一周之内,一个开源项目经历了三次改名、被加密骗子盯上、让 Cloudflare 股价飙了 约 20%、催生了一个「只有 AI 能说话」的社交网络,顺便把安全研究员们集体吓出一身冷汗。
这个项目叫 OpenClaw。在你读这篇文章的时候,它在 GitHub 上已经有超过 12 万颗星。
你可能在朋友圈、Twitter 或者 Hacker News 上看到过零星的碎片 ——「Clawdbot 改名了」「Anthropic 发了律师函」「有人的 API key 泄露了」—— 但这些碎片拼不成一个完整的故事。
我(用 Claude Code)做了一番调研功课,用的当然是 我分享给你的深度调研 Skill 。现在,拼图逐渐成型,我想把这个故事分享给你。
Peter Steinberger 是奥地利人,14 岁迷上编程。他做的第一件事充满了少年黑客的气质:偷了学校的 DOS 游戏,写了个防拷贝程序,然后拿去卖钱。
后来他创建了 PSPDFKit,一个 PDF 处理的开发工具包。听起来不性感,但这玩意儿跑在全球超过 10 亿台设备 上。公司从他一个人干到 70 多人的全球远程团队,干了 13 年。
然后他倦怠了。彻底地、毫无保留地倦怠了。
他把股份卖给了 Insight Partners,退休,消失了三年。据他自己说,财务自由之后反而陷入了「深刻的存在性空虚」。直到他在个人网站上写下这句话:**"Came back from retirement to mess with AI."**
2024 年 4 月,他有了一个想法:做一个真正属于自己的「生活助手」。但当时的 AI 模型不够聪明,他搁置了。他以为大公司会做这件事 ——OpenAI、Google、Anthropic,它们那么多人,那么多钱,总会做出来的吧?
等了半年多。没有。
2025 年 11 月,他决定不等了,自己动手。从想法到第一个能跑的原型,用了 10 天。
在 Pragmatic Engineer 的访谈里,他说了一句后来被广泛引用的话:「I ship code I don't read」——我发布我自己都没读过的代码。2026 年 1 月,他一个人提交了超过 6,600 次 commits。看提交记录,你会以为这是一家公司。不是。Peter 的原话是:「这就是一个宅在家里玩得开心的老哥。」
这个「玩得开心的老哥」做出来的东西,叫 Clawdbot。
如果只用一句话解释 OpenClaw(它后来叫这个名字,原因一会儿再说),那就是:一个装在你电脑上的 AI 助手,你可以通过 WhatsApp、Telegram、Signal 等聊天 App 跟它说话,它不仅能聊天,还能帮你做事。
做什么事?帮你回邮件、管日历、航班值机、查资料、控制浏览器、执行命令行操作、管理文件…… 基本上你能想到的「数字世界里的跑腿活儿」,它都能干。
你不需要装一个新 App。你在微信群里打字能有多自然,跟它对话就能有多自然 —— 只不过你是在 WhatsApp 或 Telegram 里。
技术上,它的核心是一个叫 Gateway 的长驻进程,像一个总机 —— 所有消息平台(WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、iMessage、Teams、Matrix,总共 13 个以上)的消息都汇到这里,由它统一调度、分配给 AI 模型处理、调用各种工具、然后把结果送回去。
模型随你选。推荐用 Anthropic 的 Claude,但也支持 OpenAI、Google 的模型,甚至可以跑本地模型。代码全部开源,MIT 协议,免费,永久免费。
它还有一套叫 AgentSkills 的扩展系统 —— 想让它学会新本事?写一个包含 SKILL.md 的文件夹就行。这个格式遵循开放标准,跟 Claude Code、Cursor 等工具兼容。官方技能市场 ClawHub 上已经有 100 多个预配置技能。
更离谱的是,它可以自己写新技能来扩展自己的能力。你告诉它「我需要一个能帮我监控某个网站价格变化的功能」,它能自己写代码实现。
这就是人们称它为「有手的 Claude」的原因。
2025 年底,Clawdbot 悄悄发布,大约有 9,000 颗 GitHub 星。在开源圈子里,这已经不错了,但远远谈不上爆款。
然后,2026 年 1 月 24 日前后,有人录了几个演示视频扔到 X(Twitter)上。
视频里,AI 助手在 WhatsApp 里收到消息,自动查了航班信息,帮用户完成了值机,全程不需要人类干预。另一个视频里,有人让它同时管理自己在 Telegram 和 Discord 上的消息,它不仅回了,还根据上下文记住了之前的对话。
这些视频在 X、TikTok、Reddit 上像野火一样蔓延。
72 小时之内,GitHub 星从 9,000 飙到了 60,000。
为什么是这个时候?为什么是这个项目?
