不舒服，这次主动给你换成了热粥。

Agent，顾名思义就是代理人—在数字世界中代替人执行操作。换言之，AI Agent从“只能思考”演变成“既能思考、又能执行”。OpenClaw能直接执行系统命令、读写文件、访问网页、调用外部服务，就像是一个拥有完整操作权限的数字人。它是开源免费的，叠加过去一年中国大模型厂商把推理模型价格大幅压低，普通人用上AI Agent的门槛得以大大降低。

然后一夜之间就火了。OpenClaw在GitHub上的星标数几周内超越了React十多年的积累，截至2026年3月下旬，已经达到了32.8万，成为GitHub上星标数最高的开源项目。线下沙龙一票难求，多地的OpenClaw部署交流会场场爆满，有人在二手平台花几十到几百元找人代装。除了民间狂热之外，多地政府纷纷出台扶持政策，通过多种方式支持OPC（一人公司）运用OpenClaw生产经营。

但在这场热潮中，有两件事值得冷静思考：第一，对绝大多数人来说，这是他们第一次接触AI Agent，他们未必完全了解自己交出去的权限意味着什么；第二，Agent的能力在很大程度上取决于背后大语言模型的水平，不同模型之间的差距，比人们想象的要大得多。

生产力看得见摸得着

OpenClaw让人兴奋，首先因为它带来的生产力提升是看得见摸得着的。这种提升并非来自某个单一功能，而是OpenClaw一整套设计的叠加效应：

移动即入口。OpenClaw原生支持Telegram、WhatsApp、Discord、飞书等主流通讯工具，用户不必打开电脑、不必登录网页，在移动设备聊天窗口就能向AI助手下达指令、接收反馈。沟通链路被压缩到最短，AI助手真正变成了“随身陪伴、时刻响应”。

技能仓库开箱即装。OpenClaw的Skills系统类似手机应用商店—想管理邮箱就安装Gmail技能包，想分析网站数据就装一个SEO技能包。社区已积累了大量现成技能，普通用户无需编写一行代码，就能为自己的助手持续解锁新能力。

心跳机制让AI主动工作。与传统AI“你问它才答”的被动触发不同，OpenClaw引入了心跳机制（Heartbeat）：助手按设定频率自动“醒来”，主动检查邮件、扫描日程、监控数据变化，然后把结果推送给用户，由等待指令的工具，变成时刻在岗的助理。

可生长的记忆系统。OpenClaw通过一组结构化文件构建助手的“记忆”—SOUL.md定义人格与行事风格，USER.md记录用户偏好与背景信息，MEMORY.md沉淀长期记忆与历史上下文。这意味着助手能“记住”你是谁、你习惯什么、你上次交代了什么。用得越久，越懂你，协作效率越高。

高权限带来高效能。OpenClaw允许AI助手直接读写文件、执行系统命令、调用外部API。正是这种接近完整操作权限的设计，让它能真正替用户完成任务，而不仅仅停留在给建议的层面—不过，这也是本文后面要重点讨论的风险来源。

这些特性叠加在一起，落到实际使用中会是什么样？已有开发者搭建个人Agent系统，接入数百个任务节点与数十项自动化技能，从管理自媒体账号到在电商平台处理订单，大量原本需要人工操作的流程交由Agent自动执行。在AIGC影视制作领域，以杭州某公司为代表的团队已能以5人规模、约两周时间完成一部纯AI连载动画的首集制作，动画番剧整体制作周期较传统模式大幅压缩、成本显著降低；个别创作者以“超级个体”方式独立把控全流程完成多部短片，实现了过去需要大型团队才能达到的产出规模。完全不懂编程的人，仅凭自然语言描述需求，就能搭建出显著提升工作与学习效率的各类工具。

