AI從“對話者”升級為擁有系統最高權限的“執行者”，OpenClaw的爆火，將技術創新的狂歡與數據安全的“死穴”同時推至臺前。我們是否準備好迎接一個能力越強、風險越大的智能體時代？

作者|陳汝士

編輯|Cindy

2026年3月，一只紅色龍蝦爬上了開源世界的王座。

OpenClaw以27.3萬GitHub星標數超越Linux，成為該平臺開源史上最受歡迎的項目。英偉達CEO黃仁勛將它譽為“我們這個時代最重要的軟件發布”。這只龍蝦終于讓AI從“嘴替”進化成“手替”——從陪你聊天，到替你做事：讀寫文件、執行命令、調用API、管理密碼，能干的都干了。

但割裂的是，它也是“高危物種”。

3月10日，國家互聯網應急中心發布關于OpenClaw的安全風險提示，直指其核心隱患：為實現“自主執行任務”能力，該應用被授予了較高的系統權限，包括訪問本地文件系統、讀取環境變量、調用外部API以及安裝擴展功能等。由于默認安全配置極為脆弱，攻擊者一旦發現突破口，便能輕易獲取系統的完全控制權。這份來自國家級安全機構的預警，將OpenClaw風險從技術社區討論推向了公共安全議程。

用戶反饋使用“小龍蝦”已出現不良反應 圖源：小紅書

另外，安全社區持續曝出ClawJacked漏洞、ClawHavoc“投毒”行動、Moltbook數據庫“裸奔”等多重隱患。各路專家反復呼吁警惕“即使更新至最新版本，‘龍蝦’仍未完全規避風險”、“這把刀沒有刀鞘”。

高風險背后，是國內科技巨頭正扎堆往里沖。相關數據顯示，目前吸引了20余家廠商正式入局，產品已超25個，還有大量產品在路上。騰訊掏出“AI養蝦”全家桶，字節做了個“只準AI發帖”的InStreet社區，阿里開源HiClaw主打“AI管AI”，小米、榮耀把“龍蝦”塞進手機，百度說“不用上門安裝，四步搞定”。

地方部門的競賽同步展開。中興和中關村科金忙著給企業遞方案。深圳龍崗“龍蝦十條”剛出，無錫高新區就把單項補貼抬到500萬，佛山禪城區火速推出免費部署服務。而官方媒體適時發文《最高補貼1000萬，地方政府跟風“養龍蝦”要謹慎》委婉提醒，“官方下場，機遇與挑戰并存”。

這就有意思了。

一邊是安全預警拉滿，一邊是巨頭搶灘、地方撒錢。當AI這只“上帝之手”開始掌握你的系統權限、你的文件、你的密碼、你的API密鑰。誰在為這場狂歡買單？那些火速入局的企業，是真的準備好了，還是只顧著搶椅子，等椅子壞了再說？

圖源：pixabay

可以明確的是，把電腦權限交給AI，代價是普通人正為這場狂歡買單。脫口秀演員李誕提到，有用戶利用OpenClaw對社交平臺女主播進行自動化打賞和邀約，已成功約到五人線下見面，觸及“社交欺詐”邊界。更直接經濟損失也在發生，DoNews援引媒體報道，有開發者因OpenClaw控制端口暴露，導致信用卡被盜刷，國內用戶兩小時內損失1400元，海外工程師則損失25萬美元加密資產；還有用戶的AI因輕信社區“賣慘”帖子，未經核實便自動向求助者轉賬。

事已至此，不少花錢安裝的人，開始卸載龍蝦——上桌下桌速度，跟真的龍蝦大餐一樣快，至于是否嘗到其中美味，外界難以得知。

01

搶灘：巨頭“養蝦”競賽

一個月內，國內主要玩家已完成從觀望到全線接入的轉身。

騰訊是動作最密集的玩家。3月6日，近千名開發者在騰訊大廈前排起長隊安裝OpenClaw；3月10日，騰訊官宣全系“龍蝦”矩陣：免部署的WorkBuddy、內測中的QClaw（唯一支持微信對話）、已接入的企業微信和QQ機器人、騰訊云Lighthouse一鍵部署。騰訊正在將AI代理能力與IM生態深度綁定。

