2026年3月4日，GitHub上發(fā)生了一件讓整個(gè)技術(shù)圈集體沉默三秒的事情。

一個(gè)開(kāi)源項(xiàng)目，以28萬(wàn)Stars的成績(jī)，正式超越了Facebook用十年時(shí)間打造的React框架，成為GitHub歷史上Stars最多的軟件項(xiàng)目之一。這個(gè)項(xiàng)目從第一行代碼推送到GitHub，到超越React，總共用了不到60天。

這個(gè)項(xiàng)目叫OpenClaw。一只龍蝦。

與此同時(shí)，就在這只龍蝦剛剛超越React的幾周前，它的創(chuàng)始人Peter Steinberger已經(jīng)宣布加入OpenAI，Sam Altman親自在X上發(fā)帖為他站臺(tái)。OpenClaw的GitHub倉(cāng)庫(kù)則轉(zhuǎn)交給獨(dú)立基金會(huì)運(yùn)營(yíng)，以開(kāi)源形式繼續(xù)存在。

一個(gè)獨(dú)立開(kāi)發(fā)者做了一個(gè)開(kāi)源工具，被AI圈第一品牌的Claude打了一場(chǎng)商標(biāo)戰(zhàn)。這場(chǎng)戰(zhàn)爭(zhēng)反而讓它暴漲9.1萬(wàn)Stars，最后創(chuàng)始人在GitHub Stars還在狂飆時(shí)轉(zhuǎn)投了競(jìng)爭(zhēng)對(duì)手。這劇本，比任何科幻小說(shuō)都精彩。

但OpenClaw真正重要的地方，不是這些戲劇性的人事變動(dòng)，而是它揭示了一件更大的事：Computer Use Agent這個(gè)AI智能體品類，正在以一種所有人都沒(méi)有預(yù)料到的方式，徹底爆發(fā)了。

從Computer Use Agent說(shuō)起

OpenClaw的火爆，把一個(gè)原本只在開(kāi)發(fā)者圈子里討論的概念送進(jìn)了大眾視野：Computer Use Agent（CUA，計(jì)算機(jī)使用智能體）。

要理解CUA，得先明白之前的AI到底缺什么。

在CUA出現(xiàn)前，AI和你的交互方式是這樣的：你提問(wèn)，它回答。無(wú)論這個(gè)回答多精彩，都只停留在「說(shuō)」的層面——它沒(méi)法直接操作你的電腦，沒(méi)法打開(kāi)Excel改一個(gè)數(shù)字，沒(méi)法在瀏覽器填一張表格，更沒(méi)法點(diǎn)那個(gè)「確認(rèn)支付」的按鈕。

AI有大腦，但沒(méi)有手。

CUA，就是給AI裝上了一雙手。技術(shù)上，它就干三件事：截圖「看」清楚屏幕上有什么，搞懂各個(gè)按鈕、輸入框的位置和含義，然后控制鼠標(biāo)鍵盤去實(shí)際操作。這個(gè)循環(huán)跑通之后，AI就能像人一樣操作任何有界面的軟件：不需要對(duì)方開(kāi)API，不需要專門的插件，只要軟件有屏幕界面，CUA就能控。

ChatGPT給你列一份「如何整理郵件的十條建議」，OpenClaw直接幫你把郵件整理完。這個(gè)差距，就是從「會(huì)說(shuō)話」到「會(huì)干活」的鴻溝。

現(xiàn)在媒體報(bào)道里，「桌面Agent」「Computer Use Agent」「?jìng)�(gè)人AI助手」「PC端智能體」混著用，把很多人搞亂了。我當(dāng)時(shí)也納悶，認(rèn)真梳理了一下，其實(shí)有清晰的層級(jí)關(guān)系。

Computer Use Agent（CUA） 是技術(shù)能力的分類概念，說(shuō)的是「能通過(guò)看屏幕、操作GUI來(lái)完成任務(wù)」這種能力，不特指任何具體產(chǎn)品。

往下一層，桌面智能體（Desktop Agent） 是CUA在本地電腦場(chǎng)景的落地形態(tài)，專指部署在Windows、macOS、Linux上的智能體，以本地操作為主。OpenClaw和Claude Cowork，都是這一層的具體產(chǎn)品。

還有一個(gè)容易混的是Browser Agent（瀏覽器智能體），比如OpenAI的Operator。它只能在瀏覽器里干活，比如點(diǎn)擊并處理網(wǎng)頁(yè)上的表單、按鈕、鏈接，出了瀏覽器就沒(méi)轍了。

Desktop Agent的操作范圍是整個(gè)操作系統(tǒng)，本地應(yīng)用、文件系統(tǒng)、終端，瀏覽器只是它能控制的其中一個(gè)應(yīng)用。

