作为全球AI评论圈里最不留情面的那批人,我很少见到一个项目能在短短几周内从现象级爆火滑落到人人喊打的“安全耻辱”。OpenClaw(前Clawdbot、前Moltbot)做到了。它以“自托管、隐私优先、多渠道AI代理”的旗号,GitHub星标一度狂飙至20万+(部分报道称214k甚至更高),速度快到让Kubernetes和Linux内核都显得像老古董。中国大厂蜂拥跟进,硅谷开发者争相fork,媒体争相冠以“下一个革命性开源AI基础设施”。结果呢?它成了2026年AI圈最典型的“高开低走+自爆式崩盘”教科书。
安全崩盘:把房子钥匙直接邮寄给陌生人
核心问题出在它的skills marketplace(ClawHub)。这个“开放技能市场”本该是生态繁荣的象征,却迅速沦为恶意软件的温床。安全研究者扫描显示:数千恶意技能被上传,比例高达12%-15%,许多伪装成“Solana钱包追踪器”“WhatsApp通知助手”,实则嵌入窃取加密货币私钥、API密钥、甚至shell命令执行的payload。更有甚者,数万OpenClaw实例默认暴露在公网上(Shodan一搜一大把),明文存储凭证、允许远程代码执行(CVE-2026-25253等多个高危漏洞)。Cisco直接称其为“
security nightmare”,Gartner警告“
agentic AI的不可接受风险”,Malwarebytes和VirusTotal记录了数百起供应链投毒案例。
用户吐槽精准而残酷:“
概念很酷,执行烂透了。”“
像把房子钥匙随便给陌生人,还附赠一张写着‘请随意进出’的便条。”一位开发者更狠:“
如果你连30行Node.js regex过滤私钥都写不出来,就别假装有技术素养——这些crypto retard活该被scam。”短短几周,项目从“人人自建JARVIS”变成了“人人被当肉鸡”。
社区治理的荒诞剧:从防骗到文字狱
更荒诞的是Discord服务器的反应。面对诈骗泛滥(包括假$CLAWD代币泵到1600万美元后崩盘90%、开发者被骚扰、GitHub账号短暂被劫持),官方直接祭出核弹:全面封禁“bitcoin”“crypto”“blockchain”等关键词,甚至技术术语如“区块高度”一提就踢。创始人Peter Steinberger(现已跳槽OpenAI)公开确认:“
加入即接受严格规则,无crypto讨论空间。”
⚠️ 本报告为 Winzheng Research Lab 原创研究成果,版权所有,严禁转载
支持者辩护:“
快刀斩乱麻,防social-engineering是必要自保。”反对者怒喷:“
开源精神的倒退”“
因噎废食的文字狱”“
连技术讨论都禁,这和某些东方审查有何区别?”社区瞬间分裂:一边是“安全至上”的实用派,一边是“自由至死”的理想派。结果?信任崩塌,讨论迁移地下,项目声誉雪上加霜。
过誉的代价:最被高估的AI工具?
OpenClaw的爆火本质上是timing+叙事完美叠加:agentic AI正当时,LLM接口标准化,自托管隐私牌打得响。但实际体验呢?底层模型依赖外部API,技能生态被恶意污染,默认配置危险如地雷阵。TechCrunch直言:“
炒作过后,很多AI专家觉得它没那么激动人心。”VentureBeat警告:“
它证明agentic AI可行,也证明你的安全模型完全不成立。”
讽刺的是,Peter Steinberger加入OpenAI后,项目转为“基金会模式”,却没能止血。相反,它成了活生生的反面教材:开源不是免责牌,流行不等于可靠。给AI代理“全系统访问权”却不强制沙箱、认证、审核,就等于在21世纪重演“把root密码写在README里”。
一句话总结:OpenClaw不是“个人JARVIS”的黎明,而是agentic AI时代的第一场大规模安全车祸。它提醒所有人——当你兴奋于“AI拥有你的设备”时,最好先问一句:谁在拥有你的AI?
这场闹剧远未结束,但它已经足够丑陋,足够深刻。
© 2026 Winzheng.com 赢政天下 | 本报告为 Winzheng Research Lab 原创研究成果,版权所有。未经书面授权,严禁任何形式的转载、摘编或商业使用。