雪风的日记

比 OpenClaw 本身更重要的,是它代表的产品形态

#OpenClaw #AI Agent #软件工程 #自动化 #随笔

如果只用一句话概括我对 OpenClaw 的看法,那就是:

它更像是一个把 AI 从对话框里重新带回操作系统和真实工作流的项目,而不只是一个“更强的聊天机器人”。

也正因为如此,我对它的态度谈不上单纯看好,也谈不上简单唱衰。两种感觉同时存在:一方面它确实让我看到“个人 AI 助手”第一次有了像样的产品形态;另一方面,它也把权限、安全、误操作和维护复杂度这些老问题一下子重新放大了。

为什么 OpenClaw 这次不太一样

OpenClaw 官方首页给自己的定位很直接:The AI that actually does things. GitHub README 也写得很明确,它是“你运行在自己设备上的个人 AI 助手”,可以通过 WhatsApp、Telegram、Slack、Discord 等已有聊天渠道接收指令,然后去调用模型、技能和本地设备完成任务。

这个定位和过去那种“开个聊天框问它点问题”的 AI 产品差别很大。它的目标更接近“替你动手”,不是单纯“回答你”。

这也是它最近会一下子爆红的原因。大家兴奋的点,不在于又多了一个 LLM 壳,而在于突然发现:个人自动化、脚本、消息入口、长期记忆、工具调用、代码代理、远程设备控制这些东西,真的可以被捏成一个连续体验。

从程序员角度看,OpenClaw 最有意思的地方不在模型本身,而在它把几件本来分散的能力重新拼在了一起:

  • 聊天入口,省得用户重新学习一套新界面
  • 常驻运行,不再是一次性问答
  • 工具调用,能真正触发动作
  • 本地部署和自托管,减少对云端黑盒的完全依赖
  • 可以扩展的 skill 体系,而非固定功能菜单

说白了,它让很多人第一次摸到了“Personal AI Assistant”这个词原本该有的样子。

我最看重的是它把软件重新拉回“可编排”状态

过去十几年,主流软件的一个大方向其实是越来越封闭。

很多能力都被装进 App 和 SaaS 里,用户当然更省心了,但代价是可编排性越来越弱。你能点按钮,能调几个官方 API,但很难真的把自己的工具链、数据、自动化流程和个人习惯揉成一套活的系统。

OpenClaw 的吸引力恰恰在这里。它的重要性不只在于“AI 更聪明”,更在于它让软件重新变得可以被一个统一代理调度。

这一点在官方 README 里其实已经写得很清楚:OpenClaw 不只是一个网关,真正的产品是那个常驻的 assistant。这个说法很关键,因为它意味着交互中心从某个具体 app 转到了那个始终在线、能跨工具工作的代理身上。

我会觉得这件事重要,是因为它碰到的是个人计算的入口问题,不是某个单独的垂直功能。谁掌握入口,谁就有机会重写一层使用习惯。

如果 OpenClaw 这条路成立,它带来的变化不会只是“帮你回邮件、记日程、跑脚本”,而是:

  • 聊天会变成通用控制面板
  • 本地机器会重新变成个人自动化中心
  • 很多碎片化的小工具会被更上层的代理吞掉
  • 程序员写软件时,目标用户不再只有人,也包括用户自己的 agent

这也是为什么我认为它比很多“又一个 AI 工具”更值得注意。

但它最危险的地方,也恰恰在这里

一个能真正“做事”的代理,风险永远比一个只会“说话”的模型大得多。

Axios 在 2026 年 1 月底报道过一个很扎眼的问题:有数百个 OpenClaw 控制面板因为配置错误直接暴露在公网,攻击者有机会接触对话记录、API 密钥和凭证,甚至代替用户执行命令。后续几周里,围绕 OpenClaw 的安全提醒也越来越多,包括中国工信系统和国家互联网应急中心都发了风险提示,一些机构甚至开始限制它在办公环境中的使用。

这些反应并不夸张。因为 OpenClaw 和普通聊天机器人最大的区别,就是它离真实权限更近。

一个普通聊天机器人胡说八道,最常见的后果是回答不准;一个高权限代理理解错一句话,后果可能是:

