2026年3月3日,一个名为OpenClaw的开源项目在GitHub上创造了历史——它以超过25万颗星的战绩超越了React,成为史上成长最快的开源软件。这个数字意味着什么?Linux用了30年才累积到21.8万星,React花了超过10年才达到24.3万。而OpenClaw,从2025年11月作为奥地利开发者Peter Steinberger的"周末side project"发布,到突破25万星,仅仅用了大约60天。
NVIDIA CEO黄仁勋在GTC 2026大会上直接宣称:“每家公司现在都需要一个OpenClaw策略。“但在这股狂热背后,企业决策者需要冷静思考:OpenClaw到底能解决什么商业问题?它的安全风险有多大?中国市场的疯狂采用与政府禁令背后透露什么信号?
OpenClaw vs ChatGPT/Claude:定位的根本差异
很多人困惑:既然已经有了ChatGPT和Claude,为什么还需要OpenClaw?答案在于定位的本质差异。
ChatGPT和Claude是对话式AI——你问它答。OpenClaw是自主式AI Agent——它不只回答问题,而是实际执行任务。这种差异体现在多个维度:
部署方式:ChatGPT/Claude是云端SaaS,数据存储在供应商服务器;OpenClaw是自托管,数据留在你自己的设备。
执行能力:前者生成文字、回答问题;后者能执行Shell指令、操作浏览器、读写文件、管理行事历。
主动性:前者被动回应;后者具备主动监控(heartbeat功能)和定时触发能力。
记忆机制:前者是对话内暂存;后者拥有持久性长期记忆,跨对话累积。
扩展生态:前者依赖外接插件/GPTs;OpenClaw拥有Skills生态系,ClawHub上已有超过10,700个技能包。
模型选择:前者绑定供应商模型;OpenClaw是模型不可知——Claude、GPT、Gemini、本地Ollama等均支持。
OpenClaw的核心架构是一个Gateway(Node.js长驻服务),连接讯息平台和AI Agent。你在WhatsApp上传一条讯息说"帮我整理昨天的email并回覆最紧急的三封”,OpenClaw会拆解任务步骤、写必要的程式码、执行动作,然后回报结果。
企业级应用场景:五个已验证的落地案例
根据Contabo、DigitalOcean和社群回报,以下是企业端实际在跑的OpenClaw工作流:
1. 电子邮件分流与自动回覆
OpenClaw连接Gmail后,可以自动分类邮件、摘要重点、为低优先级的邮件撰写回覆草稿。有开发者回报,配置完成后每周节省约5小时的email处理时间。
2. 跨系统数据同步
CRM更新 → 自动同步到Notion专案看板 → 触发Slack通知。OpenClaw通过MCP协议和Shell指令串接不同系统,取代过去需要