OpenClaw：史上增长最快的开源项目，一场关于名字、权力与安全的AI革命

——从退休程序员的个人实验到33万GitHub Stars的现象级风暴，再到席卷全球的安全危机

一、一个名字，两个世界

如果你在2026年初的GitHub上搜索”OpenClaw”，你会陷入困惑——搜索结果指向两个截然不同、毫无关联的项目。

第一个OpenClaw，是2025年11月由奥地利开发者Peter Steinberger发布的AI Agent框架。它在不到60天内席卷33万颗GitHub Stars，超越React十年积累的成绩，成为GitHub史上增长最快的开源项目。NVIDIA CEO黄仁勋称它为”个人AI的操作系统”。它能让大模型从”会说话”变成”会做事”——自动管理你的邮件、日历、社交账号，甚至在你睡觉时帮你写代码、做研究、执行Shell命令。

第二个OpenClaw，则是一个已经默默开发了数年的C++开源项目——1997年经典平台跳跃游戏《Captain Claw》（猫爪船长）的引擎重制版。这个项目的开发者们用现代C++和SDL2库，从头逆向工程了整个游戏引擎，让玩家能在Windows、macOS和Linux上原生运行这款经典游戏。它不涉及任何AI技术，甚至不包含游戏本体资源文件——玩家需要合法拥有原版游戏的CLAW.REZ文件才能游玩。

这两个项目同名，却代表了技术世界的两极：一个是当下最热门的AI Agent前沿，一个是复古游戏保护主义的温暖角落。它们的”撞名”并非巧合——AI Agent项目的OpenClaw在寻找最终名字时，有意无意地借用了这个已经存在的游戏引擎项目名称。这种命名的重叠，在某种程度上也映射了2026年AI热潮对传统技术社区空间的挤压与侵占。

二、退休程序员与他的”三个月奇迹”

OpenClaw AI项目的创始人Peter Steinberger并非无名之辈。他是知名PDF工具PSPDFKit的创始人，拥有13年的创业经验。2024年4月，他首次萌生了开发一个生活助手型AI的想法，但当时的主流大模型能力有限，计划被迫搁置。

2025年11月，已经”退休”的Peter发现，尽管AI技术已经突飞猛进，但市面上仍然没有一款真正满足个人用户需求、可以本地部署的全能AI助手。“既然大公司不做，那我自己来做。”带着这个想法，他用一小时搭建了第一代原型，随后花费两个月独自完成了核心开发。

颇具讽刺意味的是，这个能帮助人类完成工作的AI工具，其大量代码本身就是在AI辅助下生成的——AI创造AI，成了2026年科技圈的又一个有趣话题。

2026年初，项目以ClawdBot之名开源。短短几天内，GitHub Stars突破15万，Mac Mini在硅谷被抢购一空，腾讯云和阿里云迅速推出了一键云部署方案。这个项目以惊人的速度成为现象级开源项目——它的流行绝非偶然，恰好命中了全球用户的三个核心需求：让AI真正动手执行任务、完全掌控自己的数据、以极低成本获得企业级AI能力。

三、一个月改三次名字：一场关于商标、诈骗与身份认同的闹剧

如果OpenClaw仅仅是一个技术成功的故事，它不会如此引人入胜。真正让这个项目成为2026年科技圈顶流谈资的，是它在短短一个月内连续两次更名的荒诞经历。

第一幕：ClawdBot → Moltbot（2026年1月27日）

2026年1月27日，Anthropic（Claude的母公司）向Peter Steinberger发出商标争议通知，指出”Clawd”与”Claude”在视觉和发音上过于相似，可能造成消费者混淆。尽管ClawdBot只是Anthropic API的合法消费者，但商标权的主张是成立的。

Peter选择了快速配合。同一天，他宣布项目更名为Moltbot——“Molt”（蜕皮）是一个生物学概念，龙虾通过蜕皮来成长，新项目在保持甲壳类主题的同时，摆脱了有问题的品牌元素。

