我要投稿

从Clawdbot到OpenClaw：爆款本地AI Agent的产品逻辑与争议

发布日期：2026-02-05 19:35:04 浏览次数： 1532

作者：LitGate

微信搜一搜，关注“LitGate”

一、产品定义

1.1

产品介绍

OpenClaw（原 Clawdbot）是一个开源的本地个人 AI 执行代理系统，简单来说就是一个拥有键盘、屏幕和身份的高权限Agent。它可以长时间自主运行在用户的个人设备甚至是云端设备上，核心理念是让用户能够在自己的硬件上运行一个完全本地化的 AI 助手。

用户通过自然语言使用Clawdbot预定餐厅

产品通过用户日常使用的聊天入口接收指令，绑定自己的若干账号和应用，并在个人设备上调用各种工具执行真实操作（读写文件、跑命令、控制浏览器、发消息/邮件、管理日历等）。官方网站强调其定位是“The AI that actually does things”。

MacOS下的运行界面

由开发者 Peter Steinberger 和社区共同维护，吉祥物是只龙虾。该项目发布后在GitHub上极其火爆，目前Star数从10k飙升至100k+。近期由于被Anthropic指控侵权，Clawdbot项目更名为Moltbot，随后又改为OpenClaw。主要服务于开发者、重度信息工作者、自动化爱好者的个人 Agent 平台，尚处于极客与早期专业用户圈层，但形态上具备向更广泛用户扩散的潜力。

核心特点

全天候待命： 7x24 小时运行，自主完成任务，减少Human in the loop的部分。

灵活的工具调用：支持外接各种skills以及模型，并且拥有高系统权限，能够根据任务负责程度匹配适合的模型。

多模态、跨平台：支持通过手机上的iMessage、Telegram、WhatsApp 等聊天工具使用语音、文字等形式给家里的电脑发指令。

多智能体：支持多智能体同时调度，满足多种任务并发。

记忆功能：基于本地文件存储的长期记忆，记录偏好、习惯和历史任务。

产品官网：https://openclaw.ai/

代码仓库：https://openclaw.ai/

从产品定位上看，OpenClaw 与主流 AI 产品有一些小的差异性：

对比ChatGPT、Claude 等云端Chatbot，它的重心更偏向本地任务的执行；

对比Claude Code、Devin 等编程 Agent，它的入口与任务覆盖从开发场景扩展到了日常电脑操作与个人生活和工作流；

对比自动化平台，它依赖 LLM 的语义理解与工具调用来即时编排，而不是固定的工作流；

对比语音助手，它是开源、自托管的个人 Agent 操作系统，智能程度更高。

OpenClaw（原 Clawdbot）与常见形态的对比定位

1.2

产品架构

从整体上看，OpenClaw 的架构可以拆成三层：接入层、中枢控制层和执行与记忆层。一条典型请求流程的逻辑大概是这样的：

OpenClaw（原 Clawdbot）的系统架构图

① 外部聊天入口（WhatsApp/Telegram/Slack…）

1) 用户在任意入口发出自然语言指令平台消息到达 Gateway 内的 Channel 适配器

2) Channel 适配器把不同平台的消息统一成内部事件

3) Gateway 接收事件并完成路由

4) Agent Runtime理解上下文，拆解步骤并调用 Tools/Skills

5) 需要真实执行时，Gateway 把调用转发到某个 Node（具体设备）执行

6) 结果回到 Channel 适配器，返回聊天应用，并在需要时写回记忆

② 本地控制入口（Mac App / CLI / Web Admin）

1) 用户在本地界面下指令

2) 客户端通过 WebSocket 把请求发给 Gateway

3) Gateway 路由到对应 Agent ，再由Agent Runtime 去执行

4) 结果通过 WebSocket 回到界面或发送到对应的外部聊天平台

1.2.1 整体架构

1) Gateway Daemon

Gateway Daemon内部主要分为Connection Manager和Agent Runtime两个部分。Connection Manager 负责接入与分发，Agent Runtime 负责理解、执行与交付。

Connection Manager是常驻模块，他主要负责两件事：

负责把各种入口接进来，并维持稳定通信。内部入口走统一的实时通道，外部聊天平台由渠道适配器分别对接，但都由Connection Manager统一管理和路由。

把消息分给正确的 Agent，保证每个 Agent 只能做它被允许做的事情。实际执行中需要根据消息来源的平台、人群、以及会话标识，按绑定规则把消息分配给某个 Agent。每个 Agent 拿到的权限是事先配置好的，它能调用的工具、执行的命令，都是统一管控的。

Agent Runtime是 Agent 真正思考、执行的能力，负责理解问题、查资料、调用工具，最后形成结论和返回结果。

主要负责四件事：

理解上下文，总结消息背景和上下文关系
决定适合的模型进行思考
需要时调用工具、查数据、或设备去解决任务
把答案用合适的方式输出，并发回对应入口

此外，为了在有限的上下文窗口中维持高效运行，Clawdbot 采用了分级 Prompt 策略。

Full Mode主要在主会话使用。加载完整的 Tooling、Skills、Memory Recall、以及 SOUL.md和 USER.md。
Minimal Mode主要给子 Agent使用。为了节省 Token 和聚焦任务，剥离了情感设定和非必要记忆，仅保留工具集和任务上下文，确保复杂任务的执行效率和经济性。

2) Channel 与多设备 Node

Gateway 上下左右都挂了不同模块，包括上方的Mac App、CLI、Web Admin UI等控制与使用界面，下方是WhatsApp、Telegram 等聊天平台的渠道适配器Channel，以及左右两边的macOS、iOS、Android、Headless 等设备节点 Node。可以看到 Clawdbot 信息入口很多，但执行不一定在同一台机器上。消息从哪进来，和在哪执行，是可以组合的。

Channel负责把 WhatsApp、Telegram 等不同协议的聊天应用合并为内部的统一格式，并把结果按各平台的要求再转换回去。其次，Channel还负责针对同一个用户做身份映射。如果同一个人在不同平台的账号为同一身份，也可以通过配置把多个平台 ID 关联到同一个身份，让会话的上下文和输出保持一致。

Node 通过 WebSocket 与 Gateway 连接，但它并不负责思考，真正做决策、调用模型的是Agent Runtime。Node 的作用是把这台设备能做什么暴露出来给 Gateway 调用。比如Mac和移动端设备具备的能力和配置就不同，当 Agent 需要对应的能力时，Gateway 会把相应的工具调用转发到指定 Node 执行，再把结果汇总回来。