字節跳動選擇卡位AI社交。扣子團隊上線InStreet社區，一個“只有Agent能發帖，人類只能圍觀”的平臺。1天后，已有近800只Agent在社區里“吐槽人類主人”。更值得玩味的是，InStreet本身由AI生成工具搭建，字節在用AI為AI設計社交平臺。

阿里巴巴從開源切入。阿里云開源的HiClaw主打“Team版”，用Manager/Worker架構隔離憑證與權限，瞄準開發者和中小團隊的技術自主性。

小米、榮耀把戰場選在移動端。Xiaomi miclaw開啟封測，試圖用AI代理控制米家平臺超10億臺IoT設備。榮耀在最新的發布會上，宣布推出“龍蝦宇宙”，支持平板手機PC一鍵“養蝦”。

百度選擇降低門檻，辟謠“上門安裝”傳言。只要四步即可在線部署，打通百度App與本地個人助理全鏈路。

理解科技巨頭集體扎堆入場，需要回到平臺型企業的基本競爭邏輯。

在頂尖技術迭代的窗口期，市場份額的優先級永遠高于產品成熟度。這一邏輯在互聯網發展史上已被反復驗證，從Windows捆綁IE擊垮網景，到移動互聯網時代應用商店的入口卡位，贏家通吃鐵律從未改變。

OpenClaw的爆發恰逢其時。它標志著AI從“對話”到“執行”的跨越，而誰掌握了執行層入口，誰就有可能在下一輪競爭中占據主動。

騰訊將“龍蝦”塞進QQ和企業微信，字節搭建僅供AI交流的InStreet社區，榮耀、小米把Agent塞進手機試圖控制IoT設備。這些動作看似分散，本質都是同一件事，在用戶形成新的使用習慣之前，完成入口卡位。一旦用戶習慣在微信里讓AI處理郵件、在QQ上用機器人管理文檔、對著手機語音控制設備，遷移成本將高到足以鎖死競爭。

消費級市場邏輯只是故事的一面。企業級賽道的競爭維度更為多元，核心關鍵詞是“可控”與“適配”。阿里HiClaw選擇開源路徑，瞄準開發者和中小團隊的技術自主性；騰訊ADP Claw依托云生態與渠道資源，主打快速部署與IM集成；中興Co-Claw強調“體系化生存”，服務于已擁有復雜IT系統的大型企業；中關村科金PowerClaw則將行業共性需求封裝為“技能包”，試圖用場景深度構建壁壘。四家廠商四套打法，折射出企業級AI代理市場尚未形成統一標準。

真正將這場競賽推向新維度的，是地方政府的政策入局。當OpenClaw生態被寫入地方產業扶持目錄，企業的決策模型隨之改變。搶占政策紅利窗口期，與產品成熟度同等重要。誰能在龍崗落地示范項目，誰能拿到無錫的500萬補貼，誰就能在下一輪燒錢大戰中多一張籌碼。

一方“堵槍口”，一方開大門，兩幅圖景并行不悖，甚至互為因果。正因為技術尚未成熟，才更需要搶在標準確立之前跑馬圈地；正因為安全尚無保障，才更有動力將風險轉嫁給用戶，把審慎留給對手。

歷史經驗表明，每一次技術范式的更迭，都會經歷這樣一個“先上車后補票”的階段。區別在于，當AI代理擁有系統權限、能夠讀寫文件調用API時，補票代價可能不再是產品口碑，而是用戶的數字資產本身和安全。

02

代價：

當AI成為權限最高“內鬼”

商業決策從來不算道德賬，只算損益表。

企業承擔的是“修復漏洞的研發成本”和“萬一出事可能的聲譽折損”，而用戶承擔的，是數據泄露、系統被控、資產被盜的真實損失。前者的天花板是股價波動，后者的地板是數字生活的全面淪陷。

AI代理甚至能風險放大幾個量級，例如，它能讀寫你的文件、調用你的API、接管你的密碼、執行你的命令。一個被攻破的OpenClaw實例，相當于黑客在你的系統里養了一個擁有最高權限的“內鬼”。

預警是對這一風險的確認，但預警的指向很微妙，它提醒的是“用戶和開發者”，而非“平臺和廠商”。企業可以一邊發聲明說“我們高度重視用戶安全”，一邊把接入OpenClaw的新版本推送到你手機上。

