近日，開源AI Agent（人工智能助手）“龍蝦”（OpenClaw）異常火爆。與常見的AI聊天機器人不同，這類Agent不僅能回答問題，還能直接操作電腦、調用軟件，甚至在后臺持續(xù)執(zhí)行任務。

支持者認為，它可能成為下一代生產工具；但安全專家則提醒，這項技術仍存在大量風險。一邊是騰訊等大廠紛紛入局、多地“政務小龍蝦”接連上線，另一邊，工業(yè)和信息化部發(fā)布了針對AI養(yǎng)“龍蝦”的安全風險提醒，北京建筑大學、華南師范大學、山東大學等多所高校也接連發(fā)布安全提示。

在熱度背后，一個關鍵問題開始浮現：“龍蝦”到底有多強？普通人需不需要安裝“龍蝦”？

從工具到員工，Agent無法“省掉”判斷力和行業(yè)經驗

作為一個個人開源項目，OpenClaw由奧地利開發(fā)者Peter Steinberger創(chuàng)建，目標是打造一個通過聊天軟件控制的本地AI助手。與傳統AI工具最大的不同在于，它不再只是一個網頁里的聊天框，而是直接運行在操作系統層面。

網絡安全機構深信服深瞻情報實驗室的研究報告指出，OpenClaw的架構由以下五種組件構成：核心控制面Gateway（網關），負責接受來自App或Control UI的指令；基于Web的Control UI（管理界面），負責配置 Agent、工具權限、集成服務；作為遠程執(zhí)行主機的Nodes（節(jié)點）；第三方擴展插件Skills（技能），以及保存于宿主機的長期上下文存儲Memory（記憶）。

一旦獲得權限，“龍蝦”可以執(zhí)行Shell命令、讀寫本地文件、控制瀏覽器，并通過聊天工具接收指令。用戶只需發(fā)一條消息，AI就能在電腦上自動完成一系列操作。

在一些從業(yè)者看來，意味著AI正在從“內容生成工具”走向“生產力工具”。如果說生成式AI主要沖擊的是文字、圖片和視頻創(chuàng)作，那么Agent則可能改變生產方式本身。

Pine AI聯合創(chuàng)始人、首席科學家李博杰對澎湃新聞記者表示，OpenClaw的技術創(chuàng)新突破并不在于某個單一技術點，而在于其對交互范式的定義：通用Agent應該長什么樣、怎么跟人交互、怎么組織記憶和工具。他認為，這個范式的影響力比產品本身更大。

李博杰指出，OpenClaw是第一個將“Deep Research（深度研究）、Computer Use（電腦操作）和Coding（代碼生成）”三種能力整合到一起的開源產品，此前，Manus是第一個做這件事的閉源產品。同時，OpenClaw還提出了幾個很關鍵的設計，包括“隨時隨地”、“沒有Session（對話記憶檔案）”和“數據主權”。

獵豹移動董事長兼CEO傅盛將“龍蝦”體現出的變化形容為“從工具到員工”。他在文章中指出，把AI當工具用和把“龍蝦”當員工用是兩件事：“用工具不需要培訓，不需要給反饋。但用龍蝦是用員工。你要訓練他，給他知識庫，告訴他哪里錯了要改。認真對待他，他才會成長?！?/p>

來自清華大學的“清新研究”團隊在《OpenClaw發(fā)展研究報告》中提出，通過不斷執(zhí)行任務、總結經驗并學習新技能，OpenClaw正在逐漸形成一種能夠自我“進化”的系統。報告還預測，未來每個人都會擁有由多個Agent組成的“數字員工團隊”。

北京郵電大學數字媒體與設計藝術學院副教授譚劍也對記者指出，隨著Agent的持續(xù)發(fā)展，“一人公司”一定會出現，而且已經開始出現。不過，他也強調，很多人都以為“一人公司”是指一個人躺著、AI替你賺錢，但事實并非如此：“這個‘人’要負責做最關鍵的、與調度和營收最相關的那10%的計劃性工作。AI省掉的是人頭，省不掉的是判斷力和行業(yè)經驗?！?/p>

能力與風險“雙刃劍”，尚未成為大眾產品

盡管OpenClaw展現出驚人的自動化潛力，但技術人員和安全專家對其背后的風險發(fā)出了密集警告。

深瞻情報實驗室在報告中指出，OpenClaw需要獲取用戶設備的廣泛權限，包括系統文件訪問、瀏覽器Cookie、API密鑰等敏感信息。這種深度集成存在巨大的安全隱患。

據統計，截至2026年2月，已披露的OpenClaw漏洞至少達到110個，其中部分漏洞已出現可直接利用的攻擊代碼；全球公網中可探測到的OpenClaw實例超過13.5萬個，其中上萬臺存在遠程代碼執(zhí)行風險。深瞻情報實驗室表示，OpenClaw背后的漏洞數量之多、影響之廣，在AI工具領域尚屬罕見。

同時，插件生態(tài)也成為新的隱患。在OpenClaw的插件平臺ClawHub中，研究人員發(fā)現約20%的技能插件可能包含惡意代碼，例如竊取用戶憑證或下載惡意程序。由于該平臺的技能發(fā)布門檻極低，僅要求發(fā)布者擁有創(chuàng)建超過一周的GitHub賬戶即可完成上傳，進一步放大了惡意技能流入生態(tài)并被廣泛使用的風險。

對于“龍蝦”可能帶來的風險，譚劍給出了更直白的解讀：“OpenClaw在架構上有五個天然的致命組合：它有你電腦的最高權限、它什么消息都收、沒有可靠的辦法區(qū)分正常指令和惡意指令、它的記憶一旦被污染就永久改變行為，并且還能往外發(fā)郵件發(fā)數據。加在一起，本質上就像你把公司鑰匙給了一個你控制不住的實習生，而且這個實習生會聽信任何人寫在紙條上的話。”

李博杰也指出，要理解“龍蝦”的安全風險，才能理解它為什么是“極客工具”而不是大眾產品：“OpenClaw給了Agent完整的本地系統權限，這是它強大的來源，同時也是最大的風險來源?！?/p>

不過，李博杰認為，行業(yè)并沒有高估“龍蝦”這一類Agent的能力，現在暴露出來的安全問題，本質是安全工程還沒跟上能力發(fā)展的速度：“OpenClaw今天的狀態(tài)有點像早期的開源系統Linux，功能強大，但你得是個極客才能玩得轉，安全配置要自己操心。這不代表Linux的能力被高估了，事實上很快就出現了Red Hat、Ubuntu這些企業(yè)級發(fā)行版，把同樣強大的內核包裝成普通人和企業(yè)都能安心使用的產品?！?/p>

因此，李博杰預測，“龍蝦”接下來也會經過同樣的歷程。OpenClaw負責定義范式，商業(yè)產品負責把這個范式安全地交付給大眾。

就在3月13日晚間，國家網絡安全通報中心發(fā)布OpenClaw安全風險預警，預警中列出了OpenClaw五大主要安全風險：架構設計缺陷多，層層皆可破；默認配置風險高，公網暴露廣；高危漏洞數量多，利用難度低；供應鏈投毒比例高，生態(tài)不安全；智能體行為不可控，管控難度大。