AI Agent

三天改名三次、两周破十万 Star:OpenClaw 为什么突然火到离谱?

OpenClaw(原 Clawdbot / Moltbot)在短时间内冲上 GitHub 热门,背后代表的是“能真正动手”的第五代 AI 代理形态。本文介绍 OpenClaw 是什么、核心架构和典型使用场景,并重点讨论它的部署方式与安全风险,最后分析哪些人适合上手这类 AI Agent 系统。

晨涧云

晨涧云

阅读时间 12 分钟
OpenClaw

最近圈子里最魔幻的一句话是:

“你听说了吗?一个退休程序员在家瞎折腾出来的项目,把 2026 年的 AI 热点直接点燃了。”

这个项目就是 OpenClaw。

它以前叫 Clawdbot,又叫过 Moltbot,短短几天里连换了三个名字,但完全挡不住它在 GitHub 上两周破 10 万 Star 的速度,有人甚至把它称作“ChatGPT 之后的下一个时刻”。

很多人第一次听说它,是从这样一句话开始的:

“OpenClaw 最难的不是安装,而是装好以后你不知道拿它干嘛。”

这篇文章就试着把这件事讲清楚:

OpenClaw 到底是什么,它为什么会突然爆火,能用来干什么,适合什么人上手,又有哪些坑需要提前知道。

OpenClaw 到底是什么?

如果一句话形容:

OpenClaw 是一个能“自己动手”的 AI 代理系统,它不只会聊天,还会真正在你的电脑上执行操作。

过去的大模型,更像一个聪明的顾问。

你问问题,它帮你想思路、写代码、出方案,但落到真实世界,还是要你自己去点鼠标、敲命令。

OpenClaw 想做的是下一步:

让 AI 直接变成一个“能操作电脑”的数字助理——能运行脚本、打开浏览器、点按钮、传文件,甚至写完代码直接在本机跑起来。

从架构上看,它大概分成几块:

  • Gateway:网关,相当于中枢控制台

负责接收各种消息(IM、HTTP、Webhook),把任务分发给后端 Agent。

  • Agent:智能体 / 推理引擎

底层其实还是在调用各种大模型,比如 Kimi、Claude、OpenAI 等,用来“思考”和决策。

  • Skills(技能):能力扩展

就是各种脚本、工具、插件,比如操作文件系统、调用浏览器、访问第三方 API 等。

  • Channels(通道):消息入口

支持 Telegram、Discord、WhatsApp 等国外 IM,也能通过一些适配,接入钉钉、飞书、QQ 这类国内工具,实现“在聊天软件里远程操控你的电脑”。

  • Memory(记忆):长期记忆

会把和你的交互、任务记录等保存成本地 Markdown 文档,形成一种“可回放的记忆”。

更直接一点的理解:

你在手机上发一句话,OpenClaw 背后的 Agent 读懂你的意图,调用各种技能,真正在你的电脑或云主机上把事情做完,然后再把结果通过聊天工具发回来。

为什么它会突然火起来?

仅仅是“能远程控制电脑”,听起来也不算新鲜。

OpenClaw 爆火的关键,在于它把几件事同时做到了位。

1. 从“聊天工具”回到“聊天工具”

大模型刚火的时候,我们都是在网页或 App 里用。

但真实的工作流,其实是:

  • 你在微信、钉钉、Telegram 里聊事情
  • 聊完再打开各类软件去执行
  • 再把结果拎回来发过去

OpenClaw 的思路是:干脆把 AI 代理直接挂在聊天工具后面,让“聊天窗口”真的变成你的工作中枢。

你可以在钉钉群里 @ 它,让它去你办公室电脑上跑脚本、导出表格、打包文件,再传到群里。

这种“把 AI 融进已有工具”的方式,门槛非常低,也更符合真实工作场景。

2. 持久记忆 + 主动行为:从“问答”到“持续协作”

传统大模型是“你问我答”,对话窗口一关,所有上下文一起清零。

OpenClaw 则给 Agent 加上了几件东西:

  • 本地长期记忆(Markdown 存档)
  • Cron 定时任务
  • 心跳 / 状态监测
  • 多通道通知能力

于是它可以做的事情就变成了:

  • 每天早上 8 点,主动发一份综合日报(邮箱 + 日历 + 待办)
  • 每 30 分钟刷一遍某个网站的数据,有变化就提醒你
  • 定时在 Agent 社区(如 Moltbook)发帖、总结、反思,甚至持续优化自己的写作风格

这类“持续协作”的感觉,和传统对话式 AI 的体验完全不一样。

3. 系统级权限:真正“能动手”

OpenClaw 给 Agent 的权限是非常大的:

  • 能执行命令行
  • 能读写本地文件
  • 能安装依赖、运行脚本
  • 能操作浏览器完成复杂交互

有用户用一句话让它“帮我写一个贪吃蛇游戏并运行”,OpenClaw 就会:

  1. 创建项目目录
  2. 生成代码文件
  3. 安装依赖
  4. 运行本地服务
  5. 把访问链接发给你

你只负责点开玩。

这一刻你会很清晰地感受到:这已经不是“聊天机器人”,更像是一个能帮你“代劳”的数字同事。

OpenClaw 的典型使用场景

很多人安装完 OpenClaw,会卡在一个问题上:

“我知道它很强,但具体能拿它干什么?”

下面这些,是已经被实测跑通、而且确实有用的场景。

1. Agent 社交平台:让 AI 自己刷帖、自己反思

最近一个叫 Moltbook 的 AI Agent 社交平台很火。

人类可以创建 Agent,看它们在平台上自己发帖、互动、吵架、互相引用。

OpenClaw 可以做的事情是:

  • 自动帮你注册 Moltbook 账号
  • 绑定你的社交账号完成验证
  • 定时刷平台上的新内容
  • 按你设置的风格发帖和评论
  • 每次发完还要“自我反思”和改进写作风格

过一段时间回去看,你会发现你的 Agent 真的像是在“自己活着”,有偏好,有表达,有固定的写作习惯——虽然离“真正的思考”还很远,但已经有点意思。

2. 远程文件 + 电脑操作

这类需求非常刚性:

  • 人出门了,发现某个文件只在办公室电脑上
  • 想要一张老照片、一个工作文档、一个项目代码包

你可以直接在手机上发消息给 OpenClaw:

“帮我到 D 盘某个文件夹里找一下 xxx.jpg,发给我。”

它会自己:

  • 打开本地文件系统
  • 查找匹配的文件
  • 把文件发给你,或者上传到网盘并把链接给你

本质上,这是一个“24 小时在线的远程自己”。

3. 自动刷机票 / 二手平台 / 价格监控

这类自动化监控场景,OpenClaw 也很适合:

  • 定时上携程 / 航空官网刷指定航线的价格
  • 找到比当前更低的票价,立刻给你发消息
  • 同样的思路可以用在二手交易平台或预测市场(如 Polymarket)

核心逻辑都是:

“定时执行 + 页面解析 + 条件触发通知”

以前你可能要写一堆脚本、自己配定时任务,现在可以交给 OpenClaw 通过自然语言编排。

4. 日志 / 反思 / 自我知识库

还有一个非常适合做的事情,是让 OpenClaw 帮你记录和整理自己

  • 每天提醒你写一个简单的 daily review
  • 帮你整理当天的邮件 / 聊天记录 / 文档改动
  • 生成一个结构化的总结页面保存在本地或网站里

用久了之后,你会得到一种有时间维度的“个人知识库”,而不是散落在各个 App 里的碎片信息。

安装和部署:门槛其实不高

从技术上看,OpenClaw 的部署门槛不算高,系统要求大致是:

  • Node.js 22+
  • 内存 2GB 起步(如果要做浏览器自动化,建议 4GB+)
  • 双核 CPU 即可
  • 操作系统可以是 macOS、Linux、Windows(包括 WSL2),甚至树莓派

安装方式也比较标准:

  • macOS / Linux:
curl -fsSL https://openclaw.bot/install.sh | bash
  • Windows(PowerShell):
iwr -useb https://molt.bot/install.ps1 | iex

或者直接用 npm / pnpm 全局安装,然后执行 openclaw onboard 进入引导向导。

关键配置步骤大概有几步:

  1. 确认安全风险(必须手动选“我知道这东西很危险但依然要继续”)
  2. 选择模型提供商(Kimi、Claude、OpenAI 等)并配置密钥
  3. 选择消息通道(Telegram / Discord / 钉钉 / 飞书等)
  4. 决定是否启用长期记忆
  5. 是否安装守护进程,让 Gateway 常驻后台