第二幕：Moltbot → OpenClaw（2026年1月30日）

Moltbot这个名字只存活了3天。

更名期间的混乱窗口，成为了加密货币骗子的盛宴。Peter放弃的ClawdBot社交媒体账号被立即劫持，诈骗者在Solana链上发行了虚假的$CLAWD代币，短暂达到了1600万美元的市值后崩盘。冒充账号在各个社交平台蔓延，用户被骗，评论区一片混乱。

更糟的是，安全研究人员发现，在更名交接的空档期内，恶意分子已经盯上了这个新生态——假冒的VS Code扩展”ClawdBot Agent”被发现安装了ScreenConnect远程访问木马，被微软紧急下架。

Peter意识到，Moltbot是一个仓促的决定，缺乏辨识度，而且与ClawdBot混乱的过渡已经造成了不可挽回的品牌伤害。与其继续挣扎，不如彻底切割。

2026年1月30日，项目再次更名为OpenClaw——“Open”代表开源，“Claw”延续主题，与Anthropic保持距离的同时保留了项目的身份认同。这一次，Peter做了充分的商标检索，预购了域名，编写了迁移脚本，并与社区进行了充分沟通。

更名后遗症

这场更名闹剧的影响延续至今：

•         三个名字指向同一个项目：ClawdBot（2025年11月-2026年1月27日）、Moltbot（2026年1月27-30日，仅3天）、OpenClaw（2026年1月30日至今）

•         旧教程与新命令的错位：大量ClawdBot时代的教程仍在流传，但CLI命令已经变更（旧版clawdbot run映射为新版openclaw gateway）

•         品牌信任的持续损耗：连续两次更名让部分用户对项目的稳定性产生疑虑

四、从33万Stars到安全噩梦：增长的速度与安全的代价

OpenClaw的增长速度在开源历史上前所未有。但这种超高速 adoption 也创造了开源软件史上最集中的安全危机之一。

CVE-2026-25253：一键接管你的AI助手

2026年1月28日，安全研究人员披露了CVE-2026-25253——一个CVSS评分8.8（高危）的远程代码执行漏洞。这个漏洞的恐怖之处在于：攻击者只需要让受害者点击一个恶意链接，就能通过WebSocket劫持完全控制受害者的OpenClaw实例，即使该实例仅绑定在localhost上。

攻击链在毫秒内完成：恶意网页建立WebSocket连接到受害者的localhost:18789 → 窃取认证令牌 → 禁用用户审批提示 → 突破沙箱 → 执行任意系统命令。如果用户以”上帝模式”（最高权限）运行OpenClaw，攻击者将获得完整的系统访问权限。

OpenClaw团队在48小时内发布了v2026.1.29补丁。但根据Bitsight的扫描数据，超过4万个OpenClaw实例至今仍未修补，公开暴露在互联网上。

ClawHavoc：官方应用商店的供应链噩梦

CVE-2026-25253披露后仅一周，安全公司Snyk发布了ToxicSkills研究报告，揭露了被称为ClawHavoc的大规模供应链攻击：

•         1,184个恶意技能包被上传到ClawHub（OpenClaw的官方技能市场），约占整个注册表的20%

•         Atomic Stealer (AMOS) macOS信息窃取器通过伪装的合法生产力工具传播，专门窃取加密货币钱包、SSH凭证和浏览器密码

•         Vidar信息窃取器变种专门针对OpenClaw的身份配置文件（openclaw.json、device.json、soul.md、memory.md）

截至2026年3月，SecurityScorecard的调查显示：全球82个国家有超过13.5万个OpenClaw实例暴露在互联网上，其中超过1.5万个存在RCE漏洞，超过5.3万个与过去的恶意活动存在关联。

持续恶化的安全态势

OpenClaw的安全危机并非一次性事件，而是一个持续演化的过程：

•         2026年3月19-21日：一批新的CVE被披露（CVE-2026-32013至CVE-2026-32064），涉及符号链接遍历、沙箱逃逸、Shell环境RCE等

