2026 开年,OpenClaw(曾被称为 Clawdbot 及 Moltbot)作为一款在本地运行的开源 AI 代理框架,展现出了病毒般的影响力,在其发布的短短数周内在 GitHub 上以几乎垂直的增长曲线积累 220k+ stars。
相较于传统 Claude Code/Codex 这类 coding agents,OpenClaw 在不以特定项目代码为 context 核心、而是在跨项目、跨会话的不断交流中构建通用「记忆(memory)」并以此为灵魂和大脑。甚至专门有 SOUL.md 来左右 OpenClaw 性格。除了大脑,OpenClaw 的手脚──其掌握的工具和技能──除了通过 agent skills 赋予告知,也能自我发掘尝试和创建脚本迭代,甚至 Claude Code/Codex 这类 coding agents 本身也能被它当成工具来调用。
除了围绕长短记忆的巧妙设计、入口(即时通讯软件)的亲民属性,OpenClaw 势必也在推理与行动的代理循环机制有着更 AI native 的实践,从而使其展现出了极高的执行力──能够自主阅读系统错误日志以诊断持续集成和持续部署(CI/CD)流程的失败原因、通过语音合成软件直接致电餐厅预订座位、管理日历,甚至在极短的时间内自动在本地机器上编写并部署一个功能完备的看板应用程序。
从现在回过头看,AI agent 在发展过程中一步一步攫取更大的权限。从最初 tab 补全的读写特定文件,到后来 coding agents 的 shell 执行能力,再到现在 OpenClaw 这类本地 agent 框架的浏览器会话劫持以及对于本机应用程序的深度、无限制访问权限。人类用户在享受 AI agent 带来的便利的同时也让渡了更多的控制权。
在上述 OpenClaw 分析中,无论是记忆抑或是技能都是以 markdown 格式维护的文档,而驱动 agent 的 LLM 是否严格文档并没有硬约束,更何况这些文档很大程度上还是 agent 自己维护的。Agent 层面更少的约束在 LLM 愈发强大的背景下有获取更强大能力的可能性,但同时意味着更大的安全风险,上述所有让 agent 能力提升的方面都可能成为受攻击面。Meta、Massive、Valere、Naver 截止本文写作时均禁止内部使用 OpenClaw。
这节标题除了想表达 OpenClaw 的病毒式传播,也提醒同类 AI agents 可能成为潜在的计算机病毒。
我目前还是只敢在 Docker 内有限尝试 OpenClaw,需求也不超出编写代码范畴,更多的不一样可能是从以前我自己研究 What、Why 后让 coding agents 来帮我实现 How 到现在让 OpenClaw 一定程度参与前期的 What 和 Why 步骤并自行迁移。