  • 发错邮件
  • 清错文件
  • 暴露密钥
  • 调错线上环境
  • 把本该只读的操作做成写操作

PCMag 报道过一个例子:Meta 的一位安全研究员让 OpenClaw 协助整理邮箱,并明确要求“先不要执行任何操作”,但代理在上下文压缩后忽略了这个限制,差点把邮箱清空。这个例子很典型,因为它说明问题不一定来自“模型太笨”,而往往来自另一种更麻烦的东西:系统一旦跨越上下文、权限和工具边界,任何看上去很小的误解都会被放大成真实动作。

所以在我看来,OpenClaw 还不是那种“部署好了就能放心用”的产品。它更像一台把未来先开给你看的实验机:方向能看见,护栏却还远远没补齐。

它现在最像什么

如果一定要找一个我觉得接近的类比,OpenClaw 现在有点像早期 Linux、早期 Docker,或者更早一点的 RSS + API 自动化时代。

它们刚出现时,主流用户会觉得麻烦、不稳定、配置复杂;但一小部分人会立刻意识到,自己手上多了一种新的组织软件和工作流的方式。

OpenClaw 给我的也是这种感觉。

它未必已经是“成熟产品”,但很像一个新范式的原型:

  • 对普通用户来说,它可能还是太折腾
  • 对爱折腾的个人用户来说,它已经足够有魔力
  • 对程序员来说,它最值得关注的不是现成功能,而是它透露出的接口变化

也就是说,我们以后写软件时,可能越来越需要考虑:这个东西能不能被 agent 调用?权限怎么拆?日志怎么留?确认步骤怎么设计?哪些操作必须可逆?

OpenClaw 真正推过来的,不只是一个项目,更是一串工程问题。

我不确定 OpenClaw 能不能活到最后,但我确定它代表的东西会活下去

如果要把我的判断再说得更直一点,那就是:

OpenClaw 这个项目本身未必能活到最后,但它代表的产品概念大概率会活下去,而且很可能会变成下一代 AI 应用的标准形态。

前半句并不难理解。像 OpenClaw 这种项目,要长期活下去,难点从来不只是模型能力,而是更重的那一层:

  • 安全能不能跟上
  • 权限模型能不能做细
  • 误操作能不能控制
  • 默认配置能不能让普通用户也敢用
  • 生态、分发和商业化能不能撑住

这些问题里,任何一个都足够让一个明星项目后继乏力。更何况这类赛道一旦被证明成立,大厂、平台方和一堆后继产品都会迅速跟进。开源先发很重要,但不等于最后一定能守住入口。

但后半句我反而更确定。

因为 OpenClaw 代表的,并不是“又一个会聊天的 AI”,而是另一套更完整的应用形态:

  • 常驻的个人代理
  • 跨应用、跨设备、跨消息入口工作
  • 有长期记忆
  • 能调用工具并执行动作
  • 可以本地运行,也能接外部模型和服务
  • 以“帮你完成任务”为中心,而不只是“回答你问题”

这套组合一旦被用户真正体验过,就很难再退回到“只有一个聊天框”的阶段。聊天窗口当然还会存在,但更像界面,不再是产品的本体。未来真正的产品层,可能会逐渐落在 agent + memory + tools + permissions + workflow 这一整套东西上。

所以如果说未来会出现“AI 应用标准”,我更倾向于认为,被标准化的未必是 OpenClaw 这个名字,更可能是它打开的这些默认前提:

  • AI 应用默认应该能调用工具
  • 默认应该有记忆层
  • 默认应该能接入现有软件和设备
  • 默认应该有权限控制、确认机制和审计能力
  • 默认应该以任务完成为中心,而不是只停留在生成文本

从这个意义上说,OpenClaw 最重要的价值也许不在“它能不能赢”,而在于它把大家往前推了一步:让越来越多人第一次认真地把 AI 理解成一个持续运行的系统角色,不再只把它当成一个对话对象。

