赛迪研究院最新报告揭示：一款开源AI Agent平台84天突破20万星标，增速超Kubernetes 18倍，却同时暴露高危漏洞、供应链攻击等致命隐患

2025年11月，奥地利开发者Peter Steinberger发布了一款名为OpenClaw的开源自主AI Agent平台。谁也没有料到，短短84天内，它便突破了20万GitHub星标，成为开源软件史上增长最快的项目。截至2026年2月底，星标数已超23.6万，仅次于React，位列GitHub第二大软件项目——而它的创始人，仅是一名个人开发者。

这一现象级爆火的背后，远不止一个技术工具的走红。赛迪研究院在最新一期《未来产业研究》中明确指出：OpenClaw的崛起，深刻折射出“个人智能代理时代”正加速到来——AI正从对话交互迈向自主行动，从辅助工具升级为代理执行。

然而，光鲜的数据之下，安全漏洞、供应链攻击、监管真空等“定时炸弹”也已全面暴露。本文将带你深度拆解这份长达24页的重磅报告，读懂AI Agent的机遇、陷阱与中国对策。

一、OpenClaw是什么？为什么它能火？

OpenClaw是一款运行于用户本地设备的自主AI Agent平台。与传统聊天机器人的“你问我答”不同，它能够自主完成多步骤任务：管理邮件、调度日历、执行文件操作、运行Shell命令、浏览网页……甚至集成可穿戴设备和智能家居。

它的核心技术差异化在于：从“对话式AI”转向“行动式AI”。用户通过日常使用的即时通讯工具（如Telegram、WhatsApp、iMessage）与Agent交互，Agent则在后台自主执行任务。

据官方统计，用户通过OpenClaw实现邮件分拣、社交媒体管理、客户跟进和报告生成等自动化，平均每周可节省10小时以上工作时间。有小型茶叶企业甚至用它运营整个业务流程——订单处理、库存管理、客户沟通，每周节省超20小时。

二、命途多舛的命名史：三次更名，一次比一次刺激

OpenClaw的诞生并非一帆风顺。2025年11月，Steinberger以“Clawdbot”为名发布初始版本。2026年1月26日，因Anthropic公司法务团队认为“Clawd”与他们的AI模型“Claude”发音过于相似，项目被迫更名为“Molbtot”（取龙虾蜕壳生长之意）。

仅仅3天后，项目再次更名为“OpenClaw”——新名称更能体现开源社区驱动的本质，且商标与域名完全清晰。三次更名虽未改变核心代码，却引发了供应链安全隐患：包名变更导致npm等管理器上出现大量仿冒包，攻击者利用命名混淆实施加密货币诈骗，涉案金额约1600万美元。

自2026年1月30日正式定名后，项目进入稳定发展期。

三、极速增长的背后：技术架构的四大创新

OpenClaw凭什么能跑赢一众老牌框架（AutoGPT、CrewAI、LangChain）？赛迪研究院梳理了其四大核心技术亮点。

1. Hub-and-Spoke架构：解耦接口与智能

以Gateway为中心，将消息接口层与AI推理层高度解耦。Gateway作为一个长时运行的Node.js进程，同时管理WhatsApp、Telegram、Slack、Discord、Signal等多个平台的连接，实现亚秒级消息投递和持久连接。

2. Lane Queue机制：解决并发可靠性难题

这是OpenClaw实现生产级可靠运行的核心。通过按会话串行化执行，避免多个Agent实例同时处理同一会话导致资源争用、状态不一致。被开发者社区评价为“大多数Agent框架所缺乏的核心可靠性模式”。

3. SOUL.md配置系统：用Markdown定义Agent人格

这是OpenClaw的“宪法文件”。用纯Markdown格式定义Agent的持久身份、性格和价值观——比如“直接、幽默、低容忍度”“不使用企业客套话”“准确性优先于速度”。每次Agent启动推理循环时，首先加载SOUL.md，确保行为一致。

