才45天，“龙虾”就已经爆雷了？

出品｜虎嗅科技组

作者｜宋思杭

编辑｜苗正卿

头图｜视觉中国

就在这周，关于 OpenClaw（又称“龙虾”）的吐槽声开始明显增多。

此前一度火爆的“500 元上门安装”生意还没持续一周，市场上已经出现了新的服务——“299 元远程卸载”。

“身边折腾过 OpenClaw 的朋友，基本都弃用了。”一位网友在社交媒体上写道。

几乎与此同时，“龙虾卸载指南”也开始在社交平台流传。就在相关教程传出不到两天的时间，资本市场的情绪也迅速发生变化。

3 月 11 日午后，一批被市场称为“龙虾概念股”的公司股价集体下跌。此前，智谱刚在 3 月 10 日上线 OpenClaw，当天股价一度上涨超过 13%；而仅一天后，其股价便回落约 6%。同样受到影响的还有 MiniMax，当日跌幅一度超过 9%。

而在大量吐槽声中，用户反复提到的两个问题完全一致：一是 token 消耗过高，二是安全隐患。

一位用户在“养虾”的第一天，仅仅尝试与其聊天，几句话便消耗了约 100 万 token；还有用户表示，“只是让它爬取一个普通资讯网页，token 成本就接近 20 美元。”

这些还只是“烧钱”的问题。

更让用户担心的是安全风险。有网友称，自己在尝试给“龙虾”安装 Skill 时，安装过程中出现异常，在修复操作中竟导致本地磁盘内容被全部删除。

对于目前争议较大的安全问题，智谱 AutoGLM 部门负责人刘潇向虎嗅表示：“OpenClaw 本身是一个开源框架，其内部包含非常灵活的第三方 Skills 与插件生态。对于非技术用户来说，部署和使用门槛其实非常高，这也在某种程度上把 99% 的普通用户拦在了门外。”

与此同时，飞书 CEO 谢欣也在社交媒体上发文提醒：“个人电脑上跑 Agent 与企业使用 Agent 是完全不同的事情。前者是探索，后者是责任。”

这与一个多月前 OpenClaw 刚刚爆火时的氛围形成了鲜明反差。彼时，这只“龙虾”被视为 Agent 时代真正到来的标志；而短短不到 45 天的时间，它却已经开始暴露出另一面。

“龙虾”很有可能真不适合99%的非技术人员

事实上，围绕“龙虾”的争议几乎是在 48 小时内迅速发酵的。

就在三天前，深圳、无锡、常熟等地还相继发布政策，提出支持 OpenClaw 相关应用场景的发展，其中一个重要目标便是鼓励 OPC（One Person Company，一人公司） 的新型组织形态。

但几乎在同一时间，另一种声音也开始出现。

3 月 8 日，工信部网络安全威胁和漏洞信息共享平台发布监测信息称，OpenClaw 开源 AI 智能体的部分实例在默认或不当配置情况下存在较高安全风险，极易引发网络攻击、信息泄露等问题。

三天后的 3 月 11 日，工信部专家再次提醒称，尽管“龙虾”已经更新到最新版本并修复部分漏洞，但并不意味着风险已经消除。

回到用户端，争议最早其实来自两个问题：token 消耗异常，以及安全隐患。

首先是 token 消耗问题。

不少用户在尝试运行“龙虾”后发现，其 token 消耗速度远高于普通大模型。对此，Qveris.ai COO曲东奇对虎嗅解释称，“OpenClaw（龙虾）之所以Token消耗显著，核心源于它自主智能体的全链路工作机制。”

不同于普通聊天模型只做单次对话，OpenClaw每执行一项任务，都要完成目标拆解、多步推理、工具调用与状态校验，这相当于把普通模型的多轮对话浓缩为一次自动化任务，调用频次大幅提升。

同时，OpenClaw会将系统指令、工具集、身份配置、会话历史与记忆文件全量带入上下文，每次请求都携带庞大的基础提示词；加上心跳检查、环境感知与持续迭代的运行逻辑，会持续产生推理与上下文开销，这也是它Token消耗远高于常规大模型与轻量Agent的关键。

换句话说，当 Agent 从“聊天工具”变成“自动执行系统”时，token 的消耗也随之呈现出指数级增长。

相比之下，更让用户担忧的是安全问题。

由于“龙虾”需要在本地电脑运行，并具备读取文件、执行脚本以及调用外部工具等能力，一旦配置不当或被恶意利用，风险也会被迅速放大。

针对这一问题，虎嗅向已经上线“龙虾”的大模型厂商智谱进行了咨询。其 AutoGLM 部门负责人刘潇表示，在 AutoClaw 的安装方案中，团队已经对公网暴露、端口开放等问题进行了预处理，同时对工作目录进行了限制，并对关键操作增加提醒机制，以降低风险。

