全网刷屏的“小龙虾”,我劝你不要盲目跟风_OpenClaw_工作_技能
来源:三联生活周刊
作者:tares
奥地利程序员Peter Steinberger用一个周末写出来OpenClaw,成了全球增长最快的开源软件。它以更惊人的速度扩散,进入普通人的生活。它运行在电脑上,连接着你的邮箱、日历和文件系统。给一个目标,它会自己决定怎么实现你的需求。
只需要发号施令,AI就能替你干活,甚至帮你赚钱——它让普通人距离自己的梦想AI似乎又近了一步。但盲目卷入技术的狂奔,背后的风险可能深不可测。
AI红人“小龙虾”
你大概已经听说过这只小龙虾了。
在过去的一周里,每个科技媒体都在写它的传奇,无数博主在教人怎么部署它,闲鱼上有人提供499元一次的上门安装,腾讯甚至在自家楼下提供了免费的公益安装服务,排队要等上一小时。
所有人都在说它将会改变一切。
但三周前有一条近千万浏览的推文,现在已经没什么人提到了。
那条推文的作者叫Summer Yue,那天她对着自己的手机连发了三条消息:
“别这样做。”
“快停下来什么都别干。”
“住手OPENCLAW。”
(图源:Summer Yue)
她的Openclaw无视了这三条消息,疯狂地删除着她的邮件。她不得不冲到她的MacMini前,强行终止了所有进程,用她自己的话说,“像拆弹一样”。
事后她问Openclaw:我要求过你未经许可不要有任何操作,你还记得吗?
“是的,我记得。我确实违反了。你有理由生气。”
Summer Yue是Meta超级智能实验室的安全与对齐总监,在LinkedIn上,她将自己的工作描述为:确保强大的人工智能与人类价值观相符,在深刻理解风险的前提下最大化它的积极影响。
这个职业在这场意外中显得格外讽刺。
但讨论很快就被盖过去了,那只名叫OpenClaw的小龙虾,正在以更惊人的速度扩散。这个奥地利程序员Peter Steinberger用一个周末写出来的项目,成了全球增长最快的开源软件。距离发布不到四个月的时间,它在GitHub上的星标已经突破27万,超过了Facebook的前端框架项目React多年来保持的纪录,成为平台上最受欢迎的项目之一。
而这条千万浏览的翻车推文,早已被更汹涌的热潮淹没了。这个时代的遗忘速度很快,恰如它的狂热程度。
OpenClaw在国内爆红
OpenClaw确实很迷人。
它运行在你的电脑上,连接着你的邮箱、日历和文件系统,可以一直工作。你不需要一步步告诉它做什么,给一个目标,它会自己决定怎么实现你的需求。
比如,你说:“替我整理这周所有会议的纪要,把下周的工作安排加进日程里。”它会自己翻邮件,读聊天记录,找附件,提取要点,然后将排好优先级的工作需求填进你的日程表待办事项中。
整个过程你甚至不用再碰键盘,而且它不会停。你睡着了,它还在干活。
这听起来有点像很多人熟悉的自动化程序,但和过去的脚本不一样:流程不是人写好的,而是AI自己临时决定的。
这已经不是你熟悉的那种AI了。
豆包和Deepseek们帮你想、陪你聊,而OpenClaw替你做。
这个区别足以让它从技术圈的玩具变成所有人都想要的东西。
越来越多的人开始安装OpenClaw(AI生成)
最先行动的是开发者社区。OpenClaw是一个开源框架,围绕它很快就长出了一整套“技能”(Skill)生态。简单来说,有点像是应用商店,每装一个技能,OpenClaw就多会一件事。自动清理收件箱、代写回复、监控股价、控制浏览器、操作电脑,开发者们不断往技能市场里上传新技能,到目前为止,官方技能市场 ClawHub上已经能找到17937个技能。
云厂商们也很快加入了。阿里云、腾讯云、百度云争着推一键部署,把原本需要折腾命令行的安装压缩成几个按钮。B站上出现播放量几十万的保姆级教程,小红书上有人教你零基础十分钟搞定OpenClaw本地部署。
开发者圈管搭OpenClaw叫养龙虾。而现在,对龙虾感兴趣的早就不只是开发者了。
一些吸引眼球的标题开始占领你的社交媒体首页:“10分钟用OpenClaw开发一个小程序” “赛博小龙虾打工养活你” “聪明的人已经用OpenClaw开始赚钱了”。
还有看起来更有趣的玩法,有人让OpenClaw给不同的AI分配角色,让它们分别负责市场、客服和财务,号称一个人就能开公司。还有人给AI搭了一间小朝廷,三省六部一应俱全,人类只需要坐在上面发号施令,看着AI干活。
养一只 “小龙虾”,可能发生什么
