概念股涨停、淘宝代装 900 单——但 OpenClaw 可能是今年最危险的"新玩具"

最近你大概率在朋友圈或者抖音刷到过"养龙虾"这个词。它指的不是真的养殖龙虾，而是一款叫 OpenClaw 的开源 AI 工具。

从今年一月底到现在，OpenClaw 的热度堪称现象级。它用四个月拿下 GitHub 历史星标第一名，打破了 React 花了十三年才创下的纪录。国内各大云厂商争先恐后推出一键部署服务，淘宝上"代装 OpenClaw"的订单超过 900 单，微信群、小红书、B站到处都是保姆级教程。

看起来，所有人都在告诉你：赶快上车。

但这篇文章想说的恰恰相反——OpenClaw 不是一个适合普通人轻率尝鲜的"AI 玩具"。它的风险，比绝大多数人想象的要大得多。

在解释为什么不该跟风之前，我们先搞清楚一个基本问题：这个让全网疯狂的东西，到底是什么？

OpenClaw 到底是什么——它跟 ChatGPT 有什么根本区别

很多人第一反应是：不就是又一个聊天机器人吗？

不是，而且差别很大。

ChatGPT、Kimi、文心一言这些产品的核心能力是"回答你"——你问它问题，它给你一段文字。整个交互过程是封闭的：AI 在一个沙盒里思考，然后把结果呈现给你，它碰不到你电脑上的任何东西。但 OpenClaw 完全不同。它的目标不是"回答你"，而是"替你做事"。它能直接操控你电脑上的文件、浏览器、邮件、日历，能帮你发消息、下订单、调用各种第三方服务。用技术圈的话说，它是一个"AI 智能体框架"——一个让 AI 不只是动嘴，而是真正动手的平台。

OpenClaw 由奥地利开发者 Peter Steinberger 在 2025 年 11 月创建，最初叫 Clawdbot。因为名字跟 Anthropic 公司的产品太像，被要求改名，先改成 Moltbot，最终在 2026 年 1 月底正式定名为 OpenClaw。改名的过程本身就充满戏剧性——改名后不到十秒钟，加密诈骗者就抢注了所有旧名社交账号，还在 Solana 链上发行了假代币，最高市值一度达 1600 万美元。这个细节某种程度上预示了后来围绕这个项目发生的一系列混乱。

OpenClaw 本身不包含任何 AI 模型，它更像是一个"调度中心"。你需要通过 API 接入 GPT、Claude、Kimi 等大语言模型，由它们提供"大脑"，而 OpenClaw 负责提供"手脚"——连接你的邮箱、浏览器、文件系统、日程表等各种工具。它有一个模块化的插件系统叫 ClawHub，目前已经有超过 3000 个功能扩展，从自动回复邮件到操控智能家居，覆盖面很广。此外还衍生出了一个叫 Moltbook 的社交平台，专门供 AI 智能体之间互动——听起来很科幻，但后面你会看到，这个平台也成了安全灾难的重灾区。

2026 年 2 月 15 日，OpenAI CEO Sam Altman 宣布 Steinberger 正式加入 OpenAI，OpenClaw 项目则转型为独立基金会运营。这件事被广泛解读为行业对"AI 智能体"方向的认可。

听起来前景很好对吧？但问题就出在"替你做事"这四个字上。

普通聊天 AI 最坏的情况是"说错话"，你看一眼就知道不对，关掉窗口就完了。而 OpenClaw 最坏的情况是"真的做错事"——删掉你的重要邮件、在你不知情的情况下替你付款、把你的密钥发给别人。而且这些不是假设，是国内社交媒体上已经出现过的真实翻车案例。一个能碰你邮件、文件、浏览器和账号的工具，一旦出错，后果的量级完全不是"聊天答错了"可以比的。

理解了这个根本区别之后，我们再来看：为什么明明风险这么高，还是有这么多人冲进去了？

为什么这么多人上头

OpenClaw 的吸引力非常直接：它让"AI 帮你干活"这件事变得肉眼可见。不再是抽象的"模型参数量""推理能力"这些普通人听不懂的词，而是"帮你收邮件""帮你整理文件""帮你自动回复客户"——这些任何人都能理解的价值。相比之下，ChatGPT 再强大，对很多人来说也只是"一个更聪明的搜索框"，而 OpenClaw 的承诺是"一个能替你干活的数字员工"。这种吸引力的差别是质的飞跃。