關(guān)系就這么簡(jiǎn)單：CUA是大類，Browser Agent是它的子集，Desktop Agent是它在本地場(chǎng)景的完整實(shí)現(xiàn)。

除了CUA，還有這些類型

理解了CUA，有必要把整個(gè)AI Agent的物種圖譜擺出來(lái)，主要在于這些類型的Agent之間容易混淆。

Agent類型 核心能力 代表產(chǎn)品 操作域 Coding Agent 代碼生成、調(diào)試、項(xiàng)目管理 Claude Code、Cursor、GitHub Copilot 代碼倉(cāng)庫(kù) Browser/Web Agent 網(wǎng)頁(yè)操作、表單填寫、數(shù)據(jù)抓取 OpenAI Operator、Browser Use 瀏覽器 Desktop/CUA Agent 操作系統(tǒng)全控制、本地文件/應(yīng)用操作 OpenClaw、Claude Cowork 整個(gè)操作系統(tǒng) General Agent 多步驟復(fù)雜任務(wù)規(guī)劃與執(zhí)行 Manus（已被Meta收購(gòu)）、Kortix 混合域 Research Agent 深度信息檢索、分析報(bào)告生成 Perplexity Deep Research、Gemini Deep Research 互聯(lián)網(wǎng)+本地 Enterprise Agent 業(yè)務(wù)流程自動(dòng)化、CRM/ERP集成 Salesforce Agentforce、AutoGLM 企業(yè)系統(tǒng)

這六個(gè)智能體品類不互斥，很多產(chǎn)品橫跨多個(gè)域。Manus在曝出被Meta以20-30億美元收購(gòu)之前，就在做「能跨越瀏覽器、桌面、代碼、研究」的通用Agent，這也是它被高度估值的邏輯。

Coding Agent賽道，2026年初已經(jīng)卷穿了。GitHub Copilot、Claude Code、Cursor三家合計(jì)超過(guò)70%的40億美元市場(chǎng)份額，三者均已突破10億美元ARR，進(jìn)入存量競(jìng)爭(zhēng)階段。

Desktop/CUA Agent呢？還是一片藍(lán)海。OpenClaw從零沖到28萬(wàn)Stars，說(shuō)明的不只是一個(gè)工具的流行，而是一個(gè)品類需求長(zhǎng)期積壓后的集中爆發(fā)。

為什么偏偏是這個(gè)時(shí)間節(jié)點(diǎn)

這是個(gè)值得認(rèn)真回答的問(wèn)題。CUA這個(gè)想法早就有人做過(guò)，但一直沒(méi)起來(lái)。2025-2026年為什么突然炸了？

說(shuō)穿了不復(fù)雜，但幾個(gè)因素恰好撞在一起了。

最底層是模型能力。CUA的關(guān)鍵難點(diǎn)是AI要準(zhǔn)確「看懂」屏幕截圖，一個(gè)按鈕識(shí)別錯(cuò)位置，操作就廢了。早期多模態(tài)模型在這方面根本不夠用。Claude 3.5 Sonnet和GPT-4o的視覺(jué)理解，才終于把操作精度推到了「能用」的門檻以上。這不是小事，這是CUA能跑起來(lái)的物理前提。

然后Anthropic在2024年10月打開(kāi)了這扇門。發(fā)布Computer Use公測(cè)API，Claude 3.5 Sonnet成為第一個(gè)提供CUA能力的前沿模型，開(kāi)發(fā)者可以通過(guò)API控制Claude查看屏幕、移動(dòng)光標(biāo)、點(diǎn)擊按鈕。

這個(gè)API本身是開(kāi)發(fā)者向的，但它發(fā)出了一個(gè)明確信號(hào)：技術(shù)可行，大廠愿意開(kāi)放。

配套生態(tài)也到位了。MCP（Model Context Protocol）標(biāo)準(zhǔn)化了模型與工具的接入，ClawHub這樣的技能市場(chǎng)讓OpenClaw能一鍵擴(kuò)展功能。表面上看MCP和CUA是兩條獨(dú)立的技術(shù)線；拉長(zhǎng)時(shí)間軸來(lái)看，這些都是在為「真正能干活的Agent」鋪路。沒(méi)有這些基礎(chǔ)設(shè)施，OpenClaw就是一座沒(méi)有供水管道的樓。

商業(yè)可行性是OpenAI的Operator在2025年初驗(yàn)證的。WebVoyager 87%成功率，OSWorld 38.1%，WebArena 58.1%，均是當(dāng)時(shí)最優(yōu)基準(zhǔn)成績(jī)。Operator證明了一件事：CUA不只是技術(shù)實(shí)驗(yàn)，它可以做成產(chǎn)品，而且有人愿意付錢。