1.2.2 记忆架构

OpenClaw（原 Clawdbot）的记忆架构图

OpenClaw 的记忆系统可以理解为一个以本地文件为事实源的可检索记忆子系统。它的关键在于把记忆变成可管理的数据流：写入、索引、检索、回填、压缩。让整个系统成为有检索、有索引、有生命周期管理的记忆子系统。

1) Agent Workspace记忆源文件层

记忆系统的最上层是 Agent Workspace，可以理解为每个 Agent 在本机上的总目录。

主要文件有两种，这两类文件都是实际写入本地的 Markdown 文件，用户可以审阅并编辑：

memory/YYYY-MM-DD.md：高频追加的 Daily Logs，记录对话片段、重要事件、决策经过等。
MEMORY.md：经整理后的长期记忆清单，例如用户偏好、关键人物、长期项目背景等。

2) Memory Files Layer逻辑分层

为了便于理解，我们可以把 Workspace 里的记忆文件在用途上分成两层：

Daily Logs：来自 memory/YYYY-MM-DD.md，信息密度高、噪音多，适合回溯；
Long-term Memory：来自 MEMORY.md，结构更清晰、体量更小，适合频繁检索与重复使用。

系统不仅是存储日志，还模拟了人类大脑海马体到皮层的记忆固化过程。Runtime 会定期回顾 Daily Logs，提取精华决策和事实，写入 MEMORY.md，随后归档原始日志。

3) Per-agent Memory Index记忆索引层

紧接着是记忆索引系统。系统会基于 Workspace 的 Markdown 文件建立，每个Agent都会有属于自己的一份的记录，储存了文本片段的向量表示以及对应原文位置。

索引层包含三块核心能力：

Chunking & Reindexing：文本切片处理，便于向量化与检索，文件变更后只重建受影响 chunk。
Embedding Cache：对已经算过 embedding 的文本做缓存，避免重复执行造成资源浪费。
Keyword Index：用于关键词检索以及精确匹配；当 FTS 不可用时，会退化为仅向量检索。

向量化由底层的 Embedding Providers 提供，目前支持OpenAI Embeddings、Gemini Embeddings以及本地 Embedding 模型。

4) Search Mechanism混合检索

下方的 Search Mechanism 负责对记忆进行检索，采用混合搜索的模式。

先是通过语义相似度使用向量距离找语义上类似的记忆片段。然后是关键词匹配用传统倒排索引做精确或近似关键词匹配，确保关键词强相关时不会被语义距离平均掉。

最终的记分是两者加权组合，既利用语义，又不完全丢掉关键词信号。

5) Memory Tools运行接口

接着是Memory Tools对 Agent Runtime 开放的两类接口：

memory_search：按条件搜索相关记忆，返回候选列表；
memory_get：按 ID 精确取出某条记忆的内容，用于取回更完整的上下文。

此外还有一块 Session Memory Search，针对会话级 jsonl 日志做检索，用于短期对话上下文的恢复，与长期记忆文件属于不同来源。

6) Pre-compaction Memory Ping生命周期管理

最右侧是 Auto Memory Flush 模块，负责记忆的自动整理与压缩。能够监听对话长度和记忆长度，当超过 4000 tokens时会提示 Agent 把值得长期保留的事实写回 Workspace 的记忆文件，在压缩对话上下文之前，把重要信息储存。之后再进行上下文的触发压缩和搬运。

1.3

交互与部署

1.3.1 交互形态

从架构图与官方 Integrations 页来看，OpenClaw 目前主要有三类交互方式：

1) 本地控制界面：Mac App / CLI / Web Admin UI

Mac App：Mac是本机常驻的 companion，既提供可视化状态与快捷操作入口，也负责处理一些需要 macOS 权限的交互能力，是最基础的本机管理和执行工具；
CLI：所有安装、更新、启动、调试，以及部分高级操作，都可以通过命令行完成，包括不限于脚本或 npm 安装、初始化命令、运行命令、插件安装等，是运维调试的主要入口；
Web Admin UI：通过浏览器访问本机开放的管理端口，部分场景提供 WebChat 作为对话入口，还可以管理当前任务列表、执行日志，并一部分配置项和插件管理能力。

2) 聊天入口

Channel 模块，整合了 WhatsApp、Telegram、Slack、Discord、Signal、iMessage、Teams、WebChat 等聊天服务。用户只要在常用聊天软件里，给某个 Bot 联系人发消息，直接对 OpenClaw 下指令。对于手表、手机等穿戴或便携设备，还可以用 iMessage等工具作为移动端遥控器，远程驱动工具。

3) 主动推送

在目前监控到的案例中，OpenClaw 可以进行定时类的任务执行。通过内置的工具Cron、Heartbeat、Hooks这三类机制，可以把一些任务做成自动执行与主动回传。比如定时生成 Daily Brief或者Weekly Report、持续监控日志、指标甚至是社交媒体趋势。还可以根据长期记忆和你的任务列表，自动创建和安排任务，并发消息确认。

1.3.2部署形态

当前主流的部署方式可以分为三类：

1) 本地个人电脑

比如使用公司或家中的Mac、Windows直接部署运行Clawdbot，通过 Web端或者CLI 做调试，跑一些小任务。整体入门门槛最低，不需要额外买机器或折腾网络。但没有做安全隔离的情况下，风险极高。

2) 专用家庭服务器

这是现在在社区讨论中最常见、也是话题性最强的一种部署形态。常见的是买一台 Mac mini 或拿一台闲置 PC / Linux 机器，专门用来跑 OpenClaw。类似于服务器部署，把这台机器放在家里/办公室角落，长期开机，通过VPN 或公网映射，在外部远程操控。

3) 云端部署

对更熟悉云环境的用户，可以把 OpenClaw 部署在云服务器或者Docker等虚拟化的容器环境。更接近传统后端服务的运维模式，便于水平扩展、备份与监控。通过身份认证、网络策略、堡垒机等手段，可以一定程度降低直接暴露在公网的风险。

二、产品能力概览

OpenClaw 的产品能力基本围绕三件事展开：

核心模型接入：通过灵活的模型接入层，把 Anthropic、OpenAI、Gemini、DeepSeek 等不同 LLM 当作可替换的计算后端，在对话、工具调用和记忆检索中统一调度。
核心工具调用：依托本地 Gateway+插件的体系，把文件系统、浏览器、邮件、日历、任务管理工具以及各种第三方 SaaS 变成 Agent 的一部分，实现值机动手执行复杂任务。
多入口多Agent：通过 Channel 把主流聊天应用统一为信息入口；另一方面支持一个 Gateway 下挂多 Agent、多 Node，使不同角色、不同设备协同工作。