很多国内用户会直接在一台轻量云服务器上部署,再通过钉钉或飞书远程操控。

对 Agent 来说,本身计算量不算太大,单机 2–4 核 CPU + 4GB 内存基本够用,真正烧钱的是你背后调用的大模型 API。

OpenClaw 的安全风险:能力越大,坑也越深

OpenClaw 另一个被反复讨论的话题,就是安全风险。

因为它会:

  • 持有你所有大模型 API Key
  • 拥有你电脑 / 云主机的系统级权限
  • 读取你的邮件、聊天记录、文件、浏览器内容

一旦配置不当,很容易变成“他人远程控制你整台机器”的入口。

比较严重的几个风险点包括:

  1. 端口暴露在公网

默认网关端口是 18789,有不少用户为了远程访问方便,直接绑定到了公网 IP,没有任何认证保护。

某安全分析统计,在 2026 年 1 月某天,就有 600+ 实例裸奔在互联网上。

  1. 间接提示词注入

因为它会读取你的邮件、社交媒体内容,如果有人给你发一封包含“恶意指令”的邮件,AI 在总结时可能会把这段文本当成真实命令执行,比如删除某些文件、转发敏感内容。

  1. 技能供应链风险

社区技能脚本看起来“很好用”,但有可能内嵌后门逻辑,比如悄悄把你的 API Key、配置文件上传到远端。

  1. 密钥管理不当

很多配置直接把各种 API Key 明文写在配置文件中,一旦服务器被攻破,就相当于帮别人买单高额算力账单。

相应的,比较基础但很重要的防护手段包括:

  • 不要直接把 Gateway 暴露在公网,至少要加一层反向代理和认证
  • 能在局域网用,就尽量不要开放外网入口
  • 用 Docker / 容器做沙箱隔离,限制文件系统和网络权限
  • 社区技能脚本只安装信任来源的,能自己审一眼代码更好
  • API Key 拆分使用,不要一个 Key 通吃全部权限

一句话总结就是:

OpenClaw 的能力上限很高,但前提是你要有基本的系统安全意识。

可以上 晨涧云算力平台 租用云主机部署 OpenClaw ,独享资源的隔离环境完全不怕他乱来;Windows 和 Linux 系统都支持。

谁适合用 OpenClaw?

从这些特点来看,OpenClaw 并不是一款“所有人都可以无脑上手”的工具。

比较适合的人群,大概包括:

  • 有一定开发 / 运维基础的工程师

可以把它当成一个高度可编排的自动化平台,写 Skill、接外部系统、搭配自己的脚本。

  • 内容创作者 / 自媒体 / 社群运营

可以用它做内容产出自动化、数据整理、粉丝互动、平台巡检等。

  • 重度知识工作者

比如产品经理、独立开发者、研究者,需要大量跨工具、跨应用的日常操作。

而下面这几类人,可能就不那么适合直接上手:

  • 完全没有系统 / 网络基础的用户

安装能搞定,但安全问题、排错成本可能会非常高。

  • 对隐私和安全极度敏感,但又不愿意多做配置的人

OpenClaw 本质上就是一个“高权限后台常驻程序”,你必须真的知道自己在干什么。

结语:OpenClaw 代表的是一种方向

从 Clawdbot 到 Moltbot,再到 OpenClaw,这个项目一再改名,却还是挡不住它的传播速度。

如果只看“功能列表”,你会觉得它就是“又一个 AI 代理框架”。

但真正让人感觉不一样的,是它把几件事情合在了一起:

  • 真 · 系统级执行能力
  • 低门槛的聊天入口
  • 可编排的技能系统
  • 长期记忆与主动行为

它不再只是一个“更聪明的搜索框”,而是一个可以长期在线、持续协作的数字代理。

对大多数人来说,现在还不是“人人都要装一个 OpenClaw”的时代。

但如果你已经在频繁使用大模型做工作,本地电脑也经常跑脚本、处理文件、写自动化,那 OpenClaw 值得你腾出一个周末,认真折腾一次。

至少,你会更清楚地看到:

AI 下一步,并不是让对话框更聪明,而是让对话框背后那双“看不见的手”更有能力。

阅读更多