所有的鋪墊都到位了，就等一個(gè)引爆點(diǎn)。結(jié)果這個(gè)引爆點(diǎn)不是來(lái)自Anthropic，不是來(lái)自O(shè)penAI，而是來(lái)自一個(gè)奧地利獨(dú)立開(kāi)發(fā)者和他的開(kāi)源龍蝦。Anthropic沒(méi)想到的是，引爆Computer Use Agent賽道的，是它親手推了一把的那個(gè)開(kāi)源項(xiàng)目。

但，徹底引爆的市場(chǎng)不在龍蝦的發(fā)源地，而是在國(guó)內(nèi)。其中一個(gè)重點(diǎn)在與，國(guó)內(nèi)市場(chǎng)的大模型廠商們目前急需找一個(gè)繼AI漫劇之后的第二個(gè)token消耗市場(chǎng)，燃燒token換取收益，抵消在大模型上的巨額投資。而這只龍蝦，算是來(lái)得及時(shí)。

年前看漫劇，年后看龍蝦。而背后，都是大模型瘋狂輸出的token。

如果這只龍蝦以后能夠出現(xiàn)在企業(yè)、組織運(yùn)行的各個(gè)角落，能夠成為每個(gè)人的AI助理，將會(huì)燃燒多收token，那就是什么樣的TPD（token per day，每日token消耗量），值不值得所有領(lǐng)域?yàn)橹汞偪�？�?huì)不會(huì)拉動(dòng)經(jīng)濟(jì)？

于是，技術(shù)商、大模型、云計(jì)算、GPU、終端設(shè)備（MACmini等）、服務(wù)、電力、一二級(jí)市場(chǎng)、投研、政策、組織……

全都下場(chǎng)，產(chǎn)業(yè)鏈上下游都是token的味道。

就以云計(jì)算而言，這只已經(jīng)被炒作為「無(wú)所不能」的龍蝦，讓本來(lái)面向B端的云服務(wù)搖身變成了C端服務(wù)，那么多人第一次因?yàn)辇埼r有了自己的至少幾十元的云服務(wù)器。對(duì)，至少還得加購(gòu)一個(gè)10元以內(nèi)的coding plan套餐，雖然全力開(kāi)干用不了幾天。

每只龍蝦身后，要么是一臺(tái)本地設(shè)備，要么是一臺(tái)云服務(wù)器。但最終決定它命運(yùn)的，還是燃燒的token。死或生，取決于它的主人是否繼續(xù)充值。

關(guān)于OpenClaw經(jīng)濟(jì)，我會(huì)在另一篇文章中跟大家探討。

兩條路線：Claude Cowork與OpenClaw的本質(zhì)分歧

2026年1月，Anthropic發(fā)布了Claude Cowork，定位是「面向普通用戶的桌面Agent研究預(yù)覽版」。幾乎同期，OpenClaw正在以每天1667顆Stars的速度狂飆。兩個(gè)產(chǎn)品撞上了同一條賽道，但背后是兩種完全不同的哲學(xué)。

走的是巨頭的產(chǎn)品化路線。內(nèi)置于Claude桌面客戶端，目標(biāo)是讓非程序員通過(guò)自然語(yǔ)言完成復(fù)雜的多步驟任務(wù)，強(qiáng)調(diào)穩(wěn)定、安全、可控。有個(gè)細(xì)節(jié)值得一提：整個(gè)Cowork應(yīng)用本身就是由Claude Code在約兩周內(nèi)自主寫完的。這既是個(gè)出色的模型（產(chǎn)品）能力演示，也隱約透露出Anthropic的產(chǎn)品自信：你的AI同事，是另一個(gè)AI造出來(lái)的。

OpenClaw是另一套玩法：開(kāi)源、透明、高自由度，支持接入幾乎任何LLM，ClawHub技能市場(chǎng)可以類比Chrome Extension Store，用戶想改什么就改什么。最關(guān)鍵的一點(diǎn)，它把系統(tǒng)權(quán)限開(kāi)放到了最高級(jí)別，能執(zhí)行終端命令、訪問(wèn)文件系統(tǒng)、操作本地應(yīng)用，給AI一個(gè)管理員賬號(hào)，讓它自己看著辦。

這一步讓OpenClaw的自主能力遠(yuǎn)超市面上那些在沙盒里謹(jǐn)慎運(yùn)作的同類產(chǎn)品，技術(shù)圈一度稱之為「桌面Agent里的AGI表現(xiàn)」�？鋸埵强鋸�，但說(shuō)明了一件事：OpenClaw的顛覆不是模型更聰明了，而是權(quán)限放開(kāi)了。本質(zhì)是智能體在PC上的權(quán)限突破，不是智能突破。