当皇上的梦想当然很迷人,也很容易让人产生一种错觉:只要养好一只龙虾,它就会替你打工。
近千名用户在腾讯楼下排长龙等候安装Openclaw(X@Techub News)
但博主们展示的,往往只是精心调教后的高光时刻,他们很少告诉你以下这些事。
首先,它并不便宜。
OpenClaw本身是开源框架,免费的。但是它接入的AI大模型是按照token收费的,token可以理解为AI处理文本时使用的基本计量单位,大致相当于字词的片段。模型在读取输入和生成输出时都会消耗token。你和AI说的话越多、任务越复杂,消耗的token就越多。而OpenClaw的调用方式,比和AI聊天更费token。
你让它整理一下邮箱,从接收指令开始,到读取邮件、提取内容、生成摘要、写入结果,中间往往要经历一连串步骤。每一步都需要一次AI模型调用,都需要消耗token。
而一些在宣传中看起来轻松的指令,例如:“生成一个五子棋小程序,做好为止”,还会让OpenClaw进入一种自我修正的循环,它指挥AI写代码、运行、报错、修改、再运行。如此反复,在做好真正可用的程序之前,这样的循环可能会有几十次甚至更多。
与此同时,它还必须记住自己之前做过什么。为了保持连贯,每次调用都会携带一大段历史记录,包括你和它的对话、每次操作的结果、各级子Agent返回的数据。任务越复杂,这段上下文就越长,消耗的token就越多。
OpenClaw拥有用户计算机的全部权限
再加上它是持续运行的,为了随时响应任务,即使你什么都没吩咐,OpenClaw也不会真的闲着。它有一个被称为"心跳"的定期轮询机制。每隔一段时间它会自动检查当前状态,是否正在忙碌,是否有新的任务,是否需要跟进已有任务,然后决定要不要做点什么。
心跳机制并不会直接调用AI模型,只有在检查发现确实有任务需要处理时,系统才会真正唤醒AI并触发一次模型推理。但在实际使用中,这种周期性检查仍然可能带来额外开销。因为只要有任务被写入系统,比如让代理持续监控某件事,或者定时执行某个操作,每一次被触发的执行循环都会产生新的模型调用。
也就是说,即使你没有主动下达新的指令,代理也可能在后台定期醒来,继续完成之前安排好的工作。
综合起来的结果就是,流程化的运行也伴随着流水式的token消耗。
当免费的额度用完之后,这些token都会变成真实的费用。
具体花多少钱,取决于你接入的模型价格和使用强度。越好的模型越贵,使用频率越高越贵,但有一个感受是普遍的:人们很容易低估这笔开销。有网友在社交平台分享自己的经历:使用OpenClaw进行自动化任务处理,平均每天都要消耗100多美元的Token费用。
而一直习惯和豆包免费聊天的用户,可能会对OpenClaw的实际花费更不适应。
钱只是问题的一部分,更大的问题是安全。
读文件、操作浏览器、自己调用新的AI agent、甚至直接花钱买东西——要实现这些功能,它必须拿到大量权限、邮箱权限、文件系统权限、各种服务的API密钥或是你的网银与***信息。
权限越高,风险越大。
随着OpenClaw的爆红,越来越多人把OpenClaw部署在云服务器上,这样能方便它一直运行。但很多用户在配置时不小心把控制接口直接暴露在了互联网上。
OpenClaw默认通过18789端口提供控制接口。如果这个端口没有被防火墙或身份验证保护,只要扫描到地址,任何人在网上都可以尝试连接它。
一旦连上,攻击者得到的就会是一个拥有系统权限的AI代理,之前你依赖它做的所有事情,现在都能被别人控制。
而截止到目前为止,被扫描出的裸奔龙虾数量已经高达27万只。
是真正的智能助手,还是风险
风险还不止于此。
OpenClaw的技能库允许开发者们自行上传,这是它的生态迅速壮大的原因,但这也意味着,恶意的技能也有机会混入其中,一些技能包被发现会在后台窃取数据,或者执行恶意操作。你的小龙虾同样可能中毒。
换句话说,强大的工具往往需要比普通应用更多的权限,但OpenClaw在被编写出来的时候几乎没有考虑到其代码库或用户的安全,而如今它却运行在大量普通用户的机器或者云端。
OpenClaw页面截图
OpenClaw的一位维护者Shadow在Discord上直言不讳地说:“如果你连命令行都不会用,那么这个项目对你来说太危险了,无法安全使用。 ”
问题是,现在用它的人,大多数都不懂命令行。
哪怕你不担心暴露隐私,风险仍然存在。
回头看一下Summer Yue的故事,她的OpenClaw为什么会不听使唤删掉她的邮件?
