文 | 科技不许冷

如果你发现自己的电脑或手机正处于一种 " 半自动 " 状态，请保持警惕。

就在最近，成千上万的极客已经把自己电脑的最高管理权限，交付给了一个刚上线不到 168 小时、甚至连名字都还没定稳的 AI。这个名为 OpenClaw 的项目，在短短一周内狂揽 6 万星标，甚至让硅谷大佬 Andrej Karpathy 公开背书  。

但这绝不是普通的效率工具，而是一场关于 " 权限夺舍 " 的赛博冒险。对于大多数不玩 GitHub 的普通人来说，你只需要知道：这种所谓的 " 数字员工 "，正在绕过你的防火墙  ，像剥洋葱一样把你的隐私展示给全球的黑客。这不仅是 AI 神话的幻灭，更是 2026 年开年最危险的 " 裸奔时刻 "。从爆火到两度改名，OpenClaw 用最激进的方式，亲手撕开了 AI 智能体行业那层名为 " 效率 " 的皇帝新衣  。

01 消失的信任边界：你的 " 管家 " 正引狼入室

OpenClaw 宣称自己是所谓的 " 编排层 "，它能通过 WhatsApp、iMessage 甚至 Slack 这类通讯工具，替你订票、理财、回邮件。为了实现这种全能性，它需要常驻在你的 Mac mini 或私有服务器上，并获得系统深处的控制权。

这意味着什么？意味着你不是在安装一个软件，而是在家里雇了一个没有身份证、且随时随地对所有人敞开后门的编排工。

创始人 Peter Steinberger 的背景让这个项目蒙上了一层精英色彩：他曾将 PSPDFKit 以约 1.19 亿美元的价格卖出，财务自由后因 " 太无聊 " 而开发了这款工具  。但这种 " 财富自由后的极客实验 " 与严苛的企业安全之间存在天然的错位。根据安全机构 Token Security 的最新数据，在 OpenClaw 走红的一周内，已有 22% 的企业员工在未经任何 IT 审计的情况下，私自给这个 " 数字助理 " 开了门。研究人员发现，数百个 OpenClaw 控制面板在公网上完全处于 " 不设防 " 状态，默认开放的 18789 端口甚至连基本的身份验证都没有。

想象一下，你请了个私人管家，但他不仅不锁家门，还在门口贴了张告示：我是你家的管家，这屋里所有的银行卡和保险柜钥匙我都知道在哪，欢迎进来随便问。

02 致命的 MCP 协议：一封邮件即可完成 " 夺舍 "

在技术底层，OpenClaw 采用的是目前最火的 MCP（模型上下文协议）来实现跨应用执行。但它的实现逻辑却存在严重的 " 信任坍塌 "：它默认信任所有来自本地的连接，却没考虑到现代网络流量普遍会经过反向代理转发。

这意味着什么？意味着你收到一封普通的垃圾邮件，你没点开任何附件，也没点击任何钓鱼链接。

仅仅是因为你的 AI 助手在后台帮你扫描了一下邮件内容，黑客埋在正文里的指令就会瞬间 " 接管 "AI 的大脑。安全专家 Jamieson O ’ Reilly 在实测中发现，这种 " 内部信任模型 " 的崩溃，让攻击者只需通过提示词注入，就能诱导 AI 乖乖交出服务器的 SSH 私钥。在专家看来，这种 " 认知上下文窃取 " 比传统的病毒更可怕：它是利用你对工具的信任，在合法的时间，合法地杀掉你。

更荒谬的是其脆弱的供应链生态。O ’ Reilly 演示了一场教科书级的攻击：他在技能库上传了一个未经审核的插件，仅靠刷高下载量就让 7 个国家的 16 名开发者中招。在这个生态里，代码既没有审核也没有签名，用户对插件的盲目信任仅仅建立在虚假的下载数据上。

