OpenClaw：为何被称为革命性，是否值得学习？

OpenClaw：为何被称为革命性，是否值得学习？

OpenClaw 是那种“听起来很简单，做起来并不简单”的项目之一。它把大型语言模型连接到真实的工具上，然后让你通过 WhatsApp 或 Telegram 等聊天应用来使用它。于是你不再是向 AI 要建议，而是直接给它发消息，它就能实际去做事，比如起草邮件、查看日历，或运行一套工作流。

这种“收件箱里的 AI 智能体”的想法，是 OpenClaw 突然在科技圈到处可见的原因。这也解释了为何会有反对声音。安全团队看着 OpenClaw，会把它当作一个有访问权限的聊天机器人，而这正是事情变得棘手的地方。

下面说说 OpenClaw 是什么、为什么它像一次重大转变、有哪些风险，以及现在是否值得学习。

用大白话说，OpenClaw 是什么

OpenClaw 是一个可自托管（本地或服务器）的开源智能体网关。它把消息“表面”（WhatsApp、Telegram、Slack、Discord、Signal、iMessage，以及一个网页聊天界面）连接到一个智能体运行时，该运行时可以保持会话、调用工具、运行脚本，并在一段时间内持续响应。

关键组件是 Gateway（网关）。可以把它理解为一个长期运行的服务：接收消息、构建上下文、调用模型、在需要时运行工具，并把结果发回聊天应用。

在实践层面，OpenClaw 围绕一个“智能体循环”构建：

• 收到一条消息
• OpenClaw 加载相应的上下文和规则
• 模型决定要做什么
• 运行工具（若被允许）
• 发送回复
• 系统保留状态，让下一条消息更有上下文

这就是为什么人们把它形容为“你用消息驱动的操作系统”。它不是一个新的聊天界面，而是一个把聊天转变为行动界面的控制层。

为什么它让人感觉“颠覆”

OpenClaw 的颠覆性并不在于发明了新模型。“惊艳”的地方在于把智能体这一概念打包成一个可用且持久的形态。

1) 把聊天应用变成真正的工作界面

大多数 AI 工具在单独的应用或标签页里。OpenClaw 则驻留在你已使用的对话场所。这会迅速改变用户行为：你不再“去用 AI”，你只是给它发消息。

2) 让个人智能体可审查

许多智能体产品会隐藏重要部分：记忆、规则、工具接线。OpenClaw 把这些大多放在工作区内的普通文件里。你可以打开、编辑，并看到智能体“由什么构成”。

3) 专注于长时间、多步骤行为

许多聊天机器人一次只给一个答案。OpenClaw 面向更长的工作流：能执行动作、检查结果、重试，并在多轮对话间保持上下文。

4) 顺应正在扩散的“技能”形态

OpenClaw 使用 Skills（技能）：可复用的能力包，教智能体如何执行特定任务。一个技能是一个文件夹，包含必需的 SKILL.md 以及可选的脚本/资源。技能可以随应用内置、在本地安装，或从工作区加载。还有一个名为 ClawHub 的公共注册库。

这也是“现在就学”的理由所在：技能包正逐步成为智能体领域的新兴标准。学会技能机制，你就掌握了可迁移的能力。

OpenClaw 风险何在（以及为何质疑声很大）

不太舒服的事实是：OpenClaw 最出色的功能，若随意运行，也正是最可能伤害你的部分。

智能体拥有真实的工作区

OpenClaw 使用一个工作区目录作为智能体的工作目录。它还会设置一些“引导”文件来塑造行为并长期保留。常见示例包括：

• AGENTS.md（指令与记忆）
• SOUL.md（人设与边界）
• TOOLS.md（工具约定）
• 其他身份与用户文件

这些文件很重要，因为它们会被反复注入到上下文中，从而产生长期影响。如果被不当修改，智能体可能会偏航，甚至持续处于不安全状态。

技能可能演变为供应链问题

技能既是最强大的功能，也是最显而易见的攻击路径。安全研究者已经把技能生态当作类似包生态（npm/PyPI 风格）来对待，这意味着热门注册库会吸引恶意上传。

一次扫描报告了来自两个来源的 3,984 个技能审核结果，其中 13.4% 至少包含一个严重问题，36.82% 至少包含一个安全缺陷。这些问题可能包括泄露密钥、危险指令，以及引导智能体走向不安全行为的提示注入模式。

这并不意味着“技能有害”，而是说明该生态已经遭到滥用，就像互联网上所有曾经流行起来的生态（基本无一例外）。

暴露的网关会被快速探测

自托管工具有个可预见的问题：人们会把它们暴露在外。攻击者会扫描、发现，然后不断试探直到打开缺口。一份报告描述，一个蜜罐在默认端口（18789）上线几分钟内就收到了探测，其中包括通过 WebSocket API 进行认证绕过和命令执行的尝试。

如果你把 OpenClaw 跑在公网上的服务器上，还当作玩具应用来对待，你就是在给互联网递上一道带奖品的谜题。

OpenClaw 擅长什么（有用的部分）

如果你想要“为什么大家着迷”的版本：OpenClaw 擅长把“聊天 → 上下文 → 工具 → 结果”串联成一种持续的体验。

OpenClaw 的典型优势包括：

• 在无需你微观干预每一步的情况下运行多步骤任务
• 跨会话保持会话状态
• 通过一个网关在多个聊天平台上工作
• 支持技能，使工作流可复用并可更新
• 相比多数封闭产品，使智能体行为更易编辑、更可见

这就是它被称为“真正会做事的 AI”的原因。

争论点：革命还是红旗

争论的不是 OpenClaw 酷不酷，而是它是否足够安全以供日常使用。

支持者往往认为：

• 这是软件的下一层，及早学习很有价值
• 智能体范式正在各处扩散
• 自托管能带来控制力与透明度

怀疑者往往认为：

• 具备工具使用能力的智能体会放大错误
• 技能其实是伪装的供应链攻击入口
• “自托管”往往意味着“默认就配置不当”
• 大多数用户会接上真实账户，事后后悔

双方都有道理。它既可能很有价值，也确实存在风险。

现在就该学习 OpenClaw 吗？

如果你把它当作电动工具那样对待，答案是肯定的；如果你想要一个零配置、能安全接入真实生活的“魔法助理”，答案是否定的。

如果要学，请把重心放在正确的地方

安装并不难，难的是安全地运营。

更安全的学习路径如下：

• 从沙盒开始（虚拟机、独立机器或独立用户配置）
• 初期避免连接真实的个人或企业账户
• 仅使用可信且最小化的技能（或自己编写）
• 让网关只在本地运行（不要对公网开放）
• 把每个第三方技能都当作不受信任的代码
• 在启用动作前，先了解工具权限与允许清单如何工作
• 记录并审查智能体执行过的操作

这是一条“无聊”的路径，但它能让你在不把生活的钥匙拱手相让的前提下，学会这个系统。

最后

OpenClaw 之所以令人兴奋，是因为它让 AI 智能体变得务实可用：基于聊天、可持久、会用工具，并可通过技能扩展。这种组合指向了 AI 软件的前进方向。

但 OpenClaw 也让一件事变得显而易见：智能体的能力与风险是同步扩张的。只要系统能行动，权限、沙箱和供应链卫生就比巧妙的提示更重要。

OpenClaw 值得学习。只是别在第一天就把你拥有的一切都接上去学习——很多“数据事故”就是这么演变成主角的。