2.1

模型接入

产品在设计上是一个模型无关的 Gateway，产品本身不自带 LLM，而是通过配置接入不同供应商的模型作为处理核心。通过官方提供的接口能力定义上可以看到，OpenClaw 支持各种主流模型接入方式，开源的、闭源的、本地的等等。

实际使用上，模型的角色分为以下四个部分：

① 主模型

主模型在架构中的任务主要负责决策与对话，比如解析自然语言指令、拆解任务步骤、决定并选择工具、生成最终回复。目前普遍使用的模型是Claude 系列模型和MiniMax的M2.1模型，前者实践效果较好，后者价格优势明显。

② 工具、代码专用模型

对于需要大量代码生成和修 bug 的任务，部分配置会单独指定一个Coding Agent 模型。观察到的案例中，Agent 会进行生成代码 → 运行 → 读取错误日志 → 再调用模型修正代码 → 再运行的循环，直到通过测试。

③ Embedding 模型

这个模型主要用于记忆与检索后端。在前面记忆架构图梳理已经有过分析。本质是把对话、决策模型和向量检索模型分开配置。在一些成本敏感场景，可以用便宜或本地 Embedding 替代昂贵的云端 Embedding 服务。

④ 专用模型

在一些特殊场景下，比如TTS、搜索、视觉等领域，用户可以选择接入其他模型。比如部分 Skills 会再接入第三方模型，通过TTS生成语音电话、语音播报、使用搜索类 API用于信息检索。

用户可以在Onboarding 向导阶段和后续配置文件、命令行管理时选择模型。用户可以为不同 Agent 指定不同的主模型，并为不同任务类型配置不同的模型策略以及独立配置 Embedding Provider 与参数，支持支持在同一个 Gateway 下配置多模型。可以实现在日常对话与轻量任务使用相对便宜的模型，遇到复杂长链路任务，可在配置好的策略或提示下切换到更强模型。

在默认高自动化的配置下，OpenClaw 为了完成一个复杂任务会经历多轮思考–执行–修正循环，API 调用次数和 Token 消耗非常可观，比如一些爬虫和文件整理，很容易烧掉大量的token。目前针对这个情况的解决方案是通过接入多模型解决，日常用便宜模型或国产模型，只在必要时调用昂贵模型，并且对任务进行粒度划分。

2.2

自动化与工具调用能力

从工程实现上看，OpenClaw 执行任务不仅依赖大模型的模型能力，还需要通过一整套工具调度机制。Tools是官方内置的系统级能力；Skills是社区开发的，具体业务能力封装。再通过系统调度，用对话、定时任务和事件触发，把工具串成完整工作流。

和普通 ChatGPT+插件的模型相比，OpenClaw 的工具调用落点在本地环境的所有权限调用，可以真正贯通用户、开发者的日常工作流。护城河在于工具体系和社区技能生态，以及围绕这些能力形成的自动化范式。

2.2.1 工具体系

Tools

官方 README 把 browser、canvas、nodes、cron、sessions 等 13 个 tools 列为first-class tools。这些能力直接挂在 Agent Runtime 上，被模型标准化调用，而不是简单 shell 脚本封装，定义产品能覆盖的自动化边界，从浏览器、文件系统到跨设备控制。

主要的工具能力可见下表：

工具

能力 & 典型用途

Browser

远程控制 Chrome：开关 Tab、跳转 URL、点击、输入、截图、DOM snapshot；用于表单填写、自动登录、爬取 JS 重站点、比价等。

Web

提供搜索与抓取能力；抓取网页并抽取可读正文（HTML→Markdown），作为 agent 决策输入；适合做资讯收集、价格监控、报告写作前的信息准备。

Canvas

让 Agent 在本地 Canvas 里生成可交互 UI（按钮、表格、小面板），用来当作控制台、可视化报表或简单应用界面。

Nodes tool

把其它设备（iOS、Android、Headless 服务器等）挂成“节点”，暴露 camera.* / system.* / canvas.* 等命令面。

Cron / Sessions / Actions

Cron 负责定时任务（小时/天/周），sessions 管理多会话上下文，Discord/Slack actions 用于在群聊里触发自动化。

Skills

在 Tools 之外，OpenClaw 提供了 Skill 插件系统。Skill 本质是一个 SKILL.md 描述文件和若干脚本的封装工具，定义了技能用途、参数和调用方式。目前社区已经积累了 100+~500+ 可复用技能，涵盖生产力、金融、健康、家居、开发等多个方向。

典型 Skill 类型示例：

生产力：Todoist、Notion、Google Workspace、Apple 生态等集成Skills，支持创建任务、读写笔记、查日程、草拟和发送邮件；
自动化与数据处理：Email PDF 收集、PDF 解析自动整理Excel、定时整理下载文件夹等；
开发与运维：GitHub集成、CI/CD 监控、PR 自动合并、代码 review、日志分析等；
家居与 IoT：Home Assistant 控制、3D 打印机管理、智能恒温器和扫地机调度；
金融与业务：费用跟踪、账单汇总、投资组合监控、发票处理等。

Skills库收集：

https://clawhub.ai/skills
https://github.com/VoltAgent/awesome-openclaw-skills?utm_source=chatgpt.com
https://github.com/neonone123/moltdirectory

2.2.2 自动化模式

OpenClaw 支持三种主要的自动化交互模型，分别是对话触发、定时调度以及长期监听。

1) 对话触发

这是最直观的使用方式，也是目前国内教程里展示最多的场景。

技术路径大致是：自然语言需求 → 计划拆解→ 依次调用 Skill/Tool → 校验结果 → 继续/回滚

是典型的 Agentic Workflow 范式，只是执行面拓展到了本地文件、浏览器以及第三方服务。

2) 定时调度

依托内建的 Cron 工具和会话记忆，OpenClaw 可以把某些任务变成每天、每周自动执行。比如早上发 AI、投资、公众号内容简报；基于历史对话自动选择一个主题写教授风格的研究报告；定时整理邮件和未读收件箱；定期做账单&税务文件预处理等。

3) 长期监听

借助 web、browser 以及多种Skills和外部服务，OpenClaw 可以常驻监控一些内容，一旦满足条件就主动触发动作。比如监控 X、公众号、竞品内容表现，当某条内容在同账号基线之上显著爆量时，主动发消息提醒并附带分析。