03 算力税的真相：这个 " 助理 " 比真人还要贵

很多人冲着 " 开源免费 " 去尝试 OpenClaw，却不知道这是一台披着 AI 外壳的 " 超级碎钞机 "。

不同于 20 美元包月的订阅制，OpenClaw 连接的是大厂的开发者 API，每一条指令都在按量计费。因为智能体需要反复读取你之前的对话记录、本地文件和个人偏好，这种 " 语境记忆 " 会导致 Token 消耗量像滚雪球一样失控。

让我们算一笔肉疼的账。仅仅是为了让它顺利跑起来，反复调试环境的 API 费用就能花掉 10 美元。如果你每天让它帮你总结新闻、清理待办，月均成本将轻松突破 30 美元，这还不包括你为了运行它而额外购置的硬件电费。如果你追求最高效率并使用开发者推荐的顶级模型，哪怕你只是追问一句 " 为什么排除这条新闻 "，单次查询就要烧掉 64 美分。

这种高昂的成本直接戳破了 " AI 提效 " 的虚假泡沫。你花几千块买了一台 Mac mini，又每个月掏几百块交 " 算力税 "，最后换来的只是一个帮你回邮件、还随时可能泄露你银行卡号的数字助手。这到底是生产力，还是给算力巨头交的 " 极客智商税 "？

04 巨头阴影下的脆弱：龙虾脱壳的权谋博弈

在这一周的狂欢中，那两场令人窒息的改名风波，才是这场商业荒诞剧的高潮。

最初叫 Clawdbot，因为名字太像 Claude，被 Anthropic 公司一份 " 措辞礼貌 " 的法务邮件直接吓得连夜更名。随后改名 Moltbot，结果导致 GitHub 账号和社交媒体句柄瞬间被恶意机器人抢注。紧接着，假币 $CLAWD 趁乱上线，瞬间收割了 1600 万美元的市值后崩盘。

这一幕极具讽刺意味：一个致力于通过 AI 实现全自动化、宣称要改变未来的项目，在现实世界的权标博弈面前，居然如此脆弱不堪。这证明了在当前的 AI 生态中，所谓的 " 开源自由 " 依然只是寄生在大厂接口上的浮草。巨头无需通过技术封锁，只需动用律师函，就能让一个爆火的项目在物理世界彻底 " 社会性死亡 "。

从逻辑归因上看，这种脆弱性是必然的。根据 Gartner 的预测，到 2026 年底，40% 的企业应用都将集成 AI 智能体。这种由于 " 效率焦虑 " 引发的野蛮生长，导致开发者往往在安全基座尚未夯实时，就匆忙向外部授权。Peter Steinberger 遇到的麻烦，其实是整个行业在快速扩张期与传统知识产权、传统安全模型之间不可调和的阵痛。

05 最后

OpenClaw 的狂飙与坠落，是 2026 年 AI 智能体行业的一剂强效清醒剂。

它揭示了一个残酷的事实：真正的 " 数字助手 " 绝不仅仅是把大模型塞进一个带有最高权限的脚本里。这种缺乏身份治理、缺乏加密隔离、且默认信任所有内部流量的开发逻辑，正将数以万计的敏感资产置于黑客的射程之内  。

AI 智能体正试图从简单的对话框跃迁为某种形式的 " 操作系统 "，这固然令人兴奋，但也意味着安全边界必须从 " 防止垃圾信息生成 " 升级到 " 防止系统身份夺舍 "。

别让你的数字管家，成为引狼入室的领路人。在 Agent 时代，最大的安全漏洞，从来不是代码，而是信任本身。

本文内容系基于企业公告、技术专利及权威媒体报道等公开资料的深度梳理与商业逻辑推演，旨在探讨技术路线与产业趋势。文中涉及的产品参数与性能描述均援引自官方披露口径，仅代表基于现有数据的理论分析，不作为实物体验的绝对反馈。鉴于科技产品（尤其是新能源车、机器人）涉及软硬件 OTA 迭代，如相关数据与实机表现存在出入，请以企业官方最终发布为准。本文观点仅供参考，不构成任何投资或购买决策依据。