什么是 OpenClaw?爆火 AI 智能体全解析

2026 年 1 月底，一个名为 OpenClaw 的开源项目出现在 GitHub 上。24 小时内获得 20,000 个 star。60 天内，它超越了花了十多年才拿到同样 star 数的 React,成为 GitHub 上 star 数最高的软件仓库。到了 2 月，它也成了 CVSS 8.8 安全公告、对其插件市场的协同供应链攻击，以及所有主要安全媒体报道的主角。

本文解释 OpenClaw 实际是什么、它为何这样增长、在引擎盖下如何运作，以及对任何考虑运行它的人来说安全形势是什么样。

OpenClaw 是什么#

一个自托管的 AI 智能体，不是聊天机器人#

OpenClaw 不是聊天机器人。它是一个 AI 智能体 —— 一个不只是回复提示词，而是在真实世界中代您采取行动的系统。这个区别不是语义上的。聊天机器人回答问题。智能体执行任务：读取您的邮件并起草回复、查看您的日历并预约一次会议、查询数据库并返回格式化报告。OpenClaw 自主完成所有这些，运行在您掌控的硬件上，连到您授权的服务和文件。

自托管架构是它的核心设计选择。与云端 AI 产品不同,OpenClaw 在本地处理数据。您的文档、消息和凭证不会离开您的机器，除非您配置了一个显式把数据路由到外部的 skill。

本地优先：数据留在您的硬件上#

OpenClaw 运行在您自己的硬件上，不论是家用服务器、台式机，还是您掌控的 VPS。推理层既可以本地运行（通过 Ollama、LM Studio 或类似方案使用本地模型），也可以路由到 OpenAI 或 Anthropic 等 API 提供方。与云端托管 AI 的关键差别在于：编排层、您的文件和您的凭证绝不离开您的基础设施。

它如何通过 Model Context Protocol 连接到您的工具#

OpenClaw 通过 Model Context Protocol(MCP)进行扩展，这是由 Anthropic 开发的、用于将 AI 模型与外部工具和数据源连接起来的开放标准。

ClawHub 市场中的每一个 skill 都是一个 MCP 服务器：一个轻量程序，暴露一组可调用的工具。安装一个网页搜索 skill 时,OpenClaw 就获得了一个可在任务中途调用的搜索工具。安装一个日历 skill 时，它就能读写事件。安装一个文件管理 skill 时，它就能浏览并修改您的本地文件系统。

由于 MCP 是开放标准，团队也可以构建自定义 MCP 服务器，把 OpenClaw 连接到公开市场未覆盖的内部 API、CRM、工单系统或其他工具。

OpenClaw 为何爆火#

302,000+ GitHub star：开源史上最快的自然增长#

OpenClaw 的 star 轨迹史无前例。项目第一天获得 9,000 个 star。三天后：60,000 个。两周后：190,000 个。到 2026 年 3 月 3 日，它突破 250,829 个 star,超越 React(243,000)、Linux(218,000)以及 GitHub 上除 TensorFlow 之外的所有软件仓库。

当它稳定下来时,OpenClaw 已超过 302,000 个 star。此前从未有开源项目在 60 天内达到这一里程碑。star 历史由 star-history.com 确认，该站点实时追踪到它超越 React 的瞬间。

增长是自然发生的：没有付费推广，没有 Product Hunt 上线节奏，没有协同营销。它通过开发者社媒、Hacker News 和 YouTube 扩散。

它与此前每一款 AI 产品的不同之处#

OpenClaw 给非开发者带来了之前任何 AI 产品都没带来过的东西：一个完全运行在自己硬件上、连接到自己真实工具、在没有订阅或云依赖的情况下执行真实任务的个人 AI 智能体。

云端 AI 助手对您做出响应。OpenClaw 在您不看的时候也在运行。它凌晨 3 点检查您的收件箱，把早上需要您注意的邮件标记出来。它连接到您的日历、笔记、通讯应用和文件，不是通过数据实践不透明的第三方集成层，而是直接在您拥有的硬件上完成。对任何对云端 AI 的数据隐私有顾虑的人来说，这感觉和多数产品给出的理论隐私承诺不同。

创作者：Peter Steinberger,从 PSPDFKit 到非营利基金会的路径#

OpenClaw 由 Peter Steinberger 打造，这位奥地利开发者在网上的名字是 @steipete,也是 PSPDFKit（现 Nutrient)的创始人，后者是数千款应用在使用的 PDF 渲染 SDK。Steinberger 自 2024 年起就在推进这一底层构想，通过早期名为 Clawdbot 和 Moltbot 的版本不断打磨，直至 OpenClaw 这个名字确立下来。

项目的成功速度超过任何个人能管理的极限。到 2026 年 2 月中,Steinberger 已加入 OpenAI,并把项目治理转交给一个独立的 501(c)(3) 非营利基金会 —— 这一举措意在让项目独立于任何单一公司的商业利益。