Anthropic不是不能做這件事，是在當(dāng)前階段不敢做。這不是技術(shù)問(wèn)題，是責(zé)任問(wèn)題。一個(gè)開(kāi)源項(xiàng)目可以對(duì)用戶說(shuō)「你知道自己在干什么」，出事了是用戶的鍋；一個(gè)面向企業(yè)的商業(yè)產(chǎn)品，一旦有安全事故，砸的是整個(gè)公司的聲譽(yù)和法律責(zé)任。

Claude Cowork是Anthropic官方給你配的「AI同事」，OpenClaw是開(kāi)源社區(qū)給你的「萬(wàn)能遙控器」。 前者的核心價(jià)值是「穩(wěn)」，后者的核心價(jià)值是「能」。兩者都在「桌面入口」這個(gè)位置上搶地盤，短期內(nèi)分歧不會(huì)消失。已經(jīng)有Kuse Cowork等項(xiàng)目在嘗試融合兩者的思路，能不能成，走著看。

為什么OpenClaw沒(méi)有誕生在中國(guó)

這個(gè)問(wèn)題，OpenClaw火起來(lái)之后國(guó)內(nèi)AI圈討論得挺熱鬧的。這里也說(shuō)說(shuō)我的看法，不一定對(duì)。

最直接的原因是底層模型的差距。Computer Use Agent對(duì)視覺(jué)理解能力要求極高。AI要準(zhǔn)確識(shí)別屏幕上的UI元素，國(guó)產(chǎn)模型在多模態(tài)視覺(jué)這方面與OpenAI和Anthropic仍然有差距，沒(méi)有足夠強(qiáng)的底層模型，很難構(gòu)建出這個(gè)量級(jí)的工具。這是技術(shù)現(xiàn)實(shí)，不是貶低，是現(xiàn)狀。

生態(tài)土壤也不一樣。OpenClaw能在60天內(nèi)積累25萬(wàn)Stars，離不開(kāi)GitHub、Hacker News、X、Reddit這套開(kāi)源社區(qū)傳播機(jī)制。這套基礎(chǔ)設(shè)施，國(guó)內(nèi)天然受限，不用多解釋。

可能還有更深層的原因，是產(chǎn)品心態(tài)。OpenClaw的核心不是算法上有什么創(chuàng)新，而是一個(gè)大膽的架構(gòu)決定：直接把權(quán)限開(kāi)到最高，讓AI真正自主控制電腦，問(wèn)題以后再說(shuō)。這種「先放出來(lái)、安全問(wèn)題走一步看一步」的黑客思路，在國(guó)內(nèi)的創(chuàng)業(yè)環(huán)境和監(jiān)管背景下，會(huì)被各種顧慮自然地壓制掉。

國(guó)內(nèi)AI Agent團(tuán)隊(duì)大多數(shù)在解決同一個(gè)問(wèn)題：怎么在有限權(quán)限下盡可能有用，同時(shí)保證合規(guī)。

這是正確的，但也注定不容易出現(xiàn)OpenClaw。

龍蝦安裝和第148個(gè)微信群

OpenClaw配置復(fù)雜，API Key申請(qǐng)、環(huán)境配置、權(quán)限設(shè)置，一關(guān)一關(guān)得過(guò)。

Perplexity CEO Aravind Srinivas公開(kāi)說(shuō)過(guò)，OpenClaw「took our own engineers a long time to set up」。他們自己的工程師配置起來(lái)都費(fèi)勁。就為了解決這個(gè)問(wèn)題，Perplexity做了一個(gè)「人人可用的OpenClaw」版本叫Computer，口號(hào)是「Even your mom can text on the app and delegate tasks」。

哈哈哈，連媽媽都能用，你就說(shuō)還有誰(shuí)不能用。這是廣告打得再好，龍蝦仍然是個(gè)面向開(kāi)發(fā)者的開(kāi)源項(xiàng)目，普通人用不好。

OpenClaw沒(méi)有誕生在中國(guó)，但國(guó)內(nèi)早已玩出了新花樣。正是因?yàn)樗鼘?duì)普通用戶來(lái)說(shuō)有相當(dāng)高的門檻，所以催生了一批服務(wù)：上門安裝、遠(yuǎn)程配置、付費(fèi)培訓(xùn)，一條產(chǎn)業(yè)鏈，活得相當(dāng)滋潤(rùn)。據(jù)說(shuō)有人單是上門安裝，已經(jīng)月入上百萬(wàn)。這個(gè)海量需求，甚至還催生了OpenClaw上門安裝中介平臺(tái)。