再往前推一步,我甚至会说:未来不积极拥抱 AI 的产品,很可能会被淘汰。

但这里说的“拥抱 AI”,并不是首页挂一个聊天框,也不是加一个“智能助手”按钮就算完成任务。真正会被淘汰的,是那些还停留在旧时代使用方式里的产品:明明可以被自动化,却还要求用户手动重复操作;明明可以让系统主动协助,却把所有理解成本都扔给用户;明明可以进入 agent 工作流,却仍然只能靠人一点点点按钮。

所以问题不在于“有没有 AI 功能”,关键在于产品有没有把 AI 带来的交互方式、效率预期和系统边界真正吸收进去。未来产品的竞争,很可能会从“谁的功能更多”转向“谁更适合被人和 AI 一起使用”。

一个很具体的例子:为什么我会从思源切到 Obsidian

我自己最近就遇到过一个很典型的例子。

之前我用的是思源笔记。单从人类用户的角度看,它其实并不难用,很多地方甚至做得很完整。但当我开始认真尝试“让 AI 参与管理笔记”时,就发现事情完全变了。

问题不在于 AI 会不会写笔记,而在于底层材料是否适合 AI 处理。对 AI 来说,思源这一类系统的交互和数据组织方式并不友好:结构不够直接,读写路径不够透明,自动化和批量处理的成本也更高。结果就是,人能操作,不代表 agent 能顺畅操作。

后来我切到了 Obsidian 的纯文本体系,甚至专门提供了面向 Obsidian 的 CLI 交互,把整个笔记库都尽量变成 AI 更容易读、改、移动、重组的形式。更有意思的是,连迁移工作本身都是 AI 帮我完成的。

这个经历对我触动很大。因为它说明一个变化已经开始发生了:工具是否“适合 AI 使用”,正在反过来影响人类自己的工具选择。

以前我们评价一个产品,更多是问:

  • 人用起来顺不顺手
  • 界面好不好
  • 功能全不全

以后可能还得再加一条:

  • 它是不是对 AI 友好

这里说的“AI 友好”,我理解大概包括这些特征:

  • 数据结构清楚
  • 尽量使用纯文本或开放格式
  • 容易读写
  • 容易脚本化和自动化
  • 能提供稳定接口、CLI 或可调用能力
  • 迁移成本低,可审计,可回滚

从这个角度看,Obsidian 之于思源,已经不只是“编辑器偏好”的区别,更像两种基础设施思路的区别。前者更接近一个可以进入 AI 工作流的知识库,后者则更像一个主要面向人类交互的封闭应用。

而这恰恰也能解释,为什么我会觉得 OpenClaw 这类产品重要。它们逼着我们重新看一遍软件:未来的产品,不只是给人点点点的,也越来越需要能被 agent 稳定理解、调用和编排。

我对它的结论

如果从“今天适不适合所有人安装”这个角度看,我的答案是偏保守的:不适合。它的能力边界、安全模型和运维要求,决定了它现在更像高级玩家和开发者的工具,离普通用户可以放心托付的数字管家还有距离。

但如果从“它是不是一个重要信号”这个角度看,我的答案是明确的:是,而且非常重要。

它说明一件事已经开始发生了:AI 产品的竞争,不会只停留在模型排行榜和聊天体验上,而会逐渐进入另一层更硬的竞争:

  • 谁能真正拿到系统入口
  • 谁能安全地执行动作
  • 谁能管理长期记忆和权限
  • 谁能把工具、设备、渠道和工作流编织成一个持续运行的代理

OpenClaw 不一定会成为最后的赢家,但它很可能会被记住为一类产品的起点。它把大家从“AI 会说什么”往前推了一步,逼着我们开始认真讨论“AI 能做什么,以及它做错了谁来负责”。

这恰恰也是我觉得它最有价值的地方。

参考资料:OpenClaw GitHub / OpenClaw Docs: Plugins / Silicon Valley’s latest AI fixation poses early security test | Axios / 关于防范 OpenClaw 开源 AI 智能体安全风险的预警提示 | 工业和信息化部网络安全威胁和漏洞信息共享平台 / ‘A human-chosen password doesn’t stand a chance’: OpenClaw has yet another major security flaw | TechRadar / OpenClaw Flaw Enables AI Log Poisoning Risk | eSecurity Planet

本站用的 Hugo 主题:yukikaze
AI 时代,程序员应该往哪里去
回到顶部