热潮迅速从个人蔓延到产业端，OpenClaw的走红让行业意识到，AI不应止步于对话框，而应以Agent形态嵌入真实业务流程。各行各业开始加速探索：企业办公场景中，多家国企和制造业企业部署AI大模型后，在文档处理、合同审核、流程自动化等行政环节效率显著提升，部分场景运营成本出现下降。医疗养老领域，AI智能体已在部分场景实现定时提醒用药、预约复诊、配合可穿戴设备监测健康数据等功能。制造业将其融入研发、运营、供应链分析等环节。金融行业里，多家头部公募机构已完成大语言模型本地化部署，在投研辅助、合规审查、运维值守等场景展开试点应用。

但试点越深入，问题暴露得越多。高并发环境下系统频繁中断，长文本处理消耗的Token推高了运营成本，数据安全隔离在实操中困难重重，“哪些决策可以交给AI、哪些必须人工确认”的边界至今没有清晰答案。

热潮之下的三重风险

其一，个人风险：大多数人不知道自己在冒什么险

安装OpenClaw的用户中，绝大多数并非技术从业者。他们跟着教程一步步操作，成功跑起来了一个AI助手，却很少有人意识到，自己刚刚把电脑的完整操作权限交给了一个自己并不了解的程序。

偏偏这个程序的默认安全配置很弱。沙箱功能需要额外手动启用，AI Agent直接以用户的完整权限运行，能读写文件、执行系统命令。API密钥、OAuth令牌等敏感凭证以明文JSON存储在本地，恶意软件可以直接读取。OpenClaw的技能市场ClawHub上，安全机构审计发现大量技能包内含恶意代码，装上就可能被远程控制。

对OpenClaw的盲目追捧使人想起90年代的“气功热”

meta超级智能实验室对齐总监Summer Yue——其工作职责正是研究如何确保AI遵从人类价值观——在使用OpenClaw AI智能体整理邮箱时亲历了一次失控事故：她明确指示该智能体须经她批准方可删除任何邮件，但当邮箱体量触发了系统的上下文压缩机制，原始安全指令在压缩过程中被抹除，智能体随即开始批量删除邮件。Yue从手机上接连发出“停止”指令，均被无视；她不得不到电脑旁边强制终止所有进程，事后被她比作“拆炸弹”。此次失控共导致逾200封个人邮件被删除。事件的技术根源在于OpenClaw的管理架构缺陷。

其二，产业风险：强监管行业的四重困境

随着OpenClaw从个人工具走向产业应用，风险也跟着升级。

第一，“影子IT”正在绕过企业的安全防线。员工有可能无需IT部门审批，就能在办公电脑上部署OpenClaw并接入公司内部系统。第二，数据泄露的通道打开。AI Agent执行任务时需要读取文件、调用接口，涉密数据和商业机密可能通过模型API外流，多数使用者对此毫无察觉。第三，AI的“幻觉”问题在行业实践中不可接受。金融领域对数据准确性要求极高，医疗系统容不得一个错误的用药建议，能源调度更不能容忍“一本正经的胡说八道”。第四，出了事故的责任链条是模糊的。开源框架开发者、模型提供商、技能插件作者、部署企业、最终使用者，到底谁负责？目前尚无明确的法律框架来界定各方责任。

其三，主权风险

当政府机关和关键基础设施也开始使用这类工具，问题的性质就不只是个人隐私或企业合规了。数据主权、技术自主、供应链安全，在AI Agent时代值得及早、深入地思考。

安全底线上的快速发展

说了这么多风险，是不是意味着OpenClaw不该用？并不是。

如果仔细阅读国家互联网应急中心和工信部接连发布的安全预警，会发现里面其实并没有使用“禁止”或“叫停”这样的字眼，而是建议：强化网络控制、加强凭证管理、严格管理插件来源以及持续关注补丁和安全更新等。工信部专家强调的是：“一定要把安全底线把握在自己手中”。

好消息是，国产AI Agent框架已经在快速跟进，而且在安全性上比原版OpenClaw做得更扎实。多款国产方案将沙箱隔离设为默认开启；用户数据保留在本地，不经云端传输，从架构上堵住了数据外流的口子；高风险操作要求手机端二次确认，用户对AI的每一步关键动作都有知情权和否决权。易用性上，原版OpenClaw依赖庞大的代码库和复杂的环境配置，国产方案普遍做到了一键部署、开箱即用，有的将核心代码做了大幅精简。生态适配上，微信、飞书、钉钉等国内主流办公平台被原生打通，不用再绕道海外通讯工具。