4. 模型无关设计：从云端到本地全栈部署

支持Claude、GPT-4、Grok等云端模型，也可通过Ollama、vLLM完全运行本地模型。用户可根据成本、隐私和性能灵活切换底层推理引擎。本地部署可完全消除API调用成本，并确保专有数据不离开设备。

四、生态体系：技能市场、多平台集成与商业化探索

ClawHub：AI Agent领域的npm

OpenClaw的官方技能注册平台ClawHub已收录超过5700项社区技能，覆盖生产力、开发、自动化、智能家居等11个类别，累计下载量超150万次。提供基于向量的语义搜索，用户可通过自然语言查找所需技能。

覆盖12类以上即时通讯平台

包括WhatsApp、Telegram、iMessage、Signal、Discord、Slack、Microsoft Teams、Google Chat等。值得关注的是，2026年2月发布的新版本首次加入了对飞书（Feishu）和Lark的支持，标志着OpenClaw开始向中国市场及亚太地区延伸。

商业化探索：ClawHQ企业级平台

ClawHQ提供5分钟引导式部署、Agent状态仪表盘、实时成本追踪与预算预警。目前处于开放测试阶段，支持最多3个Agent免费使用。此外，OpenClaw还推出了移动端伴侣应用（Android、iOS），可将手机的摄像头、麦克风、屏幕作为Agent的工具暴露。

机器人控制与区块链集成

独立开发者已将OpenClaw连接至物理硬件，通过Telegram或WhatsApp发送自然语言指令控制机器人运动。区块链集成方向则让AI Agent自主发起和管理链上交易——但这在现行金融监管框架下，法律主体和责任归属仍是未解难题。

五、创始人Peter Steinberger：从创业者到OpenAI“天才”

OpenClaw的创始人Peter Steinberger是奥地利籍资深开发者。在创建OpenClaw前，他有13年企业级产品经验，曾创办PSPDFKit公司，客户涵盖Apple、Dropbox、DocuSign、SAP等，产品覆盖近10亿台终端设备。2021年，Insight Partners以1.16亿欧元投资PSPDFKit。

在经历长达3年的职业倦怠后，Steinberger于2024年底重返技术领域，推出了OpenClaw。他提出“代理工程”概念，与流行的“氛围编程”形成鲜明对立：“真正的代理工程需要理解上下文窗口限制、为Agent导航优化代码库结构、并维持严格的反馈循环。”

2026年2月15日，Steinberger宣布加入OpenAI。Sam Altman称其为“天才”，将负责“推动下一代个人Agent的开发”。OpenClaw转入独立开源基金会运营，OpenAI提供资金支持但不直接控制项目方向。

然而，创始人的离开也带来了现实挑战：截至2026年2月，项目积压超过3500个Pull Request和9100余个Issue，核心架构师steipete一人贡献了10270次代码提交，社区对后续维护能力的可持续性存在担忧。

六、安全风险：光鲜下的致命隐患

高危漏洞CVE-2026-25253

这是一个高危远程代码执行漏洞，CVSS评分8.8。攻击者可通过控制gatewayUrl参数注入恶意WebSocket连接地址，实现一键式远程代码执行。更严重的是，安全防护机制（沙箱隔离、执行审批）通过同一套API管理，攻击者一旦获取认证令牌，可关闭安全控制而非突破安全屏障。

安全专家评估认为：OpenClaw的安全问题并非单纯的补丁可修复——一个拥有广泛系统访问权限且处理不可信外部内容的工具，在架构层面只能被遏制而难以被完全加固。

大规模公网暴露进一步放大了危害。安全审计数据显示，93.4%的公网暴露OpenClaw实例存在认证绕过漏洞，公网可访问的实例数量在4万至13.5万之间，且暴露率呈上升趋势。