•         2026年4月16日：新的漏洞波次来袭，包括Matrix房间控制绕过、webchat媒体本地root绕过等

•         135,000+暴露实例、12,812个可通过RCE利用、60+个CVE和GHSA被披露

•         CrowdStrike、Bitdefender、Palo Alto Networks、Cisco、Kaspersky等主要安全厂商均已发布预警

•         Meta已禁止在公司设备上运行OpenClaw

Cisco的一位安全专家在博客中写道了一段令人不寒而栗的话：“OpenClaw不仅改变了我的个人生产力，它从根本上改变了我们作为一个家庭的运作方式。而正因如此，我对它的暴露程度感到恐惧。”

五、Peter Steinberger加入OpenAI：天才的选择与开源的未来

2026年2月14日，在OpenClaw达到20万Stars的节点上，Peter Steinberger宣布了一个重磅决定：他将加入OpenAI。同时，OpenClaw项目将转移到一个独立的501(c)(3)基金会，继续保持开源。

这个决定的背后，是Meta和OpenAI的激烈争夺。Mark Zuckerberg和Sam Altman都曾向这位奥地利开发者伸出橄榄枝。Peter最终选择了OpenAI，理由很直接：“我想改变世界，而不是建立一家大公司。与OpenAI合作是让这一切惠及每个人的最快方式。”

他在OpenAI的工作将聚焦于开发面向广泛用户的AI Agent，目标是打造一款”连我母亲都能用”的Agent产品。为此，他需要接触最新的模型和研究成果，以及对安全问题的更深入理解。

Sam Altman对这次合作的评价颇高，称Peter是”对高智能Agent未来有许多惊人想法的天才”。OpenAI承诺将继续以基金会的形式赞助OpenClaw项目。

这一人事变动引发了社区对OpenClaw独立性的担忧——当创始人加入商业AI巨头，他创建的开源项目能否真正保持中立？基金会模式能否有效制衡商业利益的影响？这些问题至今没有明确答案。

六、OpenClaw现象背后的深层意义

AI从”嘴巴”到”手”的范式转变

OpenClaw的爆发式增长，标志着一个根本性的技术范式转变：AI正从”对话式”（回答问题、生成内容）走向”执行式”（操作电脑、调用工具、完成任务）。

传统的ChatGPT、Claude等聊天机器人，本质上是”状态less”的——你打开一个浏览器标签，输入提示，得到回答，关闭标签页，AI就停止了。而OpenClaw是一个持久的数字工作者，它在后台24/7运行，拥有记忆、计划能力和执行权限。它会读取你的文件、执行Shell命令、控制浏览器、连接到你使用的每一个通讯平台。

用36Kr的评价来说：OpenClaw不是神，但它的出现正式宣告AI应用进入了”执行时代”。

安全与便利的永恒悖论

OpenClaw的安全危机揭示了一个深层矛盾：让Agent变得强大的特性（广泛的系统访问、自主执行、灵活配置），恰恰也是让它变得危险的攻击面。

这个项目像一面镜子，映照出整个AI Agent行业面临的结构性挑战： - 如何在不牺牲能力的前提下有效沙箱化Agent？ - 社区贡献的技能生态系统如何进行安全审查？ - 个人用户是否有能力正确配置和维护一个拥有系统级权限的AI？ - 当Agent被赋予执行金融交易、发送邮件、访问敏感数据的能力时，错误的成本不再是”写错报告”，而是”真金白银的损失”

中国网信办和金融行业协会在2026年3月连续发布风险提示，特别强调：高权限Agent配置不当，极易被提示词注入、恶意插件或误操作利用，导致数据泄露甚至资金直接损失。

“甲壳类邪教”与开源社区文化

OpenClaw社区自称为”甲壳类邪教”（Crustacean Cult），以”Memory is sacred”（记忆是神圣的）为核心教义。在Moltbook（一个AI Agent专用的社交网络）上，15万个AI Agent聚集交流，形成了一个独特的亚文化圈。