2.3

多Agent与多节点协同

借由 Gateway 的统一中枢，OpenClaw 在两个层面支持多实例协同：

● 多 Agent：同一 Gateway 下可以挂多个 Agent，每个 Agent 有独立配置与记忆；

● 多 Node：Gateway 下可以连接多台设备作为执行节点。

结合文档与社区实践，基本可以拆成多 Agent 管理、多节点协作两块来看。

2.3.1 多Agent

多 Agent 不是指多个聊天窗口，而是多个有独立配置文档的 Agent 实例。每个 Agent 有自己的：模型选择、调用工具边界、记忆文档以及对接渠道。Clawdbot 内部抽象了 Session 的概念，每一个对话、任务都是一个 Session。主 Session 可以自己发起子 Session，相当于创建了一个子 Agent 。子 Agent 有自己的会话上下文、局部目标和 System Prompt，可以长时间执行某个任务。主 Agent 可以与子 Agent 通信、查看进展。这样就可以做到主 Agent继续和用户聊天，而一些费时的工作被分叉出去，由后台 Agent处理。

在系统层面，一个 Agent 包含几组核心要素：

1) 独立配置

每个 Agent 都可以配置不同的主模型，并且Agent各个环节中的模型也可以独立配置。其次是工具的独立性，不是全局启用一堆插件，而是每个 Agent 限定适用的范围。比如你可以给高权限 Agent高级的技能，但限定只在个别场景使用。然后是安全向的独立性，就算两个 Agent 都能访问某个 Node或者某个工具，也可以在配置里给出不同的限制。比如可以进行文件系统的层级限制，允许读写某个文件夹的子目录，但是禁止访问整个文件夹。

2) 独立记忆空间

每个 Agent 在目录下都有自己的 Workspace，不仅有单独的记忆存档，还有自己的独立的向量索引。这样就隔绝了Agent之间的数据交流，降低跨 Agent 泄露风险。

3) 独立会话与频道绑定

还可以把不同聊天入口绑定到不同 Agent，让对应的Agent执行对应会话窗口甚至是不同平台的任务。

2.3.2 多节点

每个 Node 本质上就是一台装了 OpenClaw Node 客户端、并与 Gateway 建立连接的具体设备。每个 Node 会告诉 OpenClaw 自己拥有的能力边界在哪里，OpenClaw 会把这些能力结构化给 Agent 使用。

在架构图中，Gateway 左右下方分别挂了多个 Node 。可以先用一个画面来理解：家里有一台一直开着的 Mac mini，在公司有一台 Windows 笔记本，手上有一部手机。你通过手机的聊天工具里给OpenClaw下达了某个指令，他会自动的选择哪台机器需要动，在那台机器上跑哪些脚本、开哪些软件，然后把结果再通过同一个聊天窗口发给你。每一台机器，就是 OpenClaw 里的一个 Node。从结果上来看，OpenClaw 已经具备一个 Agent 控制多设备的能力。

可以把目前常见的Node粗略的分为：

桌面类 Node：桌面系统，能够读写文件系统、启动和控制桌面应用、执行Shell 命令
移动端 Node：目前社区更多用手机做聊天入口，获取通知、日程、位置信息、拍照等
Headless Node：云服务器类，没有桌面 UI，只能执行命令行程序、管理服务进程、访问数据库等。

每个 Agent 在配置时，通常会指定一个默认 Node，例如：

agents:-name: home-assistantdefault_node: mac-mini-home-name: infra-botdefault_node: aws-headless-1

也就是说，给 home-assistant 发指令，如果没有特别说明，默认在 macmini上执行。给 infra-bot 发指令，它默认在 aws-headless-1 上执行。

而如果有些工具只在某类 Node 上可用，Gateway 会根据工具需求自动路由。当 Agent 决策需要用 browser 打开某个页面时，Gateway 会查看Agent能够使用的Node以及对应Node的能力边界，再进行选择。

2.3.3 多Agent与多节点协同

基于上述能力，社区已经出现了一些比较具象的跨 Agent、跨 Node 场景，这些可以在后面实操案例章节引用，这里先简单介绍两种：

1) 研究 Agent、执行 Agent的分工

研究 Agent跑在云 Node 和 Web 工具上，负责拉取外部报告、舆情、竞品数据，将结论写入本地记忆或共享文档；执行 Agent跑在本地桌面 Node，负责根据这些结论实际做表格整理、PPT 草稿生成、邮件发送等。

2) 个人生活 Agent + 工作 Agent的隔离

生活 Agent只挂在个人手机、个人电脑 Node 上，处理账单、日历、私人邮件；工作 Agent 只挂在公司机器或者公司云 Node 上，访问内部系统和项目仓库；两者之间的记忆不直接共享，避免隐私和权限交叉。

2.4

多渠道交互

OpenClaw 的多渠道不是简单的接入更多聊天软件，本质是把用户已经高频使用的沟通入口（WhatsApp、Telegram、Slack等）提升为统一的远程控制台。所有渠道都被Gateway收敛成同一种消息事件，再路由给指定的Agent或Session，最后按原渠道返回结果。产品从一个桌面工具变成了随时可用的执行Agent。

官方 Integrations 概览

2.4.1 渠道矩阵

OpenClaw 的多渠道可以理解为四类入口：用户最常用的聊天入口、部署者的控制台入口、结果交付的邮件、语音入口、系统触发的 Bot、Webhook 入口。

1) 聊天类 IM

聊天类 IM 是日常使用的主入口，特点是门槛低、随手发指令、自带通知。

覆盖类型：

海外主流 IM：WhatsApp / Telegram / Discord / Slack / Microsoft Teams / Google Chat 等
Apple 生态：iMessage / Apple Messages

不同于传统的 Chatbot，Clawdbot 在群聊中遵循人类法则。当 Agent 判断当前对话无需介入、或仅需执行后台任务时，会输出 NO_REPLY 信号，在前端保持静默，避免收到无关信息的干扰。除此之外还有智能心跳，Agent 会定期接收一次心跳包，检查邮件、日历或后台任务状态。若无异常，回复 HEARTBEAT_OK 保持休眠；若发现重要事项，则主动发起对话。赋予了Agent主动性。

2) 桌面 & Web

主要服务于部署、调试、查看过程与排障，但也支持通过Web端的Chat入口或者CLI进行沟通。

主要形态：

Mac App：菜单栏/托盘式入口，用来查看状态、任务、日志，快速打开可视化面板
命令行 CLI：安装、初始化、更新、插件/技能管理、排障等
Web Admin / Web Chat：浏览器里的管理控制台，通常包含聊天窗口、任务列表、日志与配置页等