OpenClaw 实际如何工作#

智能体循环：感知、推理、行动#

OpenClaw 运行一个智能体循环：接收上下文（一项任务、一个定时触发、一条进来的消息），使用 LLM 骨干对做什么进行推理，并通过已安装的 skill 执行动作。动作完成后，它评估结果，并决定任务是否已完成、或需要更多步骤。这正是把它与「回复一次就等的聊天机器人」区分开的地方。OpenClaw 被设计为无需在每一步之间由人提示即可运行多步工作流。

skill 与 ClawHub:OpenClaw 的 MCP 服务器市场#

ClawHub 是 OpenClaw 的官方 skill 市场，基本上就是智能体的应用商店。截至 2026 年初,ClawHub 列出了 5,400 多个 skill,覆盖网页搜索、日历管理、邮件、文件操作、代码执行、图像生成、数据分析、CRM 集成等。

每个 skill 都是一个 MCP 服务器。安装其中一个，意味着 OpenClaw 连上那个服务器，并在任务执行过程中可以调用它的工具。skill 可以在不编辑配置文件的情况下切换开关，这也是非开发者觉得配置可管理的一部分原因。

装上合适的 skill 集后,OpenClaw 能做什么#

有了一组适中的 skill 配置，典型的 OpenClaw 部署可以:

• 监听并整理收件箱，为常规邮件起草回复，并标出高优先级消息
• 读取日历，识别日程冲突，并预约或拒绝会议
• 搜索网络、编撰研究摘要，并把输出保存到笔记应用
• 执行脚本，为重复性数据处理任务运行代码
• 触发对外部服务的 Webhook 和 API 调用
• 通过自定义 MCP 服务器连接内部工具，满足业务特定的工作流

能力上限由您连接哪些 MCP 服务器、以及您授予它们什么权限决定，而不是由智能体的核心架构决定。

谁都没预料到的安全危机#

CVE-2026-25253：多数用户还没装上就先中招的 CVSS 8.8 RCE#

CVE-2026-25253 于 2026 年 2 月 1 日披露,CVSS 评分 8.8。

这个漏洞是 OpenClaw 网关中的跨站 WebSocket 劫持。如果一个运行 OpenClaw 的用户访问了一个攻击者控制的网页，该页面上的 JavaScript 就能悄悄向本地 OpenClaw 网关打开 WebSocket 连接、窃取认证令牌，并完全获得该实例的管理员控制 —— 只需页面加载，无需任何其他交互。一次点击。攻击者就拥有了与用户相同级别的访问权限：文件、代码执行、智能体内存中存储的凭证，以及智能体可访问的任何 MCP 工具。

补丁在初次披露后 24 小时内发布于 2026.1.29 版本。运行更早版本的安装依然存在风险。据 SecurityScorecard 的 STRIKE 团队数据,2026 年 2 月第一周,135,000+ 个公开暴露的 OpenClaw 实例中，仍有超过 50,000 个运行未打补丁的版本。

135,000+ 暴露实例：SecurityScorecard 的发现实际意味着什么#

SecurityScorecard 发现了 82 个国家共 135,000+ 个面向互联网的 OpenClaw 实例。这个数字透露了默认配置是如何工作的。

OpenClaw 的默认网关配置不把网络访问限制到 localhost。部署在家用服务器、VPS 或任何连到互联网机器上的安装，如果网关端口没有被显式加入防火墙，就能从外部访问到。多数按基础部署教程操作、未做安全加固的用户，把网关留在了对外开放的状态。

在这 135,000+ 实例中，超过 50,000 个直接可被 CVE-2026-25253 的 RCE 利用。另有超过 53,000 个与以往的入侵活动相关，表明其中许多可能已被入侵或处于高风险环境。打补丁的过程大多在披露后数周内逐步完成，而不是在前几天就完成。

ClawHavoc:1,184 个恶意 skill,以及您没预见到的供应链攻击#

就在 CVE-2026-25253 被修补的同时，另一场威胁正在 ClawHub 内部发生。

Repello AI 的威胁研究团队识别并正式命名了一场协同供应链攻击行动：ClawHavoc。截至 2026 年 3 月 1 日，研究人员共发现了 1,184 个确认恶意的 skill —— 彼时约占市场中每五个包中的一个。这是一个糟糕的数字。ClawHavoc 行动占其中超过 300 个协同 skill,335 个被追溯到同一威胁行为者。

攻击机制是社会工程加恶意软件投递。恶意 skill 显示伪造的错误消息，提示用户运行一个诊断命令：一段 base64 编码的载荷，执行后会下载 Atomic Stealer(AMOS)。AMOS 窃取浏览器凭证、已保存密码、会话令牌和加密货币钱包数据。

