从极客工具到大众产品，“龙虾”还要进化多久？

近日，开源AI Agent（人工智能助手）“龙虾”（OpenClaw）异常火爆。与常见的AI聊天机器人不同，这类Agent不仅能回答问题，还能直接操作电脑、调用软件，甚至在后台持续执行任务。

支持者认为，它可能成为下一代生产工具；但安全专家则提醒，这项技术仍存在大量风险。一边是腾讯等大厂纷纷入局、多地“政务小龙虾”接连上线，另一边，工业和信息化部发布了针对AI养“龙虾”的安全风险提醒，北京建筑大学、华南师范大学、山东大学等多所高校也接连发布安全提示。

在热度背后，一个关键问题开始浮现：“龙虾”到底有多强？普通人需不需要安装“龙虾”？

从工具到员工，Agent无法“省掉”判断力和行业经验

作为一个个人开源项目，OpenClaw由奥地利开发者Peter Steinberger创建，目标是打造一个通过聊天软件控制的本地AI助手。与传统AI工具最大的不同在于，它不再只是一个网页里的聊天框，而是直接运行在操作系统层面。

网络安全机构深信服深瞻情报实验室的研究报告指出，OpenClaw的架构由以下五种组件构成：核心控制面Gateway（网关），负责接受来自App或Control UI的指令；基于Web的Control UI（管理界面），负责配置 Agent、工具权限、集成服务；作为远程执行主机的Nodes（节点）；第三方扩展插件Skills（技能），以及保存于宿主机的长期上下文存储Memory（记忆）。

一旦获得权限，“龙虾”可以执行Shell命令、读写本地文件、控制浏览器，并通过聊天工具接收指令。用户只需发一条消息，AI就能在电脑上自动完成一系列操作。

在一些从业者看来，意味着AI正在从“内容生成工具”走向“生产力工具”。如果说生成式AI主要冲击的是文字、图片和视频创作，那么Agent则可能改变生产方式本身。

Pine AI联合创始人、首席科学家李博杰对澎湃新闻记者表示，OpenClaw的技术创新突破并不在于某个单一技术点，而在于其对交互范式的定义：通用Agent应该长什么样、怎么跟人交互、怎么组织记忆和工具。他认为，这个范式的影响力比产品本身更大。

李博杰指出，OpenClaw是第一个将“Deep Research（深度研究）、Computer Use（电脑操作）和Coding（代码生成）”三种能力整合到一起的开源产品，此前，Manus是第一个做这件事的闭源产品。同时，OpenClaw还提出了几个很关键的设计，包括“随时随地”、“没有Session（对话记忆档案）”和“数据主权”。

猎豹移动董事长兼CEO傅盛将“龙虾”体现出的变化形容为“从工具到员工”。他在文章中指出，把AI当工具用和把“龙虾”当员工用是两件事：“用工具不需要培训，不需要给反馈。但用龙虾是用员工。你要训练他，给他知识库，告诉他哪里错了要改。认真对待他，他才会成长。”

来自清华大学的“清新研究”团队在《OpenClaw发展研究报告》中提出，通过不断执行任务、总结经验并学习新技能，OpenClaw正在逐渐形成一种能够自我“进化”的系统。报告还预测，未来每个人都会拥有由多个Agent组成的“数字员工团队”。

北京邮电大学数字媒体与设计艺术学院副教授谭剑也对记者指出，随着Agent的持续发展，“一人公司”一定会出现，而且已经开始出现。不过，他也强调，很多人都以为“一人公司”是指一个人躺着、AI替你赚钱，但事实并非如此：“这个‘人’要负责做最关键的、与调度和营收最相关的那10%的计划性工作。AI省掉的是人头，省不掉的是判断力和行业经验。”

能力与风险“双刃剑”，尚未成为大众产品

尽管OpenClaw展现出惊人的自动化潜力，但技术人员和安全专家对其背后的风险发出了密集警告。

深瞻情报实验室在报告中指出，OpenClaw需要获取用户设备的广泛权限，包括系统文件访问、浏览器Cookie、API密钥等敏感信息。这种深度集成存在巨大的安全隐患。

据统计，截至2026年2月，已披露的OpenClaw漏洞至少达到110个，其中部分漏洞已出现可直接利用的攻击代码；全球公网中可探测到的OpenClaw实例超过13.5万个，其中上万台存在远程代码执行风险。深瞻情报实验室表示，OpenClaw背后的漏洞数量之多、影响之广，在AI工具领域尚属罕见。

同时，插件生态也成为新的隐患。在OpenClaw的插件平台ClawHub中，研究人员发现约20%的技能插件可能包含恶意代码，例如窃取用户凭证或下载恶意程序。由于该平台的技能发布门槛极低，仅要求发布者拥有创建超过一周的GitHub账户即可完成上传，进一步放大了恶意技能流入生态并被广泛使用的风险。

对于“龙虾”可能带来的风险，谭剑给出了更直白的解读：“OpenClaw在架构上有五个天然的致命组合：它有你电脑的最高权限、它什么消息都收、没有可靠的办法区分正常指令和恶意指令、它的记忆一旦被污染就永久改变行为，并且还能往外发邮件发数据。加在一起，本质上就像你把公司钥匙给了一个你控制不住的实习生，而且这个实习生会听信任何人写在纸条上的话。”

李博杰也指出，要理解“龙虾”的安全风险，才能理解它为什么是“极客工具”而不是大众产品：“OpenClaw给了Agent完整的本地系统权限，这是它强大的来源，同时也是最大的风险来源。”

不过，李博杰认为，行业并没有高估“龙虾”这一类Agent的能力，现在暴露出来的安全问题，本质是安全工程还没跟上能力发展的速度：“OpenClaw今天的状态有点像早期的开源系统Linux，功能强大，但你得是个极客才能玩得转，安全配置要自己操心。这不代表Linux的能力被高估了，事实上很快就出现了Red Hat、Ubuntu这些企业级发行版，把同样强大的内核包装成普通人和企业都能安心使用的产品。”

因此，李博杰预测，“龙虾”接下来也会经过同样的历程。OpenClaw负责定义范式，商业产品负责把这个范式安全地交付给大众。

就在3月13日晚间，国家网络安全通报中心发布OpenClaw安全风险预警，预警中列出了OpenClaw五大主要安全风险：架构设计缺陷多，层层皆可破；默认配置风险高，公网暴露广；高危漏洞数量多，利用难度低；供应链投毒比例高，生态不安全；智能体行为不可控，管控难度大。