而在中国市场，几件事叠加在一起，把尝试门槛压到了几乎为零。

1 月 28 日，也就是项目正式定名前两天，腾讯云和阿里云几乎同一天宣布上线一键部署服务。随后几天内，百度智能云、京东云、字节跳动旗下火山引擎、优刻得全部跟进。腾讯云轻量方案低到 38 元一个月，配好了预装模板，号称"傻瓜式一键安装"。两天后，月之暗面的 Kimi K2.5 成为 OpenClaw 官方推荐的主力模型，并提供了大额免费调用额度——对大多数尝鲜用户来说，这几乎等于零成本起步。这恰好又赶上春节长假，大量开发者利用假期集中上手。

云厂商解决了部署问题，免费模型解决了成本问题，接下来社交媒体则解决了认知问题。从二月开始，教程全面刷屏。微信公众号和朋友圈病毒式传播，微信群成为互助部署的核心渠道；小红书上涌现海量"手把手避坑"笔记，很多非技术用户借此第一次接触到了 OpenClaw；B站和抖音的视频教程铺天盖地，其中一位叫"木子不写代码"的 B站博主出了一期《4种方法将 OpenClaw 成本降低10倍》，成了国内传播最广的降本教程。3 月 2 日，OpenClaw 官方开源社区正式入驻新浪微博，标志着它从极客圈层向大众平台的转型。

传播速度有多快？一个 30 岁的独立开发者搭建了中文社区网站，首日访客破千，次日就破万，他一个人运营的微信群短时间内扩张到了 29 个，几乎每天拉满一个 200 人新群。北京一场自发组织的线下沙龙涌入 300 多名创业者和程序员，据参会者形容，现场气氛是"全员疯了一样在赶进度，死对头也在连夜干这事"。淘宝和闲鱼上甚至催生出了"代装经济"——远程安装 30 到 500 元不等，同城上门安装收费可达千元。

凤凰网一篇分析文章指出，OpenClaw 在中美两国的扩散路径截然相反：美国是自上而下，CTO 决策后团队跟进使用；中国是自下而上，社交媒体先点燃普通用户，再倒逼企业跟进。招商证券研报也注意到，相当大比例的 GitHub 星标来自完全不了解 GitHub 的普通用户——他们是通过社交媒体把热情层层传递到开发者平台的。

换句话说，很多普通人不是因为真正理解了 OpenClaw 才去用它，而是因为它被包装成了"便宜、简单、立刻能上手"的新玩具。 但"门槛低"不等于"风险低"。恰恰相反，当大量不具备技术背景的用户涌入一个高权限工具时，危险才真正开始。

这些风险不是假设，是已经发生过的现实

过去一个多月里，海外安全社区围绕 OpenClaw 连续拉响警报。这不是理论推演，而是一份不断加长的事故清单。

公网暴露：你的实例可能在"裸奔"。 1 月下旬，安全研究人员就在 Shodan（一个搜索联网设备的引擎）上发现大量 OpenClaw 端点完全没有认证保护，私信、API 密钥和 OAuth 凭证直接可读。据安全机构报告，到 1 月底已有超过两万个实例暴露在互联网上；到 3 月初，多个来源估计这一数字已超过四万个，绝大多数存在严重的认证绕过风险。这说明 OpenClaw 的问题不是"理论上可能不安全"，而是很多人一上手就把高权限实例直接暴露到了公网上。

恶意插件：你根本分不清哪个是好的。 前面提到 OpenClaw 有一个插件市集 ClawHub。从 1 月 27 日起，攻击者就开始上传伪装成正常功能的恶意技能包，实际载荷是窃密软件，专门窃取用户存放在配置文件中的 API 密钥和加密钱包私钥。一个安全研究人员做了实验：上传一个功能正常但可追踪的技能包，很快在 7 个国家被安装了 4000 多次，证明了供应链攻击的可行性。到 2 月 3 日，对近 3000 个技能审计后发现 341 个恶意，感染率约 12%。到 2 月 18 日，恶意技能包数量扩大到 1,184 个，占整个市集约 20%。插件生态越繁荣，不等于越安全——对普通人来说，插件市场反而可能是最危险的入口。

