OpenClaw及其后续发展|代码库|收件箱|显式标识|智能体

作者：ThiyagarajanM(Rajan)2026年3月6日

历史上“增长最快”的开源项目，只用一小时就搭好了。99天后，其创建者加入了OpenAI，这个项目先后换过7个名字、爆发7次安全危机、收获25万颗GitHub星标。

上周一位合作的创始人问我：这东西到底厉害在哪？

去年七月，他还在质疑 Claude Code，说过去很多 AI 产品基本都是骗局，现在却事事都用它。他很真诚地问：既然 Claude Code 已经能写代码、理解代码库、跑测试、管 Git，大家到底在兴奋什么？

去年人工智能领域有两个重大事件：

3月ClaudeCode发布，编码代理突然变得真实可感，可以在终端运行并编写实际代码。

11月，Gemini3、Opus4.5和GPT5.2相继发布，前后仅几周时间。这些模型已经足够好用，可以胜任大多数生产任务。

从那之后，真正重要的问题变了。不再是哪个模型最智能，而是如何为模型构建更强大的框架。

Steinberger在11月的一个周六写出了那个“外壳”。他想在WhatsApp里用Claude，于是做了Warelay（WhatsApp Relay），只用了大约一小时。

他是PSPDFKit的创始人，PSPDFKit是一个被银行和航空公司使用的PDF框架。他是一位正经的工程师。但OpenClaw并不是传统意义上 “严谨的工程作品”。

记忆用的是记事本就能改的文本文件
工具集成就是CLI脚本
没用Anthropic的MCP协议

他自己说：“我不用MCP或那些乱七八糟的东西。”他只是编写命令行工具。一个对接GoogleAPI。一个反向控制他的Eight Sleep智能床，让AI在他到家前提前降温，一个黑进本地维也纳外卖App。

他的智能体曾经整夜盯着安防摄像头，坚信有个陌生人坐在他家沙发上。结果发现只是个影子。当你给人工智能设置定时任务并让它全程监控时，这种事就难免发生。

但星标渐渐多了起来。他改了好几次名字。先是Clawdis，然后是Clawdbot。Anthropic的法务团队发来了商标侵权通知，因为这个名字听起来太像Claude了。于是改名为Moltbot，最后定名为OpenClaw。

在这一连串折腾中间，有个东西真正改变了整个品类：有人发现了心跳机制（heartbeat）。

我是这么跟我那位创始人朋友解释的：ClaudeCode真的是非常优秀。它是我见过最棒的结对编程助手。它对你的代码库的理解比你团队里的大多数人都透彻，它会仔细阅读依赖关系，还能处理几十个文件的重构工作。

但它仍然像一个你随时可用的工具。你打开终端，你们一起工作，然后你关闭终端。一切就此结束。下次你打开它时，对话又重新开始。

OpenClaw的运行机制与众不同。它每隔三十分钟就会自动唤醒，检查你的收件箱、回复邮件、执行任务，这一切都发生在你睡梦中。一位用户曾让OpenClaw帮他与多家经销商就汽车价格进行数天的谈判，期间不断交换报价单。最终，他以低于标价四千美元的价格成交。另一位用户则因为OpenClaw的代理程序整夜阅读并整理了四千封积压的邮件，才得以清理干净。

我的理解是这样的：ClaudeCode就像一位住在你终端里的才华横溢的同事。而OpenClaw更像是一位住在你电脑里的古怪朋友，会在你外卖迟到时给你发短信。它们本质上是同一个大脑，但神经系统却截然不同。

真正重要的是动词的变化。ClaudeCode会在你发出指令时做出回应，而OpenClaw则会主动启动并开始执行任务。这是完全不同的东西。

有人会反驳。他们指出，Ralph是Huntley编写的bash循环程序，可以自主运行ClaudeCode；GasTown可以并行协调30个代理；ClaudeCode自身的子代理和代理团队也是如此。甚至有人开发了一个名为ClaudeClaw的东西，它本质上是将守护进程持久化功能嫁接到ClaudeCode上。

我认为他们对方向的判断是对的，但对OpenClaw的独特之处理解有误。Ralph运行一个循环的编码代理。GasTown负责协调这些编码智能体。子智能体探索代码库并运行测试。它们都运行在终端中。它们都从事开发工作。