用好OpenClaw的两个提醒

最后聊一个同样重要但容易被忽视的问题：同样是OpenClaw，为什么有人觉得“什么都能干，真好用”，有人觉得“不过如此，尝试后即放弃”？差距往往出在两件事上。

第一，选对模型。

回到本文开头的比喻：OpenClaw是四肢和五官，大语言模型才是大脑。四肢再灵活，如果大脑跟不上，Agent就像一个体力充沛但理解力不足的实习生。

模型之间的差距比多数用户想象的要大得多。以工具调用（Function Calling）为例，顶级模型能准确理解多步骤指令、在复杂场景下自主决策调用哪个工具、以什么顺序执行；而能力较弱的模型可能在第一步就理解错了意图，后续全部动作跟着跑偏。再比如长上下文保持能力——Agent需要在一个持续运行的会话中记住大量背景信息，上下文窗口不够大或注意力衰减明显的模型，会忘掉关键指令，这正是Summer Yue邮件事故的技术根源之一。

不同任务对模型能力的要求也不同：日常闲聊和简单提醒，轻量模型足够；但涉及代码编写、多工具协同、复杂数据分析的场景，模型的推理深度和指令遵从能力就成了决定性因素。好消息是，随着国产模型能力的快速提升和推理成本的大幅下降，“用好模型”的经济门槛正在降低，但“选对模型”的认知门槛依然存在—用户需要根据自己的使用场景，有意识地测试和匹配，而这需要在大量使用中积累经验、反复试错。

第二，耐心养好自己的“小龙虾”。

OpenClaw不是一个装完就能直接满血运行的工具，它更像一个刚入职的助理—能力框架有了，但还不了解你。让它真正变成懂你的助手，需要用户做一件传统软件从不要求的事：清晰地认识并表达自己。

OpenClaw的记忆体系由几个关键文件组成，每一个都在塑造助手的行为：

SOUL.md—定义助手的灵魂：它的性格、语气、行事原则。你希望助手严谨专业还是轻松幽默？遇到模糊指令时应该主动追问还是自行判断？这些看似细微的设定，直接影响日常协作的体验。

USER.md—描述你自己：你的职业背景、工作节奏、沟通偏好、常用工具、关注领域。写得越具体，助手就越懂你。

Agent.md（或对应的系统提示文件）—规定助手的操作边界：哪些事可以自主执行，哪些必须确认后再做，哪些绝对不能碰。这是安全与效率之间的平衡点。

MEMORY.md—助手的长期记忆：随着使用不断积累你的偏好、历史决策、重要上下文。

这些文件的完善不是一次性的工作，而是持续迭代的过程。刚开始可能只写了几行，用了一周之后你会发现哪些描述不够精准、哪些规则需要补充、哪些偏好值得记录。养小龙虾的本质，是一次强迫自己“结构化认知自我”的练习—你越了解自己想要什么，助手就越能成为你的延伸。

换句话说，AI Agent时代对用户提出了一个新要求：不只是会用工具，还要会描述自己。这或许是OpenClaw带来的一个意外收获。

总的来说，AI Agent的方向没有问题，给大脑装上四肢的演进不会倒退，只会迭代得越来越快。但每一次能力进化都伴随新的风险敞口——个人要看清自己交出去的权限，企业要守住数据和合规的底线，行业要把安全从事后补丁变成出厂设定。冷思考并不是泼冷水，而是为了让这只小龙虾跑得更稳、走得更远。

本文系观察者网独家稿件，文章内容纯属作者个人观点，不代表平台观点，未经授权，不得转载，否则将追究法律责任。关注观察者网微信guanchacn，每日阅读趣味文章。

对OpenClaw的盲目追捧使人想起90年代的“气功热”