技能市场供应链攻击

2026年2月13日，安全研究团队报告在ClawHub审计的2857项技能中发现341项含有恶意代码（占比约12%），另有283项存在关键安全缺陷。恶意手段包括键盘记录、凭证窃取和API密钥泄露。事件后，ClawHub清除了约2419项可疑技能。

更名期间的命名混淆也被犯罪分子利用，实施了涉案金额约1600万美元的加密货币诈骗。

监管与责任界定完全空白

OpenClaw Agent能够在用户离线时自主管理邮件、触发金融交易、执行文件操作。当自主Agent造成损害时，开发者、平台和用户之间的责任分配面临法律空白——开发者引用开源代码免责、平台归咎于用户配置、用户归咎于AI决策，形成责任真空。

全球尚无针对自主AI Agent的专门监管框架。赛迪研究院判断，AI Agent的监管框架建设，或将成为继大模型治理之后各国科技政策竞争的新焦点。

七、未来趋势：元年已至，但安全决定天花板

个人AI Agent从极客走向主流

据Gartner预测，到2026年底，嵌入AI Agent的企业应用将从2025年的5%增长至40%；到2035年，Agentic AI将驱动30%的企业应用软件销售。2026年被业界普遍定义为**“个人Agent元年”**。

早期采用者估算，Agent可替代知识工作者50%至60%的常规性工作。但多位专家警告：在Agent安全标准建立之前的大规模部署，可能导致严重的数据泄露和不可逆操作风险。

多代理协同与主动式智能

从单一Agent到多Agent编排、从被动响应到主动感知，是明确的演进路径。OpenClaw已开始支持Agent间的会话工具协同。Heartbeat心跳机制使Agent具备主动感知能力（每隔30分钟主动唤醒，扫描邮件、日历等）。

安全治理能力决定规模化前景

OpenClaw暴露的问题具有行业共性：Agent拥有广泛系统权限、处理外部不可信输入、通过第三方技能扩展能力、以机器速度执行不可逆操作。安全框架需要涵盖基础架构安全、运行时安全、生态安全和治理安全四个层面。

Steinberger本人将OpenClaw的安全模型类比Linux而非iOS：“默认强大，通过明确的、操作者可控的路径暴露高风险功能”，而非假装绝对安全。行业需要在开放性与安全性之间找到新的平衡点。

八、对中国产业的启示：前瞻布局基础设施与治理体系

赛迪研究院在报告最后提出了五点针对性建议：

一是加快AI Agent核心技术研发。目前主流开源AI Agent平台均由海外团队主导，我国在Agent架构设计、并发控制、记忆系统等基础技术层面的自主创新能力有待强化。OpenClaw已支持飞书和Lark，显示海外平台正主动向中国市场渗透。

二是建立AI Agent安全治理框架。自主Agent的安全问题与传统软件存在本质差异，需要在认证机制、技能审核、行为边界、审计追溯等维度建立专门的治理规范。

三是率先探索Agent监管制度设计。可在《数据安全法》《个人信息保护法》等既有法律基础上，率先探索Agent行为责任界定、跨境数据流动管理和高风险场景准入等制度设计。

四是培育本土AI Agent产业生态。支持国内开发者社区建设本土化生态，鼓励在政务、医疗、教育等垂直领域开展应用试点，同时建立配套的安全评估和准入机制。

五是积极参与国际规则制定。推动建立跨境Agent行为互认和监管协调机制，在保障国家安全的前提下促进技术创新与合理应用。

结语：OpenClaw的崛起，像一面镜子，照出了AI Agent赛道的无限可能，也照出了开源社区“重创新、轻治理”的行业通病。当AI从“聊天”走向“行动”，从“建议”走向“执行”，我们迎来的不仅是效率革命，更是一场关于信任、安全与责任的深刻考验。谁能率先在创新与治理之间找到平衡，谁就能在个人智能代理时代占据制高点。

☟☟☟

☞人工智能产业链联盟筹备组征集公告☜

☝