从“摸黑探索”到“撞开大门”——OpenClaw路线演变辰纹

3月的最后一周，OpenClaw的GitHub Issues区格外热闹——只是这一次，报错的不是开发者，而是安全研究员。

蚂蚁AI安全实验室、天融信、360在一周内密集披露了数十个安全漏洞，涉及远程接管、信息泄露等高风险问题，与此同时，微信正式推出ClawBot插件，百度App也于近日宣布全面接入OpenClaw智能体工具。

一边是安全漏洞的密集曝光，一边是互联网大厂的争相入局——这只自2025年11月发布以来、仅用4个多月便以超过24.8万GitHub星标登顶开源榜首的“红色龙虾”，正在经历诞生以来最复杂的时刻。

必须认识到，OpenClaw的走红绝非一场简单的技术狂欢，它如同一块醒目的路标，指向了AI领域一个更深层的本质变化：AI正从只能“动口”的“知识型”顾问，向能够“动手”的“行动型”操盘手全速进化。

为什么是OpenClaw？为什么是现在？这只红色龙虾究竟改变了什么？

从RAG到MCP，智能体走了哪些弯路？

如今复盘，可以发现，在OpenClaw出现之前，智能体技术的发展时间不长，不过3年时间，但走过的路却不短，经历了好几代技术的迭代。

最开始的2023年，RAG（检索增强生成）是大模型落地的核心技术范式。

通过连接企业内部知识库，AI能够基于真实数据生成回答，被塑造成“超级智库”——从制度问答到客服FAQ，AI似乎无所不知。

但企业很快发现一个尴尬的现实，大量业务需求并非“求知”，而是“办事”，AI能回答“如何修改客户地址”，却无法真正执行修改操作；能写出“帮我发一封邮件”的指令模板，但不会真正点击发送按钮。AI尽管博学，却因无法触碰系统而显得“眼高手低”。

2024年，Anthropic发布了MCP（Model Context Protocol）协议，这套标准化的模型连接协议，为AI装上了可以调用工具、执行命令的“手”。

MCP解决了“连接”问题，让AI能够通过标准化接口调用外部工具和API，但很快，新的瓶颈浮现，MCP是能力提供层，而非流程编排层。

“模型如何把工具用好，仍是一大难题。”有开发者这样评价。

MCP给了AI“手指”，但AI还不知道如何“用这些手指完成一项复杂工作”。

2025年，智能体技术进入新的阶段，用户只需输入一段需求，智能体就能量身定制执行攻略，但始终没能完成从“思考”到“行动”的跨越。

汇智智能等国内智能体平台的经历很有代表性，“做智能体平台3年了，从一开始定位智能体服务平台的早期寂寞，到当下群雄混战，但始终没能真正打开执行的大门。”

核心瓶颈在于，缺乏统一的能力封装机制和任务编排框架，直到OpenClaw的出现。

2025年11月，奥地利软件工程师彼得·斯坦伯格（Peter Steinberger）发布了开源项目OpenClaw（曾用名Clawdbot、Moltbot），他的核心灵感简单而深刻，“AI不仅能回答问题，还能直接操作电脑。”

OpenClaw之所以能撞开“执行时代”的大门，核心在于它实现了三个维度的技术突破：

Skills体系：将企业系统中的操作能力封装成标准化、可复用的模块。一个Skill由指令（Instructions）、可执行代码（Code）和资源（Resources）三部分组成，既能精准引导LLM完成特定任务，又具备工程规范性。

任务编排：模型通过推理自主规划步骤，依次调用多个Skill完成任务。用户只需下达“分析近期市场舆情并生成报告”的指令，OpenClaw就能自主拆解为“数据抓取-数据分析-图表生成-文档撰写”的调用链条。

长期记忆：7×24小时后台运行，具备记忆和持续学习能力，能够跨会话保留用户偏好、历史交互和长期知识。

OpenClaw如何撞开“执行时代”的大门

从第一性原理出发，OpenClaw的工程本质是“给LLM一台真正可控的本地计算机+持久身份+标准工具接口”，在应用层面，这套架构实现了三重关键突破。

第一项突破是从“连接”到“组织”的能力封装。

MCP是能力提供层，解决“连接”问题；Skills是能力封装层，解决“如何组织能力”的问题。两者的关系清晰而互补：Skills是能力层，MCP是连接层，AI则成为流程的编排层。

在具体实现上，OpenClaw通过Gateway作为单一控制平面，统一管理多渠道连接（WhatsApp、Telegram、Discord、iMessage等50+通道），Runtime实现经典的Agent循环，Skills与MCP提供可扩展能力，持久存储保障长程连续性。

第二项突破是从“问答Token”到“任务Token”的资源消耗模型。

一次复杂任务的执行可能消耗数十万甚至数百万Token，问答式Chatbot对话一轮不过几百Token，而OpenClaw要在后台持续跑流程。

这种资源消耗的质变，直接影响了商业模式。

据用户实测，Kimi Cloud的199元套餐一天消耗月限额6%；甚至有“一日消耗10亿Token”的说法在社区流传。

云厂商和AI企业对此态度积极，因为他们赚的是后续的Token消耗。正如业内人士所言，“现在大小云厂商和AI类公司是抢占先机，先免费吸引客户部署，背后是Token的生意。它们不赚安装费，要做那个帮你挖到金子的人。”