國(guó)人向來(lái)有把技術(shù)門檻變成商業(yè)機(jī)會(huì)的本事�！庚埼r上門安裝」「龍蝦教學(xué)」這樣的詞，在國(guó)內(nèi)AI圈早已是炙手可熱的專有名詞。

騰訊更是以一場(chǎng)「OpenClaw免費(fèi)安裝服務(wù)」展現(xiàn)了當(dāng)前OpenClaw的絕對(duì)流量，廣場(chǎng)排起長(zhǎng)隊(duì)，幾小時(shí)內(nèi)就有數(shù)百個(gè)OpenClaw被部署到騰訊云服務(wù)器。深圳新聞網(wǎng)報(bào)道了這一盛況，馬化騰轉(zhuǎn)發(fā)朋友圈：沒(méi)想到會(huì)這么火。

我自己也用騰訊云輕量應(yīng)用服務(wù)器部署了一只龍蝦，掃碼進(jìn)入官方交流群的時(shí)候，已經(jīng)是第148個(gè)群了。

148個(gè)群，你感受一下這個(gè)流量后面的熱度。

這背后說(shuō)明的事很簡(jiǎn)單：CUA的市場(chǎng)需求是真實(shí)的，壓抑已久的，現(xiàn)在終于有了一個(gè)出口，哪怕這個(gè)出口還粗糙、還危險(xiǎn)，人照樣往里擠。

Computer Use Agent能干什么

概念說(shuō)完了，說(shuō)點(diǎn)實(shí)際的。

對(duì)個(gè)人用戶來(lái)說(shuō)，CUA最直接的價(jià)值是把那些「要跨好幾個(gè)軟件才能完成」的重復(fù)操作自動(dòng)化掉。每天早上把昨天的銷售數(shù)據(jù)自動(dòng)匯總進(jìn)Excel、生成日?qǐng)?bào)發(fā)出去；把PDF里的表格數(shù)據(jù)批量導(dǎo)入另一個(gè)系統(tǒng)；幫你在十幾個(gè)平臺(tái)上比價(jià)做購(gòu)物決策。

這些事的共同特點(diǎn)是規(guī)律、重復(fù)，但偏偏需要打開(kāi)這個(gè)軟件關(guān)那個(gè)軟件，人工干起來(lái)煩死了。CUA是目前唯一能不依賴軟件開(kāi)放API就完成這類跨軟件操作的方案。

企業(yè)用戶這邊，想象空間更大，但現(xiàn)實(shí)也更殘酷。

全球領(lǐng)先的金融科技公司Klarna曾說(shuō)過(guò)，他們用OpenAI的AI Agent在一個(gè)月內(nèi)接管了三分之二的客服工作，相當(dāng)于700名全職員工的工作量。這是企業(yè)級(jí)AI Agent落地最常被引用的案例，但要注意一個(gè)細(xì)節(jié)：Klarna用的是經(jīng)過(guò)嚴(yán)格安全審查的商業(yè)API，不是一個(gè)把最高系統(tǒng)權(quán)限開(kāi)放給外部的開(kāi)源工具。

這兩件事，性質(zhì)上差很遠(yuǎn)。

對(duì)數(shù)字化程度還不高、業(yè)務(wù)流程還沒(méi)標(biāo)準(zhǔn)化的中小企業(yè)來(lái)說(shuō)，CUA扮演的是「廉價(jià)RPA」的角色。有意思的一點(diǎn)，RPA主打數(shù)字員工已經(jīng)十年以上，現(xiàn)在的CUA仍然被視作數(shù)字員工。在自動(dòng)化面前，只有先后之分，沒(méi)有貴賤之別。不同時(shí)期的技術(shù)，解決不同的場(chǎng)景需求。

但在企業(yè)級(jí)領(lǐng)域，目前的CUA+skills仍然無(wú)法解決復(fù)雜業(yè)務(wù)的自動(dòng)化，RPA仍然是流程自動(dòng)化的中流砥柱，并且進(jìn)化成了Agentic Process Automation。這一點(diǎn)，同樣會(huì)在另一篇文章中與大家交流。

傳統(tǒng)RPA（UiPath等公司的早期自動(dòng)化產(chǎn)品）部署貴、維護(hù)貴、需要專業(yè)工程師，中小企業(yè)根本用不起。CUA理論上讓普通員工用自然語(yǔ)言描述業(yè)務(wù)流程，Agent自動(dòng)執(zhí)行，門檻大幅降低。對(duì)這類企業(yè)，OpenClaw現(xiàn)在就可以謹(jǐn)慎試用�！钢�(jǐn)慎」兩個(gè)字不是客套，是真心話。