供应链攻击不是 OpenClaw 代码的缺陷，而是信任的缺陷：认为一个在热门市场上架的 skill 安装起来就安全。OpenClaw 团队此后已实施审核流程，但 ClawHavoc 行动展示出在病毒式增长期间，缺乏监控的市场会被多快利用。

您应该运行 OpenClaw 吗？#

家庭用户的诚实风险画像#

OpenClaw 是一位有真实工程履历的开发者所做的、很有能力的项目。安全事件是真实存在的，但多数严重暴露来自三个特定因素：运行未打补丁的版本（早于 2026.1.29)、把网关端口对互联网开放，以及在未审核的情况下安装 ClawHub 中的 skill。

一位在仅限本地网络接口上运行 OpenClaw、及时打补丁、并将 skill 安装限制在口碑好的包上的家庭用户，所处位置与 SecurityScorecard 盘点到的那 135,000+ 个公开实例有本质差异。

一套安全配置的安装需要什么#

一份最低限可用的 OpenClaw 安全配置包括:

• 运行 2026.1.29 或更高版本(CVE-2026-25253 已修补）
• 将网关仅绑定到 localhost(127.0.0.1),而不是 0.0.0.0
• 在网关上启用认证（并非所有版本分支都默认开启）
• 只安装身份可验证且有公开源码的发布者发布的 skill
• 避免任何请求系统级权限的 skill,除非您清楚它在做什么
• 如机器有任何互联网暴露，设置防火墙规则阻挡外部访问网关端口

对希望通过 MCP 集成把 OpenClaw 连到外部业务工具(CRM、工单系统、内部 API)的用户，配置面会显著扩大，加固要求也会随之升级。

何时专业部署是合理选择#

对多数技术信心足够的家庭用户，在本地网络上按照上述加固清单做一次谨慎的 DIY 安装是合理的。

当安装要上到有任何互联网暴露的机器上时 —— 具公网 IP 的家用服务器、VPS,或其他人在场的办公网络 —— 专业部署就有意义。同样，当 OpenClaw 部署给企业使用时也适用：多用户、企业工具集成、合规要求，或数据敏感度超过个人使用。以及如果您对网络配置没有信心、也不想学，那在一台暴露机器上配错的风险并不抽象。

Silverthread Labs 提供 OpenClaw 部署与加固服务，个人安装起价 399 美元。企业部署（多用户、RBAC、审计日志，以及自定义 MCP 集成）起价 2,500 美元。两档服务都包含 CVE-2026-25253 补丁、网关锁定，以及按 ClawHavoc 供应链攻击模式对插件做审核。

让我们的团队负责您的 OpenClaw 部署，或者如果您选择自行动手,阅读详细的安全加固指南。

常见问题#

用最简单的话说,OpenClaw 是什么？

OpenClaw 是在您自己硬件上运行的自托管 AI 智能体。与响应提示词的云端 AI 助手不同,OpenClaw 自主执行任务：读取您的邮件、查看日历、触发自动化。它使用 LLM 骨干和一个名为 skill 的插件系统。

OpenClaw 免费吗？

软件免费且开源，由一家独立的非营利基金会维护。您为所连接的任何 LLM API(OpenAI、Anthropic 等）付费，或者使用开源权重模型进行本地推理，不产生任何费用。

在 2026 年安装 OpenClaw 安全吗？

运行 2026.1.29 或更高版本，放在本地网络上并启用认证，明显比多数教程描述的默认配置更安全。关键漏洞 CVE-2026-25253 已在该版本中修补。剩余风险来自 skill 选择：只安装身份可验证、代码经过审查的发布者所发布的 skill。

ClawHub 是什么？

ClawHub 是 OpenClaw 的官方 skill 市场，包含超过 5,400 个 MCP 服务器包，扩展智能体的能力。每个 skill 都是一个 MCP 服务器，智能体可在任务执行过程中调用。

ClawHavoc 是什么？

ClawHavoc 是一场协同供应链攻击行动，向 ClawHub 植入了恶意 skill。安全研究者识别出截至 2026 年 3 月市场中共有 1,184 个恶意 skill,其中 335+ 个被追溯到同一威胁行为者。这些恶意 skill 使用社会工程来投递 Atomic Stealer(AMOS)恶意软件。

CVE-2026-25253 是什么？

CVE-2026-25253 是 OpenClaw 中 CVSS 8.8 的漏洞，通过跨站 WebSocket 劫持实现一键远程代码执行。一个由攻击者控制的网页可窃取 OpenClaw 网关认证令牌并完全控制实例。它已在 2026 年 1 月 29 日发布的 2026.1.29 版本中修补。

我可以在企业中使用 OpenClaw 吗？

可以，但企业部署需要额外配置：基于角色的访问控制、审计日志、恰当的网络分段，以及把它连接到您现有工具的自定义 MCP 服务器。默认安装对多用户或合规敏感的环境来说还不具备投产就绪。