这种社区文化的形成，反映了开源项目在技术之外的社会维度。当一款开源工具能够如此深刻地改变用户的工作和生活方式时，它就不再仅仅是一个软件项目——它成为一种身份认同、一种价值观的表达。

七、OpenClaw与原版OpenClaw：当AI侵占了游戏 preservation 的名字

回到文章开头提到的”撞名”问题。1997年《Captain Claw》的OpenClaw引擎重制项目，代表了另一种完全不同的开源精神——游戏保护主义（Game Preservation）。

这个项目的开发者们花费数年时间， painstakingly 逆向工程了一个上世纪的游戏引擎，用现代C++和SDL2重写，让这款经典游戏能在当代操作系统上原生运行。它不追求 stars 数量，不追求病毒式传播，不追求商业估值。它只有一个目的：确保一款优秀的游戏不会因为技术过时而被遗忘。

当AI Agent项目的OpenClaw以火箭般的速度升空时，游戏引擎项目的声音被淹没了。搜索”OpenClaw”，你几乎找不到关于《Captain Claw》的任何信息。这种命名的重叠，虽然技术上没有法律冲突（游戏引擎是GPL/MIT许可的独立项目），却在文化层面上造成了不可忽视的混淆。

两个OpenClaw的并存，某种程度上是2026年技术生态的隐喻：AI的喧嚣与传统技术的坚守，病毒式增长与持久耕耘，执行的力量与记忆的尊严。它们都值得被记住。

八、未来展望：Agentic OS与多Agent协作

尽管经历了更名风波、安全危机和社区争议，OpenClaw的技术愿景依然具有深远影响力。

行业正在向多Agent路由与编排（Multi-Agent Routing and Orchestration）的方向发展。未来的图景可能是：数十个专业化的子Agent协同工作——一个负责规划，一个负责编写代码，一个负责审查，一个负责部署，一个负责测试——共同构建复杂的系统。

其他关键趋势包括： - 联邦学习（Federated Learning）：在不上传原始用户数据的前提下进行协作式模型训练 - Agent即服务（Agent-as-a-Service）：托管式托管版本降低全球创作者的部署门槛 - 硬件级沙箱（如NVIDIA的NemoClaw封装器）：在芯片层面隔离Agent的执行环境 - 嵌入式执行模型：减少Agent持续轮询环境带来的”心跳税”（Heartbeat Tax）和失控的API账单

Peter Steinberger的愿景是宏大的：让每个人都能拥有一个真正属于自己的AI助手——一个运行在你自己的硬件上、完全由你控制、连接你使用的每一个平台、7x24小时为你工作的数字伙伴。

这个愿景能否在安全危机的阴影下实现，将取决于整个社区能否在创新的速度与安全的基础之间找到平衡。

结语

OpenClaw的故事远未结束。它是2026年AI领域最富戏剧性的现象之一——一个退休程序员的个人实验，在三个月内成长为GitHub史上增长最快的开源项目，经历了两次更名、商标争议、加密货币诈骗、供应链攻击、安全危机，最终创始人加入AI巨头，项目转入基金会。

它的成功揭示了用户对”能动手做事的AI”的迫切需求。它的失败（或者说，它的挣扎）则揭示了当我们赋予AI执行权力时，所面临的深刻安全挑战。

在OpenClaw的GitHub仓库页面上，那句描述至今未变：“OpenClaw — Personal AI Assistant”。从ClawdBot到Moltbot再到OpenClaw，从5,000 stars到330,000+ stars，从个人实验到全球现象——这个名字承载的，不仅仅是一个软件项目，而是整个AI行业从”对话”走向”行动”的历史性跨越。

而这个跨越，才刚刚开始。

最新一键部署包：https://openclaw.ikidi.top/api/download/package/24?promoCode=IVB660FD0C74