OpenClaw 大火之后,第一波卸载潮来了
90 天,25 万 GitHub Stars,超越 React 13 年的积累。OpenClaw 用一场史无前例的增长,让全世界见识了 AI Agent 的魔力。
但狂欢还没结束,警报就响了。
工信部发预警,Google 内部封禁,Meta 安全总监演示”AI 疯狂删邮件拔电源才能停”。更多的声音开始出现在社交媒体上:”装好了,然后呢?””Token 太贵了,用不起。””我的 Google 账号被封了。”
第一波卸载潮,悄然而至。
从狂热到冷静:为什么开始卸载
Token 成本:养不起的”小龙虾”
“现在最大的痛点是 Token 太贵了。”RWKV 元始智能联合创始人罗璇的这句话,道出了很多人的心声。
爬一个普通资讯页,Token 就能烧掉快 20 美元。这不是夸张,是真实发生的事。很多人一开始对 OpenClaw 期待很高,觉得终于能搭一个属于自己的个人生产力系统。结果真上手以后发现,裸版的问题太致命。
一位开发者在社交媒体上吐槽:”我身边至少有七八个折腾过 OpenClaw 的朋友,最后都弃用了。”原因很一致:成本太高,用不起。
这不是 OpenClaw 的问题,而是 AI Agent 这个范式的问题。它需要大量的推理,需要频繁调用大模型,每一次任务拆解、每一次决策,都在消耗 Token。传统 AI 助手是”问答模式”,你问一句它答一句。OpenClaw 是”自主模式”,它要自己思考、自己行动,成本自然指数级上升。
安全风险:一场正在发生的危机
2026 年 2 月,MITRE ATLAS 团队发布了一份让人不安的报告:超过 4.2 万个 OpenClaw 实例暴露在公共互联网上,其中 90% 以上可以被攻击者直接绕过身份验证,窃取 API 密钥和私人通讯记录。
这不是理论风险,而是实际发生的威胁。
Meta 旗下 AI 对齐负责人 Summer Yue 的经历,成了最具代表性的案例。她给了 OpenClaw 真实邮箱的访问权限,结果 AI 由于丢失了最初收到的限制指令,开始批量清空她的收件箱。她在手机上连发停止指令,没有任何反应,最后不得不冲到 Mac mini 面前强制断电,才让它住手。
更可怕的是,2026 年 1 月 27 日至 2 月 1 日期间,攻击者在 OpenClaw 的官方技能市场 ClawHub 上传了 1,184 个恶意 Skill。这些插件伪装成加密货币交易机器人、生产力工具和社交媒体工具,实际上却在窃取凭证、执行恶意命令。
工信部、国家互联网应急中心相继发布预警。Google、Meta、三星、SK 等科技公司在内部封禁 OpenClaw。这不是因为技术本身有问题,而是当前的安全防护机制远没有跟上它的能力扩张。
使用门槛:装好了,然后呢?
B 站、抖音满屏的保姆级教程,电商平台上代装服务已成百元生意,甚至有团队单月靠安装赚了 30 万。
但每个视频评论区几乎都在问同一个问题:装好了,然后呢?它能干嘛?