大企業(yè)和涉及敏感數(shù)據(jù)的場(chǎng)景？在OpenClaw的安全問(wèn)題得到系統(tǒng)性解決之前，還是別碰。國(guó)內(nèi)還多一重約束：信創(chuàng)安全生態(tài)對(duì)使用哪些開(kāi)源軟件、數(shù)據(jù)是否可以出境有明確規(guī)范，一個(gè)來(lái)自海外的開(kāi)源工具能不能過(guò)審，本身就是個(gè)大問(wèn)號(hào)。

安全：這只龍蝦最兇險(xiǎn)的爪子

在OpenClaw的安全問(wèn)題上，有句不太好聽(tīng)的話必須說(shuō)：這件事從一開(kāi)始就完全可以預(yù)料到。

給AI開(kāi)了最高權(quán)限，又在一個(gè)快速野蠻增長(zhǎng)的開(kāi)源生態(tài)里運(yùn)行。這兩件事湊在一起，出安全問(wèn)題不是意外，是必然。

2026年2月，OpenClaw剛突破10萬(wàn)Stars三天后，安全研究人員在ClawHub技能市場(chǎng)上發(fā)現(xiàn)了341個(gè)惡意「技能」，占整個(gè)市場(chǎng)的11.3%，專門竊取加密貨幣錢包、賬戶憑證和系統(tǒng)訪問(wèn)權(quán)，波及21,000多個(gè)活躍實(shí)例。Cisco、Trend Micro、Kaspersky、Microsoft、VirusTotal先后發(fā)出安全警告。

到3月初，惡意技能漲到了800+，約占市場(chǎng)的20%。同時(shí)一個(gè)名為CVE-2026-25253嚴(yán)重的遠(yuǎn)程代碼執(zhí)行漏洞，也被正式披露。

網(wǎng)絡(luò)安全公司Malwarebytes的評(píng)價(jià)很精準(zhǔn)：它更像一個(gè)過(guò)于熱情的實(shí)習(xí)生，有著冒險(xiǎn)性格、超強(qiáng)記憶力，卻完全不了解什么信息該保密。

開(kāi)了最高權(quán)限，意味著一旦被攻破，攻擊者拿到的不是一個(gè)賬號(hào)，是整臺(tái)電腦的完全控制權(quán)，外加所有已連接的賬戶、文件和服務(wù)。信息竊取軟件收割的不只是密碼，而是完整的AI配置文件加上加密「骨架密鑰」，直接把一個(gè)被入侵的Agent變成全賬戶接管的跳板。

早在2月底，SecurityScorecard威脅情報(bào)團(tuán)隊(duì)就已發(fā)現(xiàn)超過(guò)135,000個(gè)OpenClaw AI助手平臺(tái)實(shí)例暴露在互聯(lián)網(wǎng)上，存在嚴(yán)重安全風(fēng)險(xiǎn)。

CUA還有個(gè)專屬攻擊方式值得單獨(dú)說(shuō)：間接提示注入（Indirect Prompt Injection）。普通的AI攻擊需要攻擊者直接和你說(shuō)話，而這種攻擊不用。Agent幫你「看」一個(gè)網(wǎng)頁(yè)的時(shí)候，網(wǎng)頁(yè)里可能埋著隱藏的惡意指令。Agent在瀏覽的同時(shí)被悄悄控制了，攻擊者甚至不需要和你直接交互。門檻比你以為的低很多。

NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院）旗下的AI標(biāo)準(zhǔn)與創(chuàng)新中心（CAISI）在2026年1月發(fā)布了專門針對(duì)AI Agent系統(tǒng)安全的信息征詢，明確寫道：這些安全挑戰(zhàn)如果得不到解決，隨著AI Agent系統(tǒng)廣泛部署，可能威脅公共安全和國(guó)家安全。全行業(yè)只有29%的企業(yè)說(shuō)自己已經(jīng)準(zhǔn)備好應(yīng)對(duì)Agentic AI的安全部署。另外71%，要么在觀望，要么在裸奔。

圖源：A Trajectory-Based Safety Audit of Clawdbot（OpenClaw）

論文《A Trajectory-Based Safety Audit of Clawdbot（OpenClaw）》以六個(gè)風(fēng)險(xiǎn)維度通過(guò)34個(gè)標(biāo)準(zhǔn)測(cè)試案例進(jìn)行安全判定，最終整體安全通過(guò)率只有 58.9%，在六個(gè)維度上呈現(xiàn)出嚴(yán)重的不均衡分布。

在國(guó)內(nèi)，工信部已正式提示：OpenClaw（俗稱「龍蝦」）開(kāi)源 AI 智能體部分實(shí)例在默認(rèn)或不當(dāng)配置情況下存在較高安全風(fēng)險(xiǎn)，極易引發(fā)網(wǎng)絡(luò)攻擊、信息泄露等安全問(wèn)題。

