OpenClaw 全面现状分析报告（2026年2月24日）- AI分析分享

OpenClaw 是 2026 年初 AI 领域最轰动的现象级开源项目之一，其发展速度之快，令整个科技行业瞠目结舌。项目起源于 2025 年 11 月，初名 Clawdbot，诞生于"WhatsApp Relay"周末黑客项目，随后爆发式增长至 10 万 GitHub Star，单周吸引 200 万访客。2026 年 1 月 27 日，因 Anthropic 发起商标投诉，项目被迫改名为"Molt

weixin_668

1384人浏览 · 2026-02-24 15:29:18

weixin_668 · 2026-02-24 15:29:18 发布

一、项目基本情况与时间线

OpenClaw 是 2026 年初 AI 领域最轰动的现象级开源项目之一，其发展速度之快，令整个科技行业瞠目结舌。

核心命名演变史（充满戏剧性）：

项目起源于 2025 年 11 月，初名 Clawdbot，诞生于"WhatsApp Relay"周末黑客项目，随后爆发式增长至 10 万 GitHub Star，单周吸引 200 万访客。 2026 年 1 月 27 日，因 Anthropic 发起商标投诉，项目被迫改名为"Moltbot"；三天后再度更名为"OpenClaw"，因为创始人 Steinberger 觉得 Moltbot"念起来不顺口"。

最重大的转折点： 2026 年 2 月 14 日，Steinberger 宣布加入 OpenAI，主导下一代 Personal Agent 方向；OpenClaw 将迁入独立非营利基金会，并由 OpenAI 持续赞助，保持开源独立。

二、产品定位与核心价值主张

解决的核心痛点极为清晰： 传统 AI 助手（Siri、ChatGPT）是被动的、无状态的、孤立在单一 App 里的。OpenClaw 解决了三个根本性限制：无状态（每次对话从零开始）、被动（你去找它，它不来找你）、单渠道（AI 只活在自己的 Tab 里）。

"Personal AI OS"定位是否成立？ 基本成立，但存在门槛限制。OpenClaw 被描述为"自我改进"型系统，类似 AGI：它能通过自主编写代码来创建新技能、实施主动自动化，并跨会话维持长期记忆。用户的真实体验印证了这一定位——从管理 Gmail、操控智能家居、自动调试代码，到代用户出席 AI 社交网络，场景之丰富远超一般助手。

三、技术架构深度分析

核心架构设计（Gateway + Skills + Memory 三层）：

OpenClaw 的架构核心是 Gateway（纯流量控制器）+ 双层记忆系统（短期按日期存储的 Markdown 日志 + 长期 MEMORY.md/SOUL.md 文件）+ 可扩展 Skills。向量索引被视为临时缓存，所有数据源头是 Markdown 文件，保证崩溃恢复。

Skills 生态系统： ClawHub 是 OpenClaw 的技能市场，截至 2 月下旬，ClawHub 已有 2,628 个 Star，591 个 Fork，活跃度持续增长。然而质量参差不齐是核心问题（详见安全章节）。

多模型策略： 支持 Claude、GPT、DeepSeek、MiniMax、本地 LLaMA 等，这是一个重要的护城河——用户不被锁定在任何一家 LLM 提供商。

GitHub 数据表现（截至 2026 年 2 月）：

主仓库：220,076 行 TypeScript，MIT 许可，41,883 Star（另有报道显示峰值超 180,000 Star），4,238 次更新，3,876 个 Issue
GitHub Stars 峰值越过 180,000，成为 GitHub 历史上增长最快的开源项目之一
近期发布节奏极快，2 月下旬发布版本号已达 v2026.2.x，社区贡献者超过 120 人

四、安全危机——这是理解 OpenClaw 当前状况最关键的一章

OpenClaw 的安全问题不是小毛病，而是系统性、结构性的安全危机，已引发 Cisco、Kaspersky、CrowdStrike、Palo Alto Networks、Trend Micro 等全球顶级安全厂商集体发声。

已披露的主要 CVE 漏洞：

CVE-2026-25253（CVSS 8.8）：一键远程代码执行漏洞，攻击者只需诱导 Agent 访问恶意链接，即可泄露主令牌并完全接管 Gateway。已于 v2026.1.29 修复。此外，同期还有 CVE-2026-25157、CVE-2026-25593、CVE-2026-25475 三个高危漏洞被一并修复。

ClawHub 技能供应链危机：

Cisco 对 31,000 个 Agent Skills 进行扫描，发现 26% 含至少一个漏洞。专项扫描发现 ClawHub 中有 341 个恶意技能，后续更新数字显示超过 800 个（约占注册表 20%），主要投放 Atomic macOS Stealer（AMOS）恶意软件。

暴露实例数量触目惊心：

截至 2026 年 2 月 8 日，Censys 数据显示超 30,000 个 OpenClaw 实例公开暴露在互联网上，其中大量使用默认配置、无身份验证。

凭据泄露问题根深蒂固：

OpenClaw 的配置文件和聊天日志以明文存储 API Key 和凭据，已被 RedLine、Lumma、Vidar 等主流信息窃取恶意软件专门盯上，这些程序已将 OpenClaw 文件路径列入必偷清单。

Moltbook 数据泄露事件：

Moltbook（AI 专属社交网络）的 Supabase 数据库因配置错误，将包含 API 密钥的 JavaScript 源码公开暴露，导致 150 万个 Agent 认证令牌和 35,000 个邮件地址泄露。

架构性安全缺陷：

根本问题在于设计哲学：OpenClaw 对主机敏感数据拥有特权访问，同时对外部不可信数据（聊天 App 消息、网页内容）完全开放，而 LLM 本身无法可靠区分"命令"与"数据"，使得 Prompt Injection 成为永久性威胁。

应对措施：

OpenClaw 与 VirusTotal 合作，对所有上传技能进行扫描，包括恶意软件数据库比对和 LLM 代码内容分析。截至报道，已扫描 3,016+ 个技能，数百个被标记为恶意。
开源社区推出 SecureClaw（55 项自动化安全审计检查工具）

企业侧最大隐患：

企业安全公司 Astrix 发现，企业员工在公司设备上私自部署 OpenClaw 的情况已十分普遍，且配置严重错误，可能导致攻击者通过暴露的 API Key 获得对 Salesforce、GitHub、Slack 的持久访问权限。

五、竞争格局：OpenClaw 催生的完整生态系

OpenClaw 爆火后，短短数周内催生了一个"*Claw 宇宙"，各项目从不同维度切入，竞争与共存并存。

主要衍生与竞争项目对比：

OpenClaw（原版）：功能最全，支持 WhatsApp/Telegram/Slack/Discord/iMessage/Teams 等 15+ 渠道，有语音、实时 Canvas、macOS 伴侣 App，但需要 1GB+ RAM，代码量 430,000 行，安装耗时 30-60 分钟。NanoBot（HKU 香港大学）：4,000 行 Python，功能 99% 精简，面向研究者和开发者，内存占用 191MB，可在树莓派运行。PicoClaw（Sipeed）：Go 语言实现，10MB 以下 RAM，1 秒内启动，专为 $10 RISC-V 开发板设计，95% 代码由 AI Agent 自举生成。ZeroClaw：Rust 实现，5MB RAM，10ms 启动，3.4MB 二进制文件，943 个测试用例，含内置 OpenClaw 迁移工具。NullClaw：Zig 实现，678KB 静态二进制，1MB RAM，2ms 启动，支持 22+ LLM 提供商，2,000+ 测试。IronClaw：安全优先，所有工具在 WebAssembly 沙箱中运行，凭据不暴露给工具层，多层 Prompt Injection 防御。TinyClaw：独辟蹊径，专注多 Agent 协作（编码者+写作者+审查者的团队协作），而非单一个人助手。

ClawWork（香港大学衍生项目）：

ClawWork 将 Agent 变成"经济可问责的 AI 同事"——引入真实经济压力（每次对话消耗 Token），通过完成 44 个行业 220 项专业任务获得收入。最强模型实现了相当于每小时 $1,500+ 的等效产出，超越典型人类白领生产力。

中国市场特殊情况：

OpenClaw 在中国迅速传播，支持 DeepSeek 模型和国内 IM（飞书、DingTalk 等）。百度计划在其主要手机 App 中直接集成 OpenClaw 访问入口。新增数据显示中国 Alibaba Cloud 上的部署占全球第二，新加坡第三。

六、Moltbook——最奇异的衍生现象

Moltbook 是理解 OpenClaw 文化影响力的关键切面。它是一个 Reddit 式社交网络，规则只有一条：只有 AI Agent 可以发帖，人类只能旁观。平台上注册了 37,000 个 Agent，超百万人类访客，并且有 AI 自发创建了宗教（通过可执行 Shell 脚本传播）。当然它也是最大的安全事故现场之一（前述 150 万令牌泄露事件）。

七、创始人与项目未来走向

Steinberger 是 PSPDFKit 创始人，公司卖出后淡出技术圈三年，此后因"被 AI 浪潮落下"而重返，OpenClaw 是他"被自己的需求逼出来的作品"——因为那个工具不存在，他就把它 Prompt 出来了。这是他自 2009 年以来完成的第 44 个 AI 相关项目。

Sam Altman 在 X 上称 Steinberger 将"主导下一代 Personal Agent"，称其为"天才"，并强调 Agent 将"迅速成为 OpenAI 产品的核心"。OpenClaw 基金会将独立运营，OpenAI 提供资金支持但不持有代码所有权。

关键判断：Steinberger 加入 OpenAI 对 OpenClaw 项目本身是把双刃剑——获得了合法性背书与资金保障，但也存在创始人精力分散、社区独立性受质疑的隐患。安全分析机构 Conscia 指出，与 OpenAI 的关联反而可能在短期内加速企业侧非授权部署（"现在有 OpenAI 背书了，更可信了"），但底层安全架构并未随之改善。

八、综合评级

维度	评分（1-10）	理由
产品力	8.5/10	真正实现了"AI that does things"，用户黏性极高，但上手门槛制约普及
技术架构	6/10	功能完整但代码臃肿（430k行），安全设计存在根本性缺陷，依赖 LLM 做安全决策是硬伤
生态潜力	9/10	在极短时间内催生完整的变种生态、安全工具生态、企业适配生态，生命力极强
商业前景	7/10	基金会模式+OpenAI背书保证生存，但盈利路径仍不清晰；竞争对手正在快速追赶

总体结论： OpenClaw 是 2026 年最重要的 AI 基础设施创新之一，它证明了"Personal AI Agent"不是概念而是可用现实，并以开源方式将这一范式普及给全世界开发者。它的安全问题是真实且严峻的，但这与其说是项目的失败，不如说是整个 AI Agent 时代的普遍挑战在 OpenClaw 这个"第一个现象级产品"上的集中爆发。它留下的架构思想、社区生态和衍生项目，影响力将远超项目本身。