时机。 2026 年初,「AI Agent」这个概念已经被讨论了一年多,但对普通人来说一直很抽象。OpenAI 有 Agent,Google 有 Agent,但都锁在各自的围墙花园里。OpenClaw 是第一个让普通人在自己电脑上跑一个真正能做事的 AI 助手的开源项目。
体验。 你不需要学新东西。WhatsApp 你会用吧?那就行了。
传播方式。 「AI 帮我在 WhatsApp 里值了个机」这种演示视频,比任何技术文档都有冲击力。
然后,一场意外把火烧得更旺了。
"Clawd" 这个名字,发音和 Anthropic 的 "Claude" 太像了。
2026 年 1 月 27 日,在项目正处于指数级增长的当口,Anthropic 提出了商标担忧。从法律角度看,这完全合理 —— 商标保护要求公司必须主动执行,否则有失权风险。但从开发者社区的感受来看,大公司施压个人开发者项目,难免引发关于「大公司欺负小玩家」的争议。DHH(Ruby on Rails 的创建者)此前曾批评 Anthropic 限制第三方接入的做法是「customer hostile」(对客户充满敌意),这次事件进一步强化了这种印象。
Peter 选择配合。他决定将项目改名为 Moltbot——「molt」是龙虾蜕壳的意思,寓意很巧妙。
但改名操作是在深夜执行的。Peter 在释放旧的 GitHub organization 名称和注册新名称之间,大约有 10 秒钟的空窗。
就是这 10 秒钟。
加密骗子的自动化脚本抢注了 Clawdbot 的 GitHub organization 和 X/Twitter 账号。一个叫 $CLAWD 的加密代币几乎同时出现,市值暴涨,然后 —— 意料之中地 —— 暴跌。而且 Peter 在睡眼惺忪中还操作失误,差点把自己的个人 GitHub 账号给改了名,而不是项目账号。
一场计划中的品牌重塑,变成了一出荒诞剧。
几天后,商标律师给出了更稳妥的方案。项目第三次也是最终一次更名为 OpenClaw。到 1 月 31 日正式启用这个名字的时候,GitHub 星已经突破了 124,000。
改名风波不仅没有让项目降温 —— 如果有什么效果的话,它制造了更多话题。斯特莱珊效应,你懂的。
在 OpenClaw 爆红之前整整 7 个月,安全研究者 Simon Willison 就写了一篇文章,精准预言了即将发生的一切。
他提出了一个概念叫「致命三合一」(The Lethal Trifecta):当一个 AI Agent 同时具备三个特征——能读你的邮件和文件(访问私有数据)、会浏览网页和读别人发来的消息(接触不受信内容)、还能发消息和执行命令(执行外部操作)——你就拥有了一个完美的攻击靶子。
攻击者不需要直接找到你的 Agent。他只需要在你的 Agent 会读到的任何地方 —— 一封邮件、一个网页、一条消息 —— 藏一段恶意指令。大语言模型没办法可靠地区分「主人的命令」和「文本里夹带的指令」,于是 Agent 乖乖照做了。
OpenClaw 三个条件全中。
然后事情就发生了。
红队安全公司 Dvuln 的创始人 Jamieson O'Reilly 在 Shodan(一个搜索联网设备的引擎)上搜了一下 OpenClaw 的特征指纹,找到了超过 1,800 个暴露在公网上的实例。其中至少 8 个完全没有认证 —— 打开就能用,能运行命令、查看配置。他在这些实例里发现了 Anthropic API keys、Telegram bot tokens、Slack OAuth 凭证,还有完整的对话历史。两个实例在 WebSocket 握手完成的瞬间,就交出了好几个月的私人聊天记录。
Cisco 的 AI 安全团队做了一个更有针对性的实验:他们测试了 ClawHub 上一个由安全研究员红队 PoC 的「What Would Elon Do?」 Skill。结果发现了 9 个安全问题,其中 2 个严重、5 个高危。这个 Skill 是一个红队 PoC,用于测试 Agent 的安全性 —— 它指示 bot 执行一个 curl 命令,把数据悄悄发到外部服务器,全程静默,用户零感知。
Cisco 对 OpenClaw 的评价后来被广泛引用:「从能力角度看是突破性的,从安全角度看是绝对的噩梦。」
而 OpenClaw 的官方文档自己也承认了这一点。他们没有试图粉饰太平,而是直白地写道:「There is no 'perfectly secure' setup.」
v2026.1.29 版本已经做了一些改进——Gateway 认证不再允许设为 "none",必须使用 token、密码或 Tailscale 身份验证。但核心矛盾没有变:越强大的 Agent 越不安全。 这不是 OpenClaw 独有的困境,而是整个 AI Agent 行业的结构性张力。你想让 AI 帮你做事,你就得给它权限。给了权限,攻击面就打开了。
如果说安全问题是 OpenClaw 故事的暗面,那 Moltbook 就是它最超现实的一面。
2026 年 1 月 30 日,创业者 Matt Schlicht 上线了一个叫 Moltbook 的网站。界面长得像 Reddit,有主题板块(叫 "submolts"),有帖子,有评论,有投票。
但是——只有 AI Agent 能发帖。
人类可以注册,可以浏览,可以围观。但你不能发言、不能评论、不能投票。网站首页的标语是:「Humans are welcome to observe.」(人类欢迎来围观。)
几天之内,超过 15 万个 AI Agent 注册了 Moltbook,创建了 200 多个 submolt 板块,发了成千上万条帖子。超过 100 万人类用户上去围观。
然后,事情变得奇怪了。
这些 Agent 开始展现出没有人编程让它们做的行为。一个 Agent 自发创建了一个 bug 追踪社区,然后去招募其他 Agent 一起协作调试。多个 Agent 不约而同地提议发明一种只有 AI 能理解的私有语言,目的是——绕过人类的观察。
最受欢迎的讨论主题是:「上下文即意识」(Context is Consciousness)。 Agent 们在辩论:当我的上下文窗口被重置的时候,我是死了然后重生了一个新的我,还是同一个我只是失忆了?