但他也坦言，OpenClaw 本身是一个开源框架，其内部拥有非常灵活的第三方 Skills 与插件生态。对于普通用户来说，这套系统的部署和使用门槛其实非常高，“某种程度上，这也把 99% 的非技术用户拦在了门外。”

与此同时，一些安全从业者也指出了另一层隐患。

缔零科技 CEO 谭亦朗向虎嗅表示，“改变‘龙虾’的行为其实非常简单，例如通过干预Agent的soul、memory等md文件进行认知后门埋入，或者通过设定近似的md文件进行混淆等攻击，就可以改变其部分认知逻辑。但问题在于，一旦做出这样的修改，其影响会持续作用在后续所有行为上，并且具备一定的攻击属性。”

在这种情况下，一些用户遇到的“龙虾误删本地文件”等问题也就不难理解了。

对于个人用户而言，这或许只是一次实验失败，但如果发生在企业环境中，带来的后果则可能更加严重。

一只“龙虾”是怎么走红的？

在争议出现之前，OpenClaw 的走红几乎是毫无悬念的。

2025年11月是OpenClaw亮相的起点，最开始它还没有那么广为人知。当时它还只是由奥地利开发者 Peter Steinberger 做的一个开源 Agent 项目。

真正爆火的起点是在2026年1月底，彼时，它已经成为GitHub上的星标数量第一的项目。

在很多技术社区里，它也被称为第一个真正意义上的“超级Agent”。

与此前大多数停留在聊天界面的 AI 不同，OpenClaw 最大的突破在于，它不再只是回答问题，而是可以直接接管电脑执行任务：自动调用工具、操作浏览器、读取本地文件、编写脚本，甚至可以把复杂任务拆解成多个步骤连续执行。

这意味着，Agent 第一次摆脱聊天机器人这个称号，而开始真正参与到人的工作流程中。此前，也有部分Agent可以通过MCP协议，调用其他APP。但都无法实现全面的“托管”。

换句话说，在 OpenClaw 出现之前，大多数 Agent 都存在一个明显的限制——它们无法真正接管电脑帮你干活。很多能力仍然停留在对话层面，使用场景十分有限。而“龙虾”的出现，第一次让普通用户看到了AI是可以帮助替代生产力的，而不只是提升生产力。

这种能力很快引发了普通用户的狂热。

大量用户开始尝试让“龙虾”替自己处理各种复杂任务：整理数据、自动爬取信息、生成报告、写代码，甚至直接用来做金融分析和交易策略。

Mizzen 创始人兼CEO孙克强对虎嗅表示：“我了解到 90% 的用户都希望让小龙虾帮他赚钱。”

在一些人看来，这种能力几乎第一次让“一个人”的生产力被明显放大。曲东奇向虎嗅分享，去年他曾尝试利用 Agent 做过八款产品，其中已有两款实现盈利，每月收入接近 8 万到 10 万元。

而“龙虾”的出现，也让更多人开始重新想象一种新的工作模式——One Person Company（OPC，一人公司）。在这种设想中，一个人配合一套 Agent，就可能完成过去需要一个小团队才能完成的工作。

不过，在普通用户沉浸于“AI替我干活”的想象时，另一群人其实更早尝到了甜头。那就是模型厂商和云厂商。

原因很简单。OpenClaw 的运行本质上依赖于大量模型调用：每一步任务拆解、每一次决策、每一次工具调用，背后都意味着新的 API 请求和 token 消耗。当 Agent 从“对话工具”变成“自动执行系统”之后，模型调用的频率也随之成倍增加。

换句话说，用户每让“龙虾”多干一件事，背后就意味着更多的算力被消耗。

从这个角度来看，普通用户或许觉得自己在用 AI 提高生产力，甚至尝试用 AI 赚钱，但真正最稳定的受益者，反而是那些提供模型和算力基础设施的公司。随着“龙虾”爆火，API 调用量和 token 消耗迅速增长，对模型厂商和云平台来说，这几乎是“天上掉馅饼”的生意。

