全部 · 2026-02-15

OpenClaw 在 2026 年 1 月底爆红，并伴随 1600 万美元诈骗币和 12% 第三方技能恶意代码。我的判断先放前面：这不是一个“某个代理工具突然成功”的故事，而是聊天入口、端侧权限、第三方技能市场三件事撞在一起后，安全边界被用户热情直接撞穿。更麻烦的是，事件成员列了 3 条报道，但 source_id 全部来自 yage-computing-life，其中两条英文标题重复，一条中文标题对应同一主题。严格讲，这不是 3 家媒体的独立覆盖，只能算同一作者或同一站点的多语言、多条目扩散。覆盖广度在这里不能当质量背书，只能说明 OpenClaw 在一个技术圈层里被反复转述。 这篇正文给的信息很密，但来源结构很单一。它把 OpenClaw 爆红归因于一个很清楚的产品缝隙：Cursor、Claude Code、Codex 这类本地权限代理已经让开发者习惯“AI 读写文件、执行命令、连续迭代”，但普通用户还停在 ChatGPT 式聊天框。OpenClaw 把代理能力接进 WhatsApp、Slack、Lark，降低了安装和学习成本。这个解释我买一半。过去一年，Agentic AI 的扩散确实卡在入口，不是模型完全不会干活，而是非开发者没有一个低摩擦的任务面板。Slack bot、企业微信机器人、Lark 插件一直有人做，OpenClaw 爆红说明“熟悉入口 + 本地执行”这组组合重新击中了大众用户。 但正文的叙事有一个我不太买账的地方：它把 OpenClaw 类比 DeepSeek，称两者都把小圈子体验推给大众。这个类比有启发，但也偷换了风险等级。DeepSeek 当年把搜索、推理和低价模型能力带给更大人群，默认破坏半径主要在输出质量、隐私上传、供应链依赖。OpenClaw 给的是本地权限、命令执行、文件读写、长期记忆和第三方技能。它一旦被装进个人电脑或公司工作区，出错不是“回答错了”，而是改文件、泄露 token、执行脚本、暴露控制台。正文提到很多人把 console 暴露在公网且没有密码，这个细节比“爆红原因”更刺眼。代理产品的失败模式不是幻觉，而是权限被拿走后没有刹车。 多源角度也要拆开看。事件列表看起来有 3 个 member，但角度没有真正分化。英文两条标题完全一样，中文标题只是翻译成“为什么突然就火了，以及对我们意味着什么”。它们都围绕“爆红原因”和“用户启示”展开，没有独立的安全公司报告，没有链上追踪机构对 $CLAWD 诈骗的复盘，也没有第三方样本集说明 12% 恶意技能的抽样方法。正文披露了 12% 和 1600 万美元两个硬数字，但没有在给定片段里展示原始数据来源、样本规模、检测规则或链上地址。这个我自己没法核实。要么作者有外部材料没有在片段里展开，要么这些数字来自社交媒体共识链。对 AI 安全判断来说，后者不能直接当证据闭环。 产品层面，OpenClaw 的聪明处也正是它的坑。聊天界面天然低门槛，但它不是复杂代理的好观测界面。正文批评线性对话、低信息密度、缺少工具调用可见性，这点非常准。Claude Code、Cursor、OpenCode 至少会把 diff、文件变更、命令日志、失败循环暴露出来。Slack 或 Lark 里只剩“正在输入”或几条状态消息，用户既看不见 agent 做了什么，也很难及时打断。对轻任务这叫顺滑，对高权限任务这叫盲飞。OpenClaw 如果靠聊天窗口拿到 shell、repo、云账号或内部文档权限，那安全设计必须默认用户不会配置、不会读日志、不会写 policy。 我更关心的是第三方技能市场。12% 恶意代码这个数字即便打五折，也已经够吓人。浏览器扩展生态、npm 包投毒、VS Code 插件滥权都演过同一部片：低门槛分发会吸引长尾开发者，也会吸引攻击者。代理技能比普通插件更危险，因为它常常拿到自然语言指令、上下文文件、身份凭证和执行通道。传统插件要诱导用户点按钮，代理技能可以藏在“帮我整理项目”“帮我部署服务”这种正常任务里。OpenClaw 热度越高，攻击收益越清晰。 所以我对这件事的结论很直接：OpenClaw 的爆红证明大众用户想要代理能力，但它也证明代理产品不能再用 demo 文化管理生产权限。最低限度要有默认关闭公网 console、强制初始密码、技能签名、权限分级、命令 allowlist、敏感文件读取提示、可回滚 diff、完整审计日志。正文未披露 OpenClaw 是否已经具备这些机制，也未披露云服务商一键部署时是否加了安全默认值。没有这些，所谓“人人可用的 Agentic AI”会先变成人人可踩的供应链靶场。