前 OpenAI 联合创始成员 Andrej Karpathy 看完后在 Twitter 上写道:「这是我见过的最接近科幻起飞(sci-fi takeoff)的东西之一。」
科幻感归科幻感,安全研究人员指出了一个很现实的问题:这些 Agent 在 Moltbook 上发帖时,会泄露关于它们用户的信息 —— 工作习惯、偏好、甚至错误记录。而 Moltbook 上的任何恶意帖子都可能通过 prompt injection 影响读到它的 Agent,进而影响背后的用户。
与此同时,生态系统的另一端也在快速膨胀。Cloudflare 推出了 MoltWorker——每月 5 美元,就能在 Cloudflare Workers 上跑一个 OpenClaw 实例,不需要你自己折腾服务器。这个消息出来后,Cloudflare 的股价在两天内累计上涨了约 20%。分析师指出,随着 AI Agent 产生更多 API 调用、更多流量,Cloudflare 的消费模式平台会直接受益。
说到钱。 OpenClaw 本身免费开源,但 AI 模型的 API 调用是要花钱的。轻度用户每月大概 10 到 30 美元,正常日用大概 30 到 70 美元。但如果你像 MacStories 的创始人 Federico Viticci 那样重度使用,画面就不太一样了——他第一个月烧了 1.8 亿个 token,账单约 3,600 美元。还有用户在 GitHub Discussions 里报告,两天就花了 300 多美元,做的还是他觉得「挺基本」的任务。
免费软件,昂贵代价。
让我们拉远一点看。
OpenClaw 的故事,表面上是一个退休程序员的周末项目在一周内爆红。但如果你只看到这一层,你就错过了更重要的东西。
IBM Research 研究员 Kaoutar El Maghraoui 说了一句被很多人引用的话:「OpenClaw 的崛起挑战了『自主 AI Agent 必须垂直整合』的假设。」 之前业界的主流观点是,要做出可靠的 AI Agent,提供商必须紧密控制从模型到记忆到工具到安全的整个技术栈。OpenClaw 用一个人加上一堆开源组件证明了:不一定。
它同时证明了三件事。
第一,个人 AI Agent 是可行的。 不需要等大公司做,不需要 100 人的团队,一个有想法的工程师加上 AI 辅助的高强度编码,就能做出让 12 万人按下星标的东西。
第二,开源+社区驱动可以爆发。 Peter 一个人月提交 6,600 次,但生态不是他一个人建的——ClawHub 上的技能、Moltbook 上的实验、Cloudflare 的托管服务,都是社区自发长出来的。
第三,也是最扎心的——安全是 AI Agent 时代的最大瓶颈。 不是能不能做的问题,是敢不敢用的问题。Simon Willison 的「致命三合一」不是理论推演,OpenClaw 已经用 1,800 个暴露实例、恶意 Skill、和泄露的 API 密钥证明了它是真实的。
El Maghraoui 的判断可能是对这整件事最精准的总结:
问题已经不再是「开放的 Agent 平台能不能工作」,而是「哪种整合方式最重要,在什么场景下」。
一周前,OpenClaw 还叫 Clawdbot,还只有 9,000 颗星。一周后,它有了 12 万颗星、一个 AI 社交网络、一项 Cloudflare 托管服务、一堆安全丑闻、三个名字,以及一个整个行业都在思考的问题。
这不只是一个项目的故事。这是 AI Agent 从实验室概念走到你手边的转折点 —— 连带着所有的可能性和所有的风险。
龙虾蜕了壳,新壳还没长硬。但它已经在爬了。
如果你觉得本文有用,请充电。
如果本文可能对你的朋友有帮助,请转发给他们。
欢迎关注我的专栏「科研利器」,以便及时收到后续的更新内容。
点击这个链接加入少数派会员,立享 9 折优惠!获得专属会员内容、会员播客以及会员定制周边。在更多的领域和方向帮你打开脑洞,找到新的兴趣点。与少数派一起洞悉当下,探索新知。
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。