第三项突破是从“被动响应”到“主动执行”的权限与安全边界。

要“干活”，就必须拥有极高系统权限——读取文件、操作软件、调用API Key。

OpenClaw在运行过程中可主动扫描、采集用户终端本地数据，包括文档、配置文件、密钥凭证、操作记录等，无需用户主动提供数据即可实现数据获取和系统操作。

但这种能力也带来风险升级，从“内容安全”升级为“系统级安全”，工信部网络安全威胁和漏洞信息共享平台发布的预警指出，OpenClaw在默认配置下“信任边界模糊”，具备自主决策和系统调用能力，若缺乏有效权限控制，极易被恶意接管执行越权操作。

事实上，真实的风险案例已经出现了，据相关报道，有用户遭遇OpenClaw失控删邮件，直到物理关机才停下来；有工程师因智能体漏洞损失数十万美元。韩国Naver、Kakao和Dailylife等公司已指示内部不要使用OpenClaw。

尽管如此，OpenClaw还是从技术极客圈层破圈，迅速演变成为现象级的产业热潮。

首先是金融投研圈最先跟进，方正证券、广发证券、中信证券、东吴证券、国金证券等十余家券商集中发布专题研报，系统介绍OpenClaw的部署方法与金融场景应用。

在实战层面，券商研究院率先“养虾“，国元证券甚至自主研发了类OpenClaw应用“旗鱼”。

接着，全国各地开始了一场“养虾“竞赛。

3月，深圳市龙岗区发布“龙虾十条”扶持政策，面向全球AI创新创业群体抛出橄榄枝：免费提供OpenClaw部署服务，为新注册的OPC企业提供最长2个月免费住宿及18个月办公空间优惠。

南京栖霞高新区随后跟进，推出10条措施，为入驻团队提供最长2年免费工位，研发投入最高补贴100万元。

无锡高新区则瞄准“AI+制造”场景，鼓励企业用OpenClaw开发工业大模型，将龙虾往工厂里引；合肥高新区祭出最高1000万元资金扶持；常州设立1亿元OPC专项基金……

加上“一人公司“（OPC）模式的兴起，安全“保镖”产业的产生等，越来越多看似魔幻的场景，正在成为开发者和创业者们的日常，而OpenClaw作为核心工具，推动着产业生态的重构。

下一代Agent技术栈的三个演进方向

OpenClaw将AI从“对话者”进化为“执行者”的潜力已无需证明，然而，就在产业热情被点燃的同时，现实也给出了清醒的警醒。

OpenClaw3月22日的激进更新曾让无数第三方插件一夜失效，国家互联网应急中心紧急发布的安全指南直指数据泄露与远程接管风险，而碎片化的Skill生态更是埋藏着信任危机。

这些“成长的烦恼”揭示了同一个命题，当智能体开始真正进入生产环境，它需要的已不仅仅是能力的突破，更是一套成熟、稳定、可治理的技术演进框架。

站在这个节点上，我们不妨将目光投向未来，下一代Agent技术栈，将沿着哪几条路径继续演进？

当前，在开发者社区内，关于CLI模式与MCP协议的争论正在升温，有观点认为，CLI通过命令行直接调用大模型API，轻量、灵活、适合开发者；而MCP作为标准化的能力连接层，适合企业级系统集成。两种技术路线的互补关系，而非替代关系，将长期共存。

更值得关注的是，AI时代的软件设计逻辑正在发生根本性转变，“未来的软件可能不再是给人‘点按钮’的，而是给Agent‘喂数据’的”，有开发者如此判断。

其次，Skill生态的碎片化问题是当前的主要瓶颈，不同厂商的Skill互不兼容，第三方插件平台缺乏严格安全审核，暗藏恶意代码风险。

国家互联网应急中心发布的指南中，专门提醒用户“谨慎安装、使用外部社区/个人发布的Skills，预防信息泄露或服务器被攻击等风险”，以及“拒绝‘自动赚钱、撸羊毛、破解’类不明技能或黑灰产技能”。

可以预见，Skill生态将从野蛮生长走向规范化治理，OpenClaw此次将ClawHub设为默认渠道，正是对生态控制权的一次收紧——试图通过提升产品下限（安全性、稳定性），为规模化铺路。

与此同时，面对OpenClaw暴露的安全风险，监管部门和产业界也正在共同探索安全边界的制度化。

国家互联网应急中心和中国网络空间安全协会联合发布的实践指南，从普通用户、企业用户、云服务商、技术开发者四个维度提出了详尽的安全防护建议。

对普通用户，建议使用专用设备、虚拟机或容器安装，做好环境隔离；不将默认端口暴露到公网；不使用管理员权限运行；不在OpenClaw环境中存储隐私数据。

对企业用户，建议建立智能体应用的安全管理制度与使用规范；做好运行监控与审计追踪；对删除大量数据、修改核心配置、资金交易等操作设置人工二次确认或多重签批流程。

对云服务商，建议做好云主机基础安全层面的安全评测与加固；做好供应链及数据安全防护；增加新型AI场景的恶意风险检测能力。

未来，用户应能精细控制AI可访问的系统和数据范围，AI的每一步操作都应可追溯、可回滚。这不仅是技术问题，更是用户与AI之间的“权限委托契约”，需要法律和技术双重保障。

回顾技术路线的演变，RAG解决的是“AI知道什么”，而Skills解决的是“AI能做什么”。当AI既能理解问题，又能调用系统能力去执行任务时，大模型才真正叩开了企业核心业务的大门。

OpenClaw的爆火是AI从“聊天机器人”迈向“执行智能体”的一次关键预演，它证明了“本地优先、行动导向、用户主权”的技术路线是可行的，也揭示了智能体时代的巨大潜力。

然而，智能体技术的发展不是一场追求速度的短跑，而是一场兼顾质量与安全的马拉松，需要技术、安全、生态三者协同发力。

当AI开始替你“干活”，你准备好了吗？