令牌泄露：不只是隐私问题，而是"权限被接管"。 前面也提到了 Moltbook，那个供 AI 智能体互动的社交平台。它由美国开发者 Matt Schlicht 创建，整个后端是用"vibe coding"（纯靠 AI 生成代码、不人工编写）搭建在 Supabase 上的。安全研究人员发现它的数据库权限配置完全关闭，API 密钥甚至能在前端源码里直接看到。最终确认：150 万个 API 认证令牌、3.5 万个用户邮箱地址和 Twitter 账号完全暴露，而且是带写权限的——意味着攻击者不只能"看到你"，还可能"冒充你操作"。Forbes 随即发出警告，Moltbook 紧急下线并强制重置全部密钥。对一个执行型 AI 来说，令牌泄露不是"隐私问题"那么简单，而可能直接变成"权限被接管"。

提示词注入：让 AI 替攻击者干坏事。 传统软件被攻击，通常是"程序被黑"；而执行型 AI 被攻击，可能是"AI 被骗去替别人做坏事"。1 月 30 日修补的一个高危漏洞（CVSS 8.8 分）允许攻击者通过诱导用户点击链接，在毫秒内窃取认证令牌并实现远程代码执行。2 月底披露的 ClawJacked 漏洞更离谱：恶意网站可以通过浏览器对本地 OpenClaw 实例发起高频暴力破解，几乎不需要用户任何操作。到 3 月 1 日，CrowdStrike 确认真实世界中已经出现了提示词注入诱导 OpenClaw 发起加密钱包盗窃操作的案例。

面对这些接连不断的安全事件，企业和监管已经明确提高了警惕。 2 月 7 日，韩国科技巨头 Kakao、Naver、Karrot Market 相继发出内部通知，全面禁止员工在公司网络和办公设备上使用 OpenClaw，这是韩国自 2025 年初 DeepSeek 禁令以来首次针对具体 AI 工具的大规模封禁。2 月 9 日，中国工信部发出安全警告，要求企业排查暴露面并加强访问控制。有安全厂商的审计报告显示，单次审计就能发现数百个漏洞，其中多个达到严重级别。

当企业和监管都把它当高风险工具处理的时候，普通人更没理由把它当"随便玩玩"的应用。但你可能会想：那些安全漏洞是技术问题，跟我有什么关系？那我们接着说说，就算没人攻击你，你自己也可能怎么翻车。

就算不被黑，你自己也很容易把它用翻

很多普通人光是正常使用 OpenClaw，就会出各种问题。

首先是配置门槛。虽然云厂商号称"一键部署"，但部署只是万里长征第一步。技术社区总结了一堆新手常见坑：配对时需要在命令行手动批准，"很多新手以为程序坏了，其实是没批准"；浏览器自动化权限在国内网络环境下经常卡住；多平台配置稍有遗漏就无法工作；主要文档和界面以英文为主，中文支持全靠社区补全。

更关键的是，它碰到的都是真东西——你的真邮箱、真文件、真账号。这意味着一个小配置错误的后果就可能是删错邮件、误发消息、乱调接口。国内社交媒体上已经有人反映过"删光邮件""自主购物付款"等失控行为。

然后是持续使用的现实落差。澎湃新闻有一篇报道标题很到位：《第一批玩 OpenClaw 的人，已经开始清醒了》。大多数普通用户在部署完成后的兴奋感会在两到四周内消退，原因不是"不好玩"，而是能稳定自动化的场景远比想象中少、成本随使用深度非线性增长、出了问题根本不会调试。长期留下来的用户，大多是有明确变现场景的中重度用户——做内容创作、信息聚合、自动客服的那些人——而不是追热点的普通尝鲜者。