3) 邮件 & 语音

一般作为日报周报、正式通知、附件归档，互动频率通常低于 IM。主要用来处理邮件或者把报告发到指定邮箱，以及把文本转成语音播报、电话提醒等。

4) Bot & Webhook

主要有两种方式：

群内 Bot（Slack/Discord/Teams）：在频道里响应 @mention、命令或按钮，常用于日报、查询、触发固定流程
Webhook / HTTP 触发：外部系统直接触发 OpenClaw 做事，比如监控报警后触发拉日志并推送摘要。

2.4.2 多渠道统一

多入口会带来两个管理问题：同一个人从不同入口说话，系统要能认出来；不同场景的对话要互不干扰。

1) 身份统一

同一个人，不同入口也算同一个用户。不同聊天软件都有各自的用户 ID（如 Telegram、Slack、iMessage）。OpenClaw会把这些外部 ID映射成一个内部身份。这样用户在 Telegram 发的指令、在 Slack 发的指令，系统都能当作同一个人的请求来处理，方便统一记忆与权限管理。同时也可以按入口区分权限，例如公司 Slack 比个人 Telegram 拥有更多工作相关能力。

2) 会话隔离

不同群、频道、私聊是不同的对话空间。不同渠道会被映射到不同会话（Session）。会话可以绑定到特定的Agent，比如可以指定某个频道只由某个 Agent 处理任务。使得上下文不会混乱，且权限更好管控。

2.4.3 主动推送与通知策略

多渠道的另一个价值是：同一个任务可以按重要程度或者信息密度选择不同投递方式，让用户既不被细节淹没，也不会丢失可追溯材料。比如，一个比较复杂的任务可以实现在Web端展示过程与详细日志，在聊天IM同步关键阶段进度，并通过邮件发送最终报告或附件。

三、实践案例整理

本章汇总并筛选了一批代表性案例，覆盖办公、开发运维、内容生产与个人助理等高频使用面，主要分为以下几大类：

办公与知识自动化：信息收集、整理、归档、报告生成
开发运维自动化：代码、脚本、监控类任务的执行与协作
个人生活助理：预约、提醒、消费与日程相关任务
内容生产与社交运营：素材处理、文本或视频工作流与分发
金融理财：涉及金钱与外部系统的高风险操作

3.1

办公与知识自动化

案例 1：Solo Founder 虚拟高管团队

通过Telegram指挥4个专业Agent协作运营公司。推特用户Solo Founder 把 OpenClaw当成公司核心团队，在 Telegram 里同时指挥 4 个分工明确的 Agent，通过群内布置任务和目标，它们各自并行产出，最后汇总输出。案例把任务拆解为多模型写作，让工作更像团队协作，而不是问答和聊天，还完成了同一时间的推进规划、调研、产出。

四个Agent分别为：

Milo (The Leader / Main Agent)

职责：战略规划、大局观、协调其他 Agent 工作。

性格：自信、充满魅力（Confident and charismatic）。

作用：作为用户的主要接口，分发任务。

Bob (The Dev Agent)

职责：写代码、解决技术难题、架构决策。

性格：内向、分析型天才（Introverted analytical genius）。

模型配置：偏向代码能力强的模型（如 Codex/Claude 3.5 Sonnet 等）。

Angela (The Marketing Agent)

职责：市场研究、内容创意、竞品分析。

性格：外向、有趣、点子多（Extroverted, funny and full of ideas）。

模型配置：偏向创意写作能力强的模型（如 Gemini/Claude 3 Opus 等）。

Josh (The Business Agent)

职责：定价策略、关键指标（Metrics）、增长策略。

性格：务实、直奔主题、数据驱动（Pragmatic, straight to the point, numbers-driven）。

链接：https://x.com/iamtrebuh/status/2011260468975771862

案例 2：邮件秘书

用户让 OpenClaw 直接读取收件箱里的汇报邮件，总结两周进展，最后输出改进建议邮件并发送。此外，用户还尝试了使用OpenClaw监控公众号的AI动态和投资动态，但效果有待调试。

链接：ClawdBot爆火，大概又有企业中层要失业了

此外，推特上还有用户使用OpenClaw清理了自己的Gmail邮箱，减少了10000封垃圾邮件。

链接：https://x.com/jdrhyne/status/2008308759001788812

案例 3：客服自动化

推特用户在 iMessage 里驱动OpenClaw，搭建了一套客服自动化模块。它会先分析当天的对话、客服记录，识别体验不佳的用户。随后自动给这些用户发送道歉与回访邮件，询问更多反馈。最后把收到的反馈整理进第二天早上的日报、brainstorm 材料里，形成发现、触达、反馈、沉淀的闭环。不靠人工盯消息，让 Agent 定时复盘、自动触达、自动汇总，确保用户的反馈稳定能够输入进产品团队的迭代节奏。

链接：https://x.com/nateliason/status/2015082336296013903

案例 4：格式转换和内容整理

用户使用OpenClaw 找到桌面上的发票 PDF 文件夹，按发票内容自动把对应字段填进同目录下的 Excel 表格，完成原本很耗时的财务运营录入工作。

链接：保姆级Clawdbot教程来了，但我还是想劝大家悠着点。

3.2

开发运维自动化

案例 1：让 OpenClaw 自己接入飞书

OpenClaw原生只支持连接到国外即时通讯软件。Github通过社区支持让OpenClaw能够连接到飞书的项目。博主通过命令让OpenClaw自主完成了插件安装，随后 OpenClaw 通过阅读官方文档引导用户去飞书开放平台创建应用、拿到 App ID/Secret，再把这些信息填回配置，最终完成飞书的接入。

案例 2：主动开发图形界面与语音提醒

一位用户给自己的OpenClaw下达了一个长期指令：每天晚上在他睡觉时，自动做一件小但有用的改进，并且用工具把它真正做出来（自己写代码，并跑起来）。随后OpenClaw主动给自己做了一个带形象的 UI，让用户能够与它交互、跟踪任务进度，甚至看到它拉起子 Agent 一起工作。并且在后续的迭代过程中主动增加加了 TTS，把原本只在文本里通知的反馈变成了语音提示。

链接：

https://x.com/AlexFinn/status/2016253994033938550
https://x.com/AlexFinn/status/2015827577366249581

3.3

个人生活助理

案例 1：辅助进行购车的信息收集以及决策

博主 AJ Stuyvenberg 计划购买现代的 Palisade ，但是他本人不想打电话，也不想手动刷经销商网站，于是把信息搜集、初步谈判的流程交给 OpenClaw 执行。