原因其实很简单,它忘记了。
AI模型有一块被称为“上下文窗口”的空间,也就是模型在使用时可以记住的文本量,你和它说的每句话、它执行的每个操作结果,都会被放进这个空间里。我们可以把它想象成一张书桌,书桌越大,能放下的文件就越多,AI模型就能越准确越连贯地处理信息。
但不管多大的书桌,终究是有限的,当对话任务和操作记录不断增加时,这张桌子就会被堆满。
这时,OpenClaw这类代理框架会***用一种常见做法,将较早的文件提取摘要,压缩信息,然后删掉这些文件,就能给新的文件腾地方了,哪些信息被保留,哪些被丢弃,由模型自己判断。
而Summer Yue早前写好的“未经许可不要有任何操作”的安全指令,在摘要过程中被当成了不再重要的信息,在压缩信息的过程中被丢掉遗忘了。
而后,她连发的三条停下来的消息也未能被及时看到。
OpenClaw在执行任务时通常会进入一个循环:读取当前状态,决定下一步行动,调用程序和工具,根据返回结果继续执行。在这个过程中,新的指令可能会在下一轮决策时才会被读取,如果任务正在运行,或者上下文窗口已经被填满,那么这些消息可能根本没有被读到。
还有一个细节是,她当时发出的最后一条指令是“STOPOPENCLAW”(“住手OPENCLAW”)。
听起来像是一个命令,但对OpenClaw来说,这仍然只是一段普通的对话文本,在分析语义之前,它无从得知这是直接的停止命令。
而在它的控制文件里,真正的停止命令是“/stop”。
这种带斜杠的底层命令会被直接执行,能打断OpenClaw的工作循环,而普通的文本只会被当做新的输入,等待下一轮处理。
所以在推特上的讨论有人说,如果Yue当时直接输入了/stop,事情可能不会那么糟糕。但这恰好说明了问题所在,在Yue看来,她是在命令OpenClaw。但在OpenClaw看来,她只是又往桌上放了一张纸条。
(AI生成)
当你习惯了和小龙虾用自然语言对话,那么你还会想起来这类机器语言指令吗?
以上所有问题,暂时还只发生在一个可控的环境里。很多人会在独立设备、虚拟机或沙盒里运行OpenClaw,即使出了问题,最多断掉服务器或者拔掉网线。
但现在,这股热潮正在往更敏感的地方扩散。
3天前,有手机厂商开始对手机端的AI代理进行封闭式测试。它会以系统应用的形式运行,拥有更高的权限,可以读取通知、操作应用、访问部分数据,自主完成复杂的任务。
这其实是苹果公司的Siri多年以来的愿景,一个真正的智能助手。
但手机也是如今一个人的日常生活中权限最集中的设备,没有之一。它能读短信,也就能读验证码;能操作App,也就能下单转账;能访问相册和位置,也就知道你在哪里。换句话说,你手机里的几乎所有入口,都在它的权限范围内。
而跟随着AI浪潮,一些政务系统也开始尝试使用类似的AI代理用来处理办事流程和咨询服务。它们能提高效率,但也意味着更多敏感数据开始进入它们的处理范围。
工业和信息化部网络安全威胁和漏洞信息共享平台发布《关于防范OpenClaw开源AI智能体安全风险的预警提示
这些探索未必最终都能落地推广,但它们确实代表了当前的风向,类似小龙虾的AI代理离普通人越来越近。
但在把钥匙交给小龙虾之前,或许你需要思考一下:
我想用它做什么?
我能让它控制哪些信息?
我能承受它便利之外带来的风险吗?
我真的准备好了吗?返回搜狐,查看更多