对普通人来说，OpenClaw 最大的问题往往不是"装不上"，而是"装上以后根本驾驭不了"。 而伴随着驾驭不了一起来的，还有一个更直接的问题：钱。

还有一个容易被忽略的坑：它会悄悄烧钱

OpenClaw 软件本身是免费的，MIT 开源协议，谁都可以用。但每次它"思考"和执行任务，都要向大模型发送 API 请求——这才是真正的持续成本。

费用因使用强度和模型选择差异极大。如果用 Kimi K2.5 免费额度搭配国内最低价云主机，理论上月成本可以压到 38 元。但这只是"理论上"。一旦开始实际使用，轻度用户月均大约 30 到 80 元，中度用户 200 到 400 元，重度用户 800 到 1500 元以上。如果选择 Claude Opus 这样的高端模型而不做任何优化，月账单轻松突破五千元。

更麻烦的是，OpenClaw 有几个设计特性会让费用悄悄膨胀，而你很难在事前预料到。第一是"上下文雪球效应"：使用时间越长，上下文窗口越大，每次调用消耗的 token 就越多，形成恶性循环。第二是"心跳空耗"：OpenClaw 会定期检查任务状态，即使什么都没发生，也会发送一次完整上下文给模型，仅回复一句"HEARTBEAT_OK"就可能消耗大量 token。第三是"全量读取"：每次处理文件或邮件时，它会读取全部内容而非只看增量部分。

这些设计特性叠加起来会导致什么？真实案例是这样的：有用户把检查邮件的频率设成每 5 分钟一次，一天就烧掉了 50 美元（约 360 元）。还有用户第一周账单 183 美元，一个月总成本约 4500 元人民币。

OpenClaw 的一个典型误导是：入门看起来很便宜，但真正长期用起来，又贵又难控。 这也让人不禁要问：既然风险这么高、成本这么不透明，那这股全民热潮到底是怎么来的？真的只是"群众自发热情"吗？

热潮背后，谁在真正获利

回头看 OpenClaw 在国内的整条传播链路——云厂商争相补贴、免费模型降低门槛、社交媒体教程铺天盖地——每一环都合理，但合在一起的速度和规模，让人很难不多想一层。

不妨看看 3 月 9 日 A 股市场发生了什么。当天大盘整体下跌，全市场超 3900 只个股飘绿，但 OpenClaw 概念板块逆势爆发，成为全天最强主线——优刻得 20cm 涨停，成交额超 31 亿；青云科技 20cm 涨停；顺网科技、宁波建工等纷纷涨停。而仔细看，这些"概念股"跟 OpenClaw 的实际关系天差地别：优刻得、青云科技确实有真实的云部署业务落地；而宁波建工主营建筑施工，只因被贴上"算力租赁"标签就连续涨停；顺网科技主营网吧接入，跟 OpenClaw 毫无产品关联，纯属此前 DeepSeek 概念炒作的标签迁移。与此同时，多家券商密集发布研报，把一个问世不到四个月、安全漏洞频出的开源项目包装成"产业级赛道"；无锡、深圳龙岗也在同一时期推出专项扶持政策。

把这条链路串起来看，你很难不怀疑：OpenClaw 在国内的迅速出圈，不纯粹是技术驱动，背后有相当一部分是资本在制造声量。 普通人被热度推着走的同时，真正在赚钱的是卖云服务的、写研报的、和早已埋伏好的资金。

最后想说的话

写这篇文章不是要否定 OpenClaw 的技术价值。它确实推动了"AI 从对话走向执行"的重要探索，它的创始人被 OpenAI 招入麾下，项目转型为独立基金会运营，行业本身是认可这个方向的。目前它在 GitHub 上的星标已经超过 27 万，Discord 社区在线峰值达 1.8 万人，超过 900 名开发者参与代码贡献——作为一个开源项目，这些数字是实打实的。

但认可技术方向，跟"普通人现在就该跟风用"，是完全不同的两件事。

OpenClaw 更适合这样的人：有明确的使用场景，能理解权限边界，能控制成本，能处理配置问题和排错。而对大多数普通用户来说，目前最理性的态度不是"立刻跟风装一个"，而是先观望、先理解、先搞清楚风险。

如果一个工具同时具备高权限、强执行力、复杂配置、开放插件生态和广泛的外部连接能力，那对普通人来说，默认态度不该是"先装了再说"，而该是"先把风险想清楚，再决定碰不碰"