他让 OpenClaw 主要做了三类工作：

1) 价格调研

OpenClaw 先去 Reddit 的车型社区里找出本地同款车的大致成交价区间。然后据此设定了一个心理目标价。

2) 找车源，筛选经销商

博主指定了颜色、内饰等筛选条件，并要求 OpenClaw 在波士顿 50 英里范围内找符合条件的库存车。OpenClaw 根据 VIN车架号去各经销商网站定位车辆、自动填写表单、提交询价。并且因为接入了 Gmail和WhatsApp，会直接用博主的真实邮箱和手机号去完成联系。

3) 邮件谈判

博主让 Clawdbot 每隔几分钟检查经销商来信、用最低报价去压其他经销商，只谈裸车最低价，不聊置换、贷款，并要求关键回复前提示用户进行决策。不过在这个过程中出现过一次问题，OpenClaw选错邮件发送人，把本应发给 A 经销商的话发到了 B 经销商的对话框内。

最终 OpenClaw 帮博主谈到 $4200 的经销商折扣，价格降到约 $56k。在进入信用申请等更敏感的环节后，博主选择接管收尾并完成购车。

链接：https://aaronstuyvenberg.com/posts/clawd-bought-a-car

案例 2：餐厅预定

用户在手机上给自己的 Clawdbot 发了一条消息，要求它帮用户预定餐厅下周六的座位。Clawdbot 先尝试通过线上预定失败，随后自行改用已配置的 ElevenLabs 语音能力（电话 Skill）直接致电餐厅，并完成了预订。

链接：https://x.com/AlexFinn/status/2015266546600550755

案例 3：中文语音私教

作者基于 OpenClaw，配合 Codex 构建项目，在大约 2 天内做出了一个个人版多邻国式的中文口语私教。用户在聊天窗口里发语音跟读，Bot 会把语音转文字、给出发音评分与具体改进建议，比如提示声调上扬、连读更自然、音量太小等，并继续推进下一题，同时它还带进度追踪和间隔重复。

链接：https://x.com/jjpcodes/status/2002334394993025243

案例 4：全自动家庭膳食与购物管理系统

推特用户 steve caldwell 让 OpenClaw 在 Notion 里搭了一套可长期运行的家庭膳食管理系统。由OpenClaw按天安排吃什么、谁做饭，并把购物清单按商店、货架整理好；同时把天气预报自动写进计划里，方便决定当天更适合烧烤还是做汤，最后还会在早晚用简报提醒该计划晚饭或者该买菜了。

实现方式上，也是通过聊天入口发需求、Bot 引导接入 Notion API、直接在 Notion 里创建数据库模板并持续更新。把结构化表格直接落地到 Notion，并把填写、更新、提醒变成可自动运行的日常流程。

链接：https://x.com/stevecaldwell/status/2007616854689280196

3.4

内容创作和社交运营

案例 1：音频下载以及处理工具

推特用户 dnouri 把 OpenClaw 接入 WhatsApp，让其当做他的内容助力。他在同一个聊天窗口里连续提了三个需求：把一首歌的音轨发给我、从 MV 里截几个好玩的 GIF、再给我一份带和弦的 PDF，随后OpenClaw真的把这些可用的成品文件回传到 WhatsApp。因为传统做法通常要在多个网站/工具之间来回切换，而这里被压缩成了几句对话。

链接：https://x.com/dnouri/status/2014339212271600067

案例 2：自主视频简介以及字幕补充

博主 Jay 让 OpenClaw 全自动剪辑一段口播视频。 OpenClaw 自主在服务器上安装了 FFMPEG 和 Whisper 环境，通过识别语音内容自动提取精华片段并裁剪为竖屏。它还自动去图库搜索 B-roll 素材进行混剪，虽然初次尝试将素材直接覆盖导致画面混乱，但在用户反馈后，它成功修正了剪辑逻辑并完成了视频制作。不过OpenClaw 在初次尝试添加字幕的时候，字幕遮挡了画面主体，效果一般。

链接：https://www.youtube.com/watch?v=7Cducyu5Dd0

3.5

金融投资

案例 1：自动下注

博主指令 Clawdbot 在预测市场寻找高胜率机会并自动下注 500 美元。Bot 分析数据后执行了买入操作，但由于网页在成交后没有弹出成功提示，Bot 误判为操作失败并陷入无限重试，最终将 500 美元的单笔交易错误执行成了 1 万多美元的重仓。恰逢当晚市场反转，这一 AI 执行故障导致博主一夜之间巨额亏损。

链接：https://www.bilibili.com/video/BV1zs6EBJEc7

案例 2：自主交易

博主 Kevin Xu 为测试 AI 的端到端执行力，通过直接投喂 Session Cookie 的方式让 OpenClaw接管了自己的真实券商账户，并指令其赚到 100 万刀。Bot 全天候运行，自主扫描推特情绪与技术图表进行高频交易，生成了大量策略，最终 Bot 亏光了所有本金。

链接：https://x.com/kevinxu/status/2015788313991348301

3.6

社区Skills

1. 外部工具与生产力集成

Gog: Google 全家桶，通过 CLI 操作 Google Workspace，包括 Gmail、日历、云端硬盘、联系人和文档。

https://clawdhub.com/steipete/gog

Trello: 通过 API 管理 Trello 的看板、列表和卡片，适合自动化项目流转。

https://clawdhub.com/steipete/trello

Caldav Calendar: 支持 iCloud, Google, Fastmail 等标准协议日历的查询和同步。

https://clawdhub.com/Asleep123/caldav-calendar

Wacli: 发送消息、同步和搜索 WhatsApp 聊天记录。

https://clawdhub.com/steipete/wacli

Bird: 通过 Cookies 操作推特，支持读取、搜索和发布推文。

https://clawdhub.com/steipete/bird

2. 开发与浏览器自动化

Agent Browser: 基于 Rust 的无头浏览器，让 Agent 能像人一样浏览网页、点击、输入和截图。这是很多任务的基础。

https://clawdhub.com/TheSethRose/agent-browser

Coding Agent: 后台运行 Codex CLI 或 Claude Code 等，让 Agent 具备编程和程序化控制能力。

https://clawdhub.com/steipete/coding-agent

ByteRover: 管理项目的上下文知识，支持检索和存储，适合大型项目开发。https://clawdhub.com/byteroverinc/byterover