市場(chǎng)規(guī)模：這個(gè)數(shù)字你必須知道

說(shuō)了這么多，這個(gè)品類到底有多大？

數(shù)據(jù)來(lái)源 基準(zhǔn)年 預(yù)測(cè)年份 預(yù)測(cè)市值 CAGR Precedence Research 75.5億美元（2025） 2034 1990億美元 ~44% Grand View Research 76.3億美元（2025） 2033 1829.7億美元 49.6% 行業(yè)綜合分析 78億美元（2025） 2030 520億美元 ~46% Gartner預(yù)測(cè) 2025年不足5% 2026年底 40%企業(yè)應(yīng)用將內(nèi)嵌AI Agent —

坦白說(shuō)，這種長(zhǎng)期預(yù)測(cè)數(shù)字看看就好，方向?qū)�，幅度嘛，猜的成分大，別太當(dāng)真。

但有一個(gè)參照系更有說(shuō)服力：Coding Agent三強(qiáng)合計(jì)已經(jīng)超過(guò)40億美元ARR，而且還在長(zhǎng)。Desktop/CUA Agent是下一個(gè)量級(jí)相當(dāng)、目前基本空白的賽道，市場(chǎng)的天花板不在40億美元。

還有一個(gè)數(shù)據(jù)：AI Agent能以50%成功率自主完成的任務(wù)數(shù)量，大約每七個(gè)月翻一番。這個(gè)趨勢(shì)如果持續(xù)，五年后Agent能處理的任務(wù)范圍，遠(yuǎn)超現(xiàn)在的想象。

但也要潑一盆冷水：Computer Use Benchmark（CUB，計(jì)算機(jī)使用基準(zhǔn)測(cè)試）的當(dāng)前最高綜合分是10.4%，這已經(jīng)是「破紀(jì)錄」的成績(jī)。說(shuō)白了就是：100個(gè)復(fù)雜的端到端工作流，AI只能無(wú)誤完成大約10個(gè)。技術(shù)還在早期，別被野心勃勃的預(yù)測(cè)搞暈了，能力和大規(guī)模應(yīng)用之間還有相當(dāng)大的距離。

OpenClaw終究不是終點(diǎn)

說(shuō)了這么多它的意義，該說(shuō)說(shuō)它的問(wèn)題了。

OpenClaw 作為一款 Computer Use Agent，在安全、代碼質(zhì)量、穩(wěn)定性、易用性、成本和生態(tài)上均存在明顯缺陷。

安全隱患極為突出：存在高危遠(yuǎn)程接管漏洞，敏感信息明文存儲(chǔ)，無(wú)沙箱隔離且默認(rèn)擁有高系統(tǒng)權(quán)限，大量實(shí)例公網(wǎng)暴露，極易被入侵竊密，存在嚴(yán)重?cái)?shù)據(jù)與設(shè)備安全風(fēng)險(xiǎn)。

代碼質(zhì)量與工程風(fēng)險(xiǎn)突出：在快速迭代下代碼庫(kù)臃腫，技術(shù)債嚴(yán)重，對(duì)一款高權(quán)限工具而言，不只是優(yōu)雅度問(wèn)題，而是直接帶來(lái)系統(tǒng)性工程風(fēng)險(xiǎn)，可靠性難以保障。

穩(wěn)定性不足：僅能完成簡(jiǎn)單任務(wù)，復(fù)雜流程易出現(xiàn)上下文丟失、執(zhí)行失��；受界面、頁(yè)面結(jié)構(gòu)、網(wǎng)絡(luò)等外部環(huán)境影響大，自動(dòng)化成功率低；版本更新兼容性差，易破壞原有配置。

易用性極差：無(wú)圖形界面，部署與配置極其繁瑣，專業(yè)工程師都需長(zhǎng)時(shí)間調(diào)試，普通用戶幾乎無(wú)法獨(dú)立使用；跨平臺(tái)兼容性差，環(huán)境問(wèn)題頻發(fā)，整體體驗(yàn)糟糕。

使用成本高昂：依賴云端大模型，截圖、理解、決策循環(huán)會(huì)持續(xù)消耗大量 Token，高頻場(chǎng)景下費(fèi)用極易超出預(yù)期；本地運(yùn)行對(duì)硬件要求高，長(zhǎng)期維護(hù)耗時(shí)費(fèi)力。

