近日,开源AI Agent(人工智能助手)“龙虾”(OpenClaw)异常火爆。与常见的AI聊天机器人不同,这类Agent不仅能回答问题,还能直接操作电脑、调用软件,甚至在后台持续执行任务。
支持者认为,它可能成为下一代生产工具;但安全专家则提醒,这项技术仍存在大量风险。一边是腾讯等大厂纷纷入局、多地“政务小龙虾”接连上线,另一边,工业和信息化部发布了针对AI养“龙虾”的安全风险提醒,北京建筑大学、华南师范大学、山东大学等多所高校也接连发布安全提示。
在热度背后,一个关键问题开始浮现:“龙虾”到底有多强?普通人需不需要安装“龙虾”?
从工具到员工,Agent无法“省掉”判断力和行业经验
作为一个个人开源项目,OpenClaw由奥地利开发者Peter Steinberger创建,目标是打造一个通过聊天软件控制的本地AI助手。与传统AI工具最大的不同在于,它不再只是一个网页里的聊天框,而是直接运行在操作系统层面。
网络安全机构深信服深瞻情报实验室的研究报告指出,OpenClaw的架构由以下五种组件构成:核心控制面Gateway(网关),负责接受来自App或Control UI的指令;基于Web的Control UI(管理界面),负责配置 Agent、工具权限、集成服务;作为远程执行主机的Nodes(节点);第三方扩展插件Skills(技能),以及保存于宿主机的长期上下文存储Memory(记忆)。
一旦获得权限,“龙虾”可以执行Shell命令、读写本地文件、控制浏览器,并通过聊天工具接收指令。用户只需发一条消息,AI就能在电脑上自动完成一系列操作。
在一些从业者看来,意味着AI正在从“内容生成工具”走向“生产力工具”。如果说生成式AI主要冲击的是文字、图片和视频创作,那么Agent则可能改变生产方式本身。
Pine AI联合创始人、首席科学家李博杰对澎湃新闻记者表示,OpenClaw的技术创新突破并不在于某个单一技术点,而在于其对交互范式的定义:通用Agent应该长什么样、怎么跟人交互、怎么组织记忆和工具。他认为,这个范式的影响力比产品本身更大。
李博杰指出,OpenClaw是第一个将“Deep Research(深度研究)、Computer Use(电脑操作)和Coding(代码生成)”三种能力整合到一起的开源产品,此前,Manus是第一个做这件事的闭源产品。同时,OpenClaw还提出了几个很关键的设计,包括“随时随地”、“没有Session(对话记忆档案)”和“数据主权”。
猎豹移动董事长兼CEO傅盛将“龙虾”体现出的变化形容为“从工具到员工”。他在文章中指出,把AI当工具用和把“龙虾”当员工用是两件事:“用工具不需要培训,不需要给反馈。但用龙虾是用员工。你要训练他,给他知识库,告诉他哪里错了要改。认真对待他,他才会成长。”
来自清华大学的“清新研究”团队在《OpenClaw发展研究报告》中提出,通过不断执行任务、总结经验并学习新技能,OpenClaw正在逐渐形成一种能够自我“进化”的系统。报告还预测,未来每个人都会拥有由多个Agent组成的“数字员工团队”。
北京邮电大学数字媒体与设计艺术学院副教授谭剑也对记者指出,随着Agent的持续发展,“一人公司”一定会出现,而且已经开始出现。不过,他也强调,很多人都以为“一人公司”是指一个人躺着、AI替你赚钱,但事实并非如此:“这个‘人’要负责做最关键的、与调度和营收最相关的那10%的计划性工作。AI省掉的是人头,省不掉的是判断力和行业经验。”
能力与风险“双刃剑”,尚未成为大众产品
尽管OpenClaw展现出惊人的自动化潜力,但技术人员和安全专家对其背后的风险发出了密集警告。
深瞻情报实验室在报告中指出,OpenClaw需要获取用户设备的广泛权限,包括系统文件访问、浏览器Cookie、API密钥等敏感信息。这种深度集成存在巨大的安全隐患。
据统计,截至2026年2月,已披露的OpenClaw漏洞至少达到110个,其中部分漏洞已出现可直接利用的攻击代码;全球公网中可探测到的OpenClaw实例超过13.5万个,其中上万台存在远程代码执行风险。深瞻情报实验室表示,OpenClaw背后的漏洞数量之多、影响之广,在AI工具领域尚属罕见。
同时,插件生态也成为新的隐患。在OpenClaw的插件平台ClawHub中,研究人员发现约20%的技能插件可能包含恶意代码,例如窃取用户凭证或下载恶意程序。由于该平台的技能发布门槛极低,仅要求发布者拥有创建超过一周的GitHub账户即可完成上传,进一步放大了恶意技能流入生态并被广泛使用的风险。
对于“龙虾”可能带来的风险,谭剑给出了更直白的解读:“OpenClaw在架构上有五个天然的致命组合:它有你电脑的最高权限、它什么消息都收、没有可靠的办法区分正常指令和恶意指令、它的记忆一旦被污染就永久改变行为,并且还能往外发邮件发数据。加在一起,本质上就像你把公司钥匙给了一个你控制不住的实习生,而且这个实习生会听信任何人写在纸条上的话。”
李博杰也指出,要理解“龙虾”的安全风险,才能理解它为什么是“极客工具”而不是大众产品:“OpenClaw给了Agent完整的本地系统权限,这是它强大的来源,同时也是最大的风险来源。”
不过,李博杰认为,行业并没有高估“龙虾”这一类Agent的能力,现在暴露出来的安全问题,本质是安全工程还没跟上能力发展的速度:“OpenClaw今天的状态有点像早期的开源系统Linux,功能强大,但你得是个极客才能玩得转,安全配置要自己操心。这不代表Linux的能力被高估了,事实上很快就出现了Red Hat、Ubuntu这些企业级发行版,把同样强大的内核包装成普通人和企业都能安心使用的产品。”
因此,李博杰预测,“龙虾”接下来也会经过同样的历程。OpenClaw负责定义范式,商业产品负责把这个范式安全地交付给大众。
就在3月13日晚间,国家网络安全通报中心发布OpenClaw安全风险预警,预警中列出了OpenClaw五大主要安全风险:架构设计缺陷多,层层皆可破;默认配置风险高,公网暴露广;高危漏洞数量多,利用难度低;供应链投毒比例高,生态不安全;智能体行为不可控,管控难度大。