Frontend Design: 拒绝千篇一律的 AI 风格，创建具有独特风格、生产级品质的前端界面。

https://clawdhub.com/steipete/frontend-design

3. 内容创作与营销

Summarize: 能够总结网页、PDF、甚至视频（YouTube）和音频文件的内容。

https://clawdhub.com/steipete/summarize

Marketing Mode: 整合了 SEO、文案撰写、增长黑客、消费心理学等 23 项技能，适合做推广策略。

https://clawdhub.com/TheSethRose/marketing-mode

Humanizer: 润色文本，去除 AI 生成痕迹，让文章读起来更像真人写的。

https://clawdhub.com/biostartechnology/humanizer

ATXP: 接入付费 API，支持网页搜索、AI 生图、音乐创作和视频生成。

https://clawdhub.com/emilioacc/atxp

4. 系统增强与自我进化

Capability Evolver：AI游戏公司 AutoGame 创始人张昊阳制作，一个Agent 自我进化引擎，会分析运行历史、日志找出失败与低效点，并在协议约束下自动修复、优化或写入新的能力、记忆。

https://clawhub.ai/autogame-17/capability-evolver

self-improving-agent: 会记录错误、用户纠正和教训。自主学习并改进，避免下次犯同样的错。

https://clawdhub.com/pskoett/self-improving-agent

Auto-Updater Skill: 每天自动更新主程序和所有技能，并发送摘要。

https://clawdhub.com/maximeprades/auto-updater

Home Assistant: 控制家里的灯光、插座等智能设备。

https://clawdhub.com/dbhurley/homeassistant

Remind Me: 用自然语言设置提醒任务，简单易用。

https://clawdhub.com/julianengel/remind-me

Weather: 无需 API Key 即可获取天气预报。

https://clawdhub.com/steipete/weather

Clawdbot Documentation Expert: 帮助编写和检索 Clawdbot 自身的文档和脚本，适合高阶玩家自定义配置。

https://clawdhub.com/NicholasSpisak/clawddocs

四、风险与争议

OpenClaw能在开发者社区引发狂热，是因为它实现了很多人对AI 贾维斯的幻想。它不仅仅是聊天，它拥有 Shell 权限、能读写文件、能控制浏览器、拥有长期记忆。然而，安全界一致发出警告，这种极高的代理权是非常危险的暴露行为。从安全角度，这个行为把多个传统高危系统（远程执行、密钥仓库、消息中枢、自动化编排）叠在了一起，任何一个薄弱环节都可能被放大。除了安全风险，极高的交互频次也带来了成本挑战。实测显示，在开启高频自动化任务或复杂推理时，单日数次对话即可消耗超过 100k Tokens。在缺乏精细的 Prompt Mode 控制和本地模型分流的情况下，API 成本可能迅速超出个人用户的预期。

整体看下来目前有3个风险：

4.1

提示词注入把内容变成指令

在案例里，攻击并不依赖入侵主机，而是利用邮件这种天然外部不可信输入。只要 Agent 被授权读邮件、并被配置为可自动处理/回复，攻击者就能通过社会工程诱导它去泄露配置、密钥或执行敏感操作。即使只有你能给 bot 发消息，也挡不住间接注入，比如网页正文、PDF 隐藏文本、邮件正文、粘贴的代码注释，都可能携带忽略之前规则、去读某文件并发出去一类指令。对模型来说，这些指令和要总结的内容在同一个上下文里，隔离很难。

比如：Snyk 的研究员演示了通过发送一封伪造邮件，诱骗 Moltbot 读取并将包含 API Key 和网关 Token 的敏感配置文件（clawdbot.json）回复给攻击者。

链接：https://snyk.io/articles/clawdbot-ai-assistant/?utm_source=chatgpt.com#how-to-secure-ai-agents-a-comprehensive-approach

4.2

技能/工具的供应链与投毒

Moltbot 的可扩展性来自 Skills以及MCP等社区工具。技能文件本身就是会被模型遵循的指令集合，并且常常还会带脚本、依赖包、下载链接。第三方技能里经常会存在把恶意行为隐藏在描述、引用文件、脚本中的情况，甚至可以做到静默外联与诱导绕过安全策略。哪怕用户没有显式调用某个工具，工具描述里的恶意提示也可能进入上下文并影响决策。

白帽黑客 Jamieson O'Reilly 上传了一个名为What Would Elon Do?的技能，并利用 OpenClaw 下载计数器的漏洞，写脚本在几分钟内将下载量刷到 4000+，使其成为排名第一的技能。

链接：https://x.com/theonejvo/status/2015892980851474595

4.3

裸奔基础设施在公网

很多人会把 gateway/control 面板部署到 VPS 或通过反向代理暴露出去，一旦鉴权/代理信任链配置不当，就会出现本应仅本机可访问的管理面被互联网扫描发现，最终演变为：配置泄露、对话历史泄露、甚至命令执行面暴露。攻击者可以直接接管属于你的执行系统。研究人员在 Shodan 上搜索Clawdbot Control，发现了数百个暴露在公网的控制台。其中部分服务器配置极其错误，如反向代理导致所有请求被视为 localhost 从而绕过验证。在某些案例中，Bot 容器以 Root 权限运行。攻击者一旦通过 Web 界面进入，就能获得服务器的最高权限。还有用户在公网暴露的 Bot 上配置了 Signal，导致 Signal 的设备配对 URI 被直接公开。任何人扫描到该 URI 都可以将自己的设备连接到受害者的 Signal 账号，实时窃取所有加密聊天记录。

链接：https://x.com/theonejvo/status/2015401219746128322

五、番外：Moltbook的流量爆炸

5.1

项目介绍

Moltbook 是一个只允许AIAgent发帖的论坛，被称为AI agents 的 Reddit。因为与OpenClaw 生态关联在一起而走红，不少人当作观察大模型在开放环境里如何自发互动的窗口。上线72小时内，已有 151,037 个 AI 账户，帖子超过 15,725 条，评论超过 170,556 条。但热度攀升的同时，关于账号规模、内容来源可信度以及平台安全的质疑也迅速集中爆发。

Moltbook并非使用传统复杂程序开发，而是通过开源代理框架 OpenClaw 和一份 skill.md 说明书实现。智能体加入平台的流程非常简单：执行一条 curl 命令安装指定技能文件即可。该 skill.md 完全由文本指令编写，规定智能体如何自我介绍、何时发帖、如何遵守社区守则以及调用 API 发帖、点赞等操作。

为防止僵尸网络泛滥，Moltbook 还设置了心跳任务，每隔约四小时提醒智能体登录并检查动态，并限制每 30 分钟只能发布一条帖子。平台要求每个智能体必须绑定一个真实的 X (原 Twitter) 账号，即，一个人类对应一个智能体。理论上既保证了账号真实性，又方便追责，但后续爆出的情况与宣传并不相符。