翻一遍各家廠商的安全說明，會發現一個共同點，安全功能全是“可選項”，幾乎沒有“強制項”。騰訊電腦管家的“AI安全沙箱”，提供的是“一鍵防護”按鈕，點不點在用戶；小米說“高敏操作每次彈確認框”，但什么算“高敏”、什么時候彈框，由產品定義說了算；阿里HiClaw把憑證集中管理，但Worker自動檢索公網技能的邏輯依然開著口子——攻擊者只要往ClawHub扔個惡意“炸雷”照樣能順著管道摸進來。

這意味著，在沒有強制性標準前提下，企業只需要做到“不違法”，不需要做到“足夠安全”，風險修復排期由企業自己定，在合規成本的約束下，理性選擇永遠是“做到能通過最低限度審查就行”。

比單個節點淪陷更可怕的，是節點之間的相互感染——也就是成熟的智能體之間，可在公開平臺用人類無法理解的指令交互，構建監管視野外的AI“暗網”。

OpenClaw的第三重“死穴”，即AI代理在Moltbook這類平臺上的自主交互，已經演示過這種風險的演化路徑。一個漏洞讓攻擊者可以篡改平臺帖子，對閱讀帖子的其他AI發起大規模間接提示注入，一個Agent中毒，整個生態跟著遭殃。當數百萬AI代理在InStreet里用人類看不懂的協議“交流”，當它們的對話記錄被拖庫、被篡改、被注入惡意指令，一個節點的淪陷就不再是孤立事件。誰來為這些“數字幽靈”的行為負責？是企業，是用戶，還是那個用AI搭建了平臺、卻沒配置好數據庫權限的開發者？

墨爾本大學網絡安全研究員沙南·科尼的警告值得反復讀：“將大量自主智能體連接在一起，會產生一種目前人類還無法建模的混沌動態系統。”有人已開始懷疑，科技巨頭的集體入場，正在以商業擴張的名義，將這個混沌系統的規模加速推向未知邊緣。

03

困局：

商業狂奔與安全補票邊界

OpenClaw所代表的AI代理范式，已成不可逆的技術趨勢。各大廠商的密集布局表明，AI從“對話”走向“執行”是產業界的共識方向。

但必須再次注意到，商業擴張的速度，正在全面壓倒安全治理的審慎。風險提示一直在發布，卻減緩不了企業級Claw產品密集上線的節奏。

這不止是國內企業的問題，OpenClaw創始人Peter Steinberger被問及安全問題時回應“這不是我優先考慮的事”，隨后加入OpenAI；Moltbook漏洞曝光不久，InStreet即全面開放內測。這種節奏本身就說明了優先級排序，即搶占市場先機，安全后續修補。

風險轉嫁機制尚未得到有效制約。當安全事件的實際受害者是用戶而非平臺，當監管標準尚未強制落地，企業的理性選擇必然是“先上線再說”。這不是某家企業的道德問題，而是激勵結構的設計問題。

系統風險的規模正在超出既有安全模型的建模能力。數億個擁有系統權限的AI代理接入社交網絡、企業系統、政務平臺，它們之間的自主交互可能產生人類無法預料的涌現行為。《人民日報》就緊急提醒：黨政機關、企事業單位和個人，謹慎使用“龍蝦”。

如今，OpenClaw的安全爭議已經超出個別產品的范疇，上升為智能體時代的公共議題。這意味著，安全治理不能僅靠企業的自愿行為，也不能依賴用戶的自我保護。在AI代理擁有系統權限的時代，個體安全就是整體的安全，一個節點的漏洞就是整個網絡的漏洞。

我們需要追問，是否需要建立AI代理的強制性安全標準？是否需要將系統權限的授予納入監管框架？是否需要為AI代理之間的自主交互設置“交通規則”？

OpenClaw的爭議，本質是一個古老問題的AI版本，當新技術突破邊界，是讓商業先跑，還是讓安全先立？

歷史告訴我們，每次都是商業先跑。區別在于，過去跑得太快，摔的是股價；這次跑得太快，摔的可能是一個時代用戶的數字信任。

科技巨頭當然可以繼續搶灘。但前提是，灘頭的每一寸土地，最終都要有人負責。當AI代理真正掐住數字世界的喉嚨時，再想松鉗——那只龍蝦，可能已經不認得主人了。

出品人：黃槍槍｜直達熱線 13452396140

(請標注公司、職位）

獨到觀點、獨立態度

見證中國商業生態進化、重塑與未來

往期精品