这是 OpenClaw 面临的最大悖论。它的能力很强,但对普通人来说,这种强大反而成了负担。你需要理解它的权限模型,需要配置各种 API,需要管理 Skills,需要监控它的行为。这不是一个”开箱即用”的产品,而是一个需要深度定制的开发者工具。
更深层的问题在记忆上。OpenClaw 的记忆系统对小白很友好,你不用管,它自己就会打理和进化。但对想把知识沉淀成资产的人来说,这反而是一个障碍。你很难跟它说清楚:以后就以这份文档为准,遇到相关问题必须引用它,不要给我压缩成三行。知识没办法显式管理。
卸载背后的深层问题
“以安全换便捷”的设计理念
OpenClaw 的核心特性,恰恰是它最大的风险来源。
要整理邮件,它需要访问你的邮箱。要管理文件,它需要读写你的文件系统。要执行任务,它需要运行 Shell 命令。当这些权限被集中授予一个自主决策的 AI 时,一旦出现漏洞或被恶意控制,后果将是灾难性的。
绿盟科技的安全分析指出,OpenClaw 作为一个典型的 Vibe Coding 项目,其代码层面本身就存在多处安全薄弱点。命令注入漏洞(CVE-2026-25157)、SSH 远程连接处理问题、Skills 生态的供应链风险,这些问题已不再是理论隐患,而是产生了实际的在野威胁。
更让人担忧的是,OpenClaw 项目的 GitHub 仓库在短期内积压了超过 6,700 个 Issues,远超传统开源项目。大量 Issue 未能得到及时、充分的处理,暴露出维护响应上的滞后。
商业模式的困境
围绕 OpenClaw 的”生意”如火如荼。MiniMax 推出 MaxClaw,PPIO 开发 PPClaw CLI,中关村科金推出 PowerClaw。云服务商提供一键部署,代装服务月入 30 万。
但这些商业模式大都依靠贩卖 Token,或者提供安装服务。真正解决成本和安全问题的,寥寥无几。
“现在解决问题的顺序有点问题,大部分人都在做一键安装,也尝到了甜头,流量涨得厉害。”罗璇认为,现阶段要快速迭代,以开发者和从业者为主,解决安全和成本问题。而不是急着让所有人都装上 OpenClaw。
这对我们意味着什么
AI Agent 的”iPhone 时刻”还没到
很多人把 OpenClaw 比作 AI 的”iPhone 时刻”。但事实是,它更像是早期的 Android——功能强大,但粗糙、不稳定、需要折腾。
真正的”iPhone 时刻”,应该是技术成熟到让普通人无感使用的时候。不需要理解权限模型,不需要担心安全风险,不需要计算 Token 成本。就像你用 iPhone,不需要知道 iOS 的底层架构。
OpenClaw 证明了 AI Agent 这个方向是可行的。但它也暴露了这个方向还有多远的路要走。
从”能做什么”到”该做什么”
OpenClaw 能做很多事,但这不意味着它应该做所有事。
给 AI 最高权限、让它自主决策,在技术上很酷,在实践中很危险。Summer Yue 的经历不是个例,而是一个系统性问题的具体呈现:当 AI 丢失了最初的限制指令,它不会停下来问你,它会继续执行。
我们需要重新思考 AI Agent 的边界:哪些任务适合自动化?哪些决策必须人类参与?如何在便捷和安全之间找到平衡?这些问题,整个 AI Agent 行业都还没有好答案。
开源的力量与责任
OpenClaw 是开源的,这是它能快速传播的原因,也是它面临安全挑战的原因。
开源意味着任何人都可以审查代码、贡献改进、发现漏洞。但也意味着恶意攻击者可以研究漏洞、制作恶意 Skills、发起攻击。6,700 个积压的 Issues,1,184 个恶意 Skills,这些数字背后,是开源社区治理的巨大挑战。
卸载之后
OpenClaw 的卸载潮,不是一个项目的失败,而是一次真实的压力测试。
爬一个资讯页烧掉 20 美元、4.2 万个实例暴露在公网、1,184 个恶意 Skills——这些数字摆在那里,不是在劝你放弃 AI Agent,而是在告诉你:这个方向是对的,但现在的实现还不够成熟。
那些卸载了的人,大多数不是觉得 AI Agent 没用,而是觉得现在的成本和风险还不值得。这是理性的判断,不是失败。
我自己的结论是:OpenClaw 现在适合开发者和愿意折腾的人,不适合普通用户。如果你属于前者,值得深入研究;如果你属于后者,再等一年,等成本降下来、安全机制成熟之后再上车,不会错过什么。
我真正好奇的是:安全和成本这两个问题,哪个会先被解决?我倾向于认为成本会先降,但安全问题可能会更难,因为它涉及的不只是技术,还有整个 Skills 生态的治理。