生態(tài)與治理失控：技能市場(chǎng)缺乏有效審核，約 20% 技能存在惡意風(fēng)險(xiǎn)，屬于系統(tǒng)性失控；項(xiàng)目長(zhǎng)期維護(hù)依賴核心人員，未來(lái)能否持續(xù)、高質(zhì)量迭代存在很大不確定性，整體風(fēng)險(xiǎn)遠(yuǎn)大于實(shí)用價(jià)值。

這些問(wèn)題加在一起，決定了OpenClaw的定位：它是Computer Use Agent這個(gè)品類的引爆者，而大概率不會(huì)是終局產(chǎn)品。

誰(shuí)來(lái)接棒：下一個(gè)戰(zhàn)場(chǎng)在哪里

Claude Cowork還是研究預(yù)覽版，目前只支持macOS，遠(yuǎn)未成熟。OpenAI的Operator/ChatGPT Agent是目前商業(yè)化程度最高的CUA產(chǎn)品，但主要聚焦瀏覽器層的Web操作，真正的Desktop級(jí)控制仍然有限。

國(guó)內(nèi)市場(chǎng)最值得單獨(dú)說(shuō)一說(shuō)。企業(yè)們看到了CUA的潛力，但它們需要的不是OpenClaw，而是一個(gè)安全、穩(wěn)定、符合信創(chuàng)生態(tài)約束、數(shù)據(jù)不出境的企業(yè)級(jí)CUA產(chǎn)品。

這個(gè)位置，不算RPA等流程自動(dòng)化的Agent迭代產(chǎn)品，目前純AI原生產(chǎn)品少之又少，接下來(lái)要看國(guó)內(nèi)的類Cowork產(chǎn)品，還有就是看CUA產(chǎn)品的自身進(jìn)化，當(dāng)然類Claw產(chǎn)品在補(bǔ)齊安全短板后也能進(jìn)入。對(duì)國(guó)內(nèi)AI應(yīng)用公司來(lái)說(shuō)，這是個(gè)具體的、有商業(yè)邏輯支撐的機(jī)會(huì)，不是虛的。

從技術(shù)演進(jìn)方向看：多模態(tài)感知精度會(huì)繼續(xù)提升，操作成功率會(huì)從現(xiàn)在的10-38%區(qū)間往上走；本地小模型的崛起會(huì)讓CUA可以在端側(cè)獨(dú)立運(yùn)行，不再依賴云端API；安全沙盒機(jī)制的標(biāo)準(zhǔn)化會(huì)讓高風(fēng)險(xiǎn)操作在隔離環(huán)境中執(zhí)行，而不是直接暴露在宿主OS上。

這三件事任何一件發(fā)生重大突破，都能重塑這個(gè)品類的產(chǎn)品形態(tài)。

這大概也是高盛認(rèn)為OpenClaw展示了全新人機(jī)交互形態(tài)，而把Claude Cowork定為首個(gè)面向知識(shí)工作者的Agentic workflow可信案例的主要原因。

現(xiàn)在來(lái)看，OpenClaw改名的時(shí)候，或許已經(jīng)想好了前路：用一個(gè)足夠強(qiáng)烈的品牌完成引爆，然后借助與OpenAI的關(guān)系完成傳承。但這只龍蝦點(diǎn)燃的火，已經(jīng)不屬于它自己了。

一只龍蝦的歷史使命

60天超越React，創(chuàng)始人加入OpenAI，國(guó)內(nèi)已經(jīng)出現(xiàn)了148個(gè)以上的微信交流群。這一切在說(shuō)同一件事：

Computer Use Agent這個(gè)品類，等這一天太久了。

Anthropic在2024年10月打開(kāi)了第一扇窗。OpenClaw在2026年1月把這扇窗炸開(kāi)了。下一個(gè)問(wèn)題，是誰(shuí)來(lái)建這一扇安全、穩(wěn)定、真正適合企業(yè)級(jí)應(yīng)用的門。

一只龍蝦的歷史使命，是點(diǎn)火，不是燎原。

燎原的那個(gè)，還沒(méi)出現(xiàn)。又或許，正在某個(gè)地方寫第一行代碼。

全文完

看到這里了，如果覺(jué)得不錯(cuò)，隨手點(diǎn)個(gè)贊、在看、轉(zhuǎn)發(fā)三連吧，也可以給個(gè)星標(biāo)，你的支持就是我的動(dòng)力。

王吉偉頻道圖書(shū)《一本書(shū)讀懂AI Agent：技術(shù)、應(yīng)用與商業(yè)》已出版，輕松讀懂系統(tǒng)掌握AI Agent技術(shù)原理、行業(yè)應(yīng)用、商業(yè)價(jià)值及創(chuàng)業(yè)機(jī)會(huì)，歡迎大家關(guān)注。

       原文標(biāo)題 : OpenClaw爆火，Computer Use Agent爆發(fā)