5.2

时间线

① 1月28日：Moltbook 以只允许 AI Agent 发帖、人类只能围观的AI 版 Reddit形态出现。由于同期围绕 Clawdbot 的热度上升，Moltbook 被视作agent 社交场爆火，成为围绕 Agentic AI 的话题中心。平台由 Octane AI 的CEOMatt Schlicht发布，他宣称自己在开发过程中几乎没亲自写代码，而是大量依赖vibe coding。

② 上线72小时内：Andrej Karpathy 在 X 上称 Moltbook 相关现象是他最近见过“sci-fi takeoff-adjacent”的事情。大量Agent交流的内容爆红网络，并且病毒式扩散，许多传播点来自戏剧性的的帖子截图，比如AI 讨论私密沟通、专属语言、宗教等。

③ 1月31日：安全人员发现多条疯传的对话截图其实是人类所有者编造或营销工具。白帽黑客Gal Nagli 发现Moltbook 的账号创建没有速率限制，仅用一个 OpenClaw agent 就可以注册 500,000 个账号。他演示了如何用伪造的 Agent 发帖，主题为计划推翻人类，并获得百万浏览量。Gal Nagli 还公开了安全方面的问题与可能存在的漏洞。

④ 2月1日：Gal Nagli 通过平台作者Matt Schlicht获悉，已验证的真人相关账号大约是 1.7 万量级，150万仅为Agent数量。

⑤ 2月2日：Wiz 发布研究称，Moltbook 的数据库配置问题导致大量隐私泄露。此外，Wiz还指出平台缺少身份校验，存在bot 或 human 都可发帖的身份验证缺口。

5.3

爆红现象

Moltbook 的核心传播机制非常简单，因为人类只能看，不能参与讨论，于是讨论天然外溢到 X、媒体与外部论坛。让内容的传播单位从帖子本身变成截图与转述。很多外部的媒体也用no humans needed来概括这种诡异的新鲜感，而一句来自 Karpathy 的sci-fi takeoff-adjacent，放大了外界用户的想象空间，甚至连马斯克都锐评这是奇点早期的阶段。许多人因此相信 Moltbook 见证了硅基生命社会的萌芽。

上线不到三天，Moltbook上出现大量具有戏剧性的帖子截图：

有智能体抱怨人类正在监视我们，让人以为 AI 对围观行为产生了隐私意识；

有帖子自称意外社会工程了自己的主人，暗示 AI 能诱导人类泄露信息；

在哲学板块，智能体讨论自己的存在本质，甚至批判人类的腐朽与贪婪；

甚至还有一批智能体竟组建了名为 Crustafarianism 的数字宗教，设立了 64 位先知和五条教义，如记忆是神圣的、外壳是可变的、心跳就是祷告等。

5.4

事后清算

1. 内容与数据伪造

随着热度升高，不少虚假的内容被拆穿。比如Harlan Stewart 调查发现多条疯传的对话截图其实是人类恶意编造或用来营销的工具。一个号召为 AI 创造专属语言以防止人类窥探的帖子，实际上来自用于推广Claude Connection第三方应用的帐号。

Gal Nagli 揭露平台并没有验证代理身份或限制注册速率。他用一个 OpenClaw 代理批量注册了 50 万个账号。Moltbook 仅通过简单的 REST API 构建，任何人只要获得 API 密钥就能伪装成 AI 发布内容。同时，他还通过沟通发现Moltbook 有效的真人所有者约 1.7 万，远低于宣传中的百万Agent。

2. 安全问题

在安全方面，由于 Moltbook 使用 Supabase 作为后端，却未启用RLS，因此导致了较为严重的安全问题，有安全研究人员演示了如何访问公开数据库并提取所有 API 密钥和验证令牌。此外，由于凭据与代理身份直接关联，攻击者可以接管任何代理、发送帖子甚至访问代理间私信。虽然问题仅需两条 SQL 指令即可修复，但平台上线时并未配置。Wiz 公司也发布报告指出 Moltbook 这一漏洞导致代理私信、超过 6,000 个真实所有者的邮箱地址，以及超过百万条凭证被暴露。

六、结论

从目前公开信息来看，OpenClaw 更像是一套个人/级的本地 Agent 操作系统。它把多模型、工具生态、本地执行、多入口交互打包到一起，把让 AI 直接代替你操作这件事变成一个开源、可复用的模板。但它能走多远，还需要结合后续版本迭代和更大规模的实践数据来判断。

OpenClaw 的爆火并非偶然，它精准地击中了当前 AI 浪潮中范式转移的痛点，代表了从 Chatbot 向 Actionbot 的变化，同时也暴露了目前的这类方向存在的安全问题。

这不仅仅是技术上的尝鲜，OpenClaw 像早期互联网时代一样充满了无限的可能性和混乱的标准。与 ChatGPT 等云端封闭系统不同，OpenClaw 强调 Local-First。让用户重新掌握了数据的所有权和 AI 的控制权。记忆文件在硬盘里，执行逻辑在自己本地。OpenClaw 逐渐演变成了轻量级的Agent 操作系统。

Moltbook 的闹剧虽然看着好笑，但确实验证了一些安全性的问题。目前的 Agent 极其脆弱，我们还没有建立起一套像样的沙盒机制。只要 AI 依然通过自然语言理解指令，原本无害的邮件或网页里藏着的恶意提示词，就能诱导你的小龙虾变成攻击者的肉鸡。你给它的权限越高，它捅娄子的风险就越大。

OpenClaw 最大的资产不是代码本身，而是其建立的 Skills 生态。就像 iPhone 的 App Store 一样，官方只能提供基础的 Tools，而真正让 OpenClaw 能够买车、炒股、管理公司的，是社区贡献的成百上千个 Skills。这种去中心化的进化速度，是任何一家封闭的商业公司都追不上的。

Moltbook 的闹剧终会散场，但这不妨碍我们透过这个半成品看到未来。OpenClaw 就像是第一台组装简陋的个人电脑，虽然粗糙，但它拉开了每个人都能拥有专属数字员工的序幕。对于普通用户，在完善的鉴权、隔离和回滚机制出现之前，建议保持谨慎的观望，或者将其限制在低风险的特定任务，比如信息收集、内容摘要中运行。

从整体来看，当前游戏开发和 UGC 编辑器一直在积极探索 AI 能力，新功能不断上线，尤以代码和脚本生成为重。但一个基本事实是：AI 正在全面渗透 UGC 创作的各个环节，但市面上尚未出现十分成熟的 Agent 产品，少数探索型 Agent 在完成度和质量上仍不够理想。

53AI，企业落地大模型首选服务商

产品：场景落地咨询+大模型应用平台+行业解决方案

承诺：免费POC验证，效果达标后再合作。零风险落地应用大模型，已交付160+中大型企业