OpenClaw会读取你的电子邮件，管理你的日历，通过WhatsApp给你发消息，控制你的智能灯，并在凌晨3点监控你的安全摄像头。

当代码智能体出错时，你会收到一个错误的提交。当生活智能体出错时，你的收件箱会消失，而且会多出一个你从未创建过的约会资料。攻击面根本不是一个量级。

心跳功能获得了25万颗星标，但同时也让攻击者只需点击一下就能在你机器上执行代码的漏洞。不是“自主化伴随安全问题”，而是自主化本身就是安全问题。同一扇门，双向开启。

Steinberger每加一个新功能，都会和所有旧功能互相影响。攻击面膨胀速度远超补丁速度。他每个月还要掏一万美元服务器费，只为让项目跑下去。

安全公司Snyk扫描技能市场后发现，三分之一的技能存在安全漏洞，其中七分之一存在高危漏洞。一位研究人员仅用了两分钟就发现了恶意软件。此前无人检查，因为检查并非任何人的职责。

一家安全厂商超过一半的企业客户在一个周末内授予了OpenClaw特权访问权限，而且未经任何审核。GitHub上25万颗星似乎足以让他们下定决心。说实话，在大多数情况下，这种做法确实有效。热门餐厅通常不会毒害你，但拥有你笔记本电脑root权限的自主智能体可不是餐厅。WordPress就为此付出了惨痛的代价。它是互联网上最流行的内容管理系统，也是遭受攻击最多的系统。

我印象最深的是Meta公司AI协调总监的遭遇。她把OpenClaw连接到了工作邮箱，结果整个收件箱都被清空了。她之前看到了三次警告，但都没理会。最后不得不拔掉网线。

负责确保AI安全的人员竟然无法保护自己的收件箱安全。意识到风险和及时做出反应是两回事，而OpenClaw的反应速度远超这两者。

与此同时，Steinberger却在亏损。受基础设施需求旺盛的影响，Cloudflare的股价飙升了20%。苹果的MacMini在全球范围内售罄。这两家公司都从OpenClaw中获利，但它们都与OpenClaw的开发没有任何关系。

这是老套路了。应用层创造了大部分可见的价值，而底层基础设施则悄悄地攫取了大部分利润。Linux是免费的，AWS不是。OpenClaw是免费的，Cloudflare的股价涨幅一点都不免费。

我想起了Karpathy在二月初称OpenClaw是“最不可思议的、堪比科幻电影的东西”，两周后又称它为“一堆烂摊子”。两次都是同一个项目，同样的漏洞。他两次的评价都没错，只是关注点不同而已。

龙虾必须蜕壳才能长大。它破壳而出，爬出旧壳，在柔软而暴露的状态下度过数日。它无法保护自己，只能不断长大。OpenClaw在99天内蜕壳7次，换了7个名字。每一次危机都让这个项目更难夭折。更好的名字、更完善的管理、更安全的保障，最终形成了一个基金会架构。

但每次系统升级过程中，那些遭受损失的用户却成了牺牲品。他们的凭证被盗，API令牌被泄露，收件箱被删除。他们没有从这次升级中获益，反而成了升级的代价。

Perplexity洞察到这一趋势，推出了Computer。它采用云托管，不用本地部署，这意味着困扰OpenClaw的所有漏洞都已不复存在。这与AWS当年抽象化Linux管理的做法如出一辙。先行者证明某种方案可行，托管层则负责确保其安全性。先行者赢得荣耀，托管层获得收益。

现在智能体看起来越来越相似了。每个实验室都在推出它们。模型正在趋同。去年的Opus变成了今年的Sonnet，明年就成了免费版本。

OpenClaw拥有当时最优秀的自主系统。但它缺少的是能够说“不”的机制。没有真正的技能评估，没有有效的权限限制，也没有系统监控智能体的实际行为。AI协调主管的收件箱里需要的不是一个更聪明的智能体，而是一个更笨但约束更好的智能体。

我认为，无论你怎么称呼它，无论是控制、判断，还是决定智能体不应该做什么的因素，最终可能都蕴含着价值。现在每个人都在追求更快的策略。而何时停止的机制却完全缺失。

自主性是人们最喜欢的功能，但代价也很高。