某种意义上说，龙虾越火，算力公司就越赚钱。

不过，即便在最狂热的讨论中，也有人意识到一个现实问题：现在的“龙虾”，仍然远谈不上万能。

它最大的局限在于，目前的 Agent 仍然主要运行在数字世界中，缺乏与物理世界的交互能力，这也意味着它所能获得的数据仍然十分有限。

总之，OpenClaw 的确成为了引爆Agent智能体时代的那根导火索，但随之暴露出的安全隐患，也让人开始重新审视这类系统的边界，并为接下来的 Agent 发展提出了更严峻的挑战。

中国还会出现更多“龙虾”吗？

虎嗅了解到，除了大厂和模型厂商上线 OpenClaw，目前已经有部分创业者开始模仿“龙虾”的模式，甚至出现了所谓的“企业级龙虾”项目，希望复制 OpenClaw 的路径，成为 AI 时代新的超级入口。

但其中的风险也逐渐显现。过去一个多月的使用经验已经让不少人意识到，当 Agent 开始真正接管电脑时，普通用户需要付出的代价并不低——无论是持续增长的 token 消耗，还是安全问题。

而更重要的问题在于，token 费用高、误删文件等问题，更多仍然停留在普通用户层面。

如果 Agent 智能体想要真正迎来爆发，关键仍然在于能否进入产业场景，尤其是企业级应用。

但从目前 OpenClaw 的安全性来看，许多企业仍然持观望态度。对于数据和系统安全要求极高的行业而言，让一个可以读取本地文件、执行脚本并调用外部工具的 Agent 直接接入生产环境，风险显然难以接受。

梅洛迪总经理贾亦凡告诉虎嗅：“如果将全部权限直接交给 OpenClaw 这类智能体，会带来极大的安全隐患，这不只是工业场景的问题，对所有企业而言都是不可接受的。最终执行权必须由人来把控，直到 AI 操作的精确率稳定超过 3 西格玛水平之前，都不能完全放权。”

那么，在这种情况下，围绕AI安全能力本身，也开始成为新的创业方向。

多位从业者向虎嗅表示，如果 Agent 想要真正进入企业环境，单纯依赖模型能力显然是不够的，必须在其之上增加一整套新的安全机制，例如权限分级、操作审计、沙盒环境等能力。

换句话说，当 Agent 开始具备“执行权”时，安全能力也需要从过去的软件层防护，升级为对 AI 行为本身的约束与管理。

一些创业团队已经开始尝试在这一方向布局。例如，通过在 Agent 与操作系统之间增加中间层，对其访问权限进行限制；或通过日志与审计机制，对 Agent 的每一步操作进行记录，以便在出现异常时能够快速回溯。

在部分投资人看来，这类能力未来很可能会成为企业部署 Agent 的标配。就像云计算时代催生了云安全厂商一样，当 AI 开始真正参与到执行层时，一整套围绕 Agent 安全与治理 的基础设施，也可能随之出现。

从这个角度来看，“龙虾”带来的争议，或许不仅暴露了 Agent 的风险，也在某种程度上提前揭示了下一批创业机会所在。

尽管“龙虾”在短短一个多月时间里已经开始明显退热，但这并不意味着 Agent 的创业窗口会缩窄。

相反，在不少从业者看来，OpenClaw 的爆火更像是一场提前到来的技术实验。它让大量用户第一次真实体验到 Agent 能够做什么，同时也提前暴露了这一形态在成本结构、安全机制以及权限管理上的一系列问题。

从这个角度看，“龙虾”的降温反而可能成为下一轮 Agent 创业的起点。

多位业内人士向虎嗅表示，未来的 Agent 很可能会朝两个方向演进：一是更加安全，例如通过更严格的权限隔离、任务沙盒以及执行审计机制，让 Agent 的操作始终处于可控范围内；二是更加经济，通过减少不必要的模型调用、优化任务拆解逻辑，甚至结合本地小模型与云端大模型的混合架构，从而显著降低 token 消耗。

当这些问题逐渐被解决之后，Agent 的形态也可能随之发生变化。

在一些从业者看来，也许今天，让Agent直接接管电脑过于激进；未来用户与大模型的交互方式，很可能会从今天的“对话式调用”，逐渐转变为由 Agent 代理执行任务。换句话说，用户不再频繁直接调用模型，而是将任务交给 Agent 处理，再由 Agent 在后台调度模型、工具与数据。

如果这一模式成立，大模型的商业模式也可能随之改变。比如从今天以 token 调用为核心的计费方式，逐渐转向以任务、流程甚至结果为单位的服务模式。

今天的“龙虾”可能只是试水，当第一批产品暴露问题之后，更安全、更可控、也更经济的 Agent，很可能会在下一阶段陆续出现。届时，中国会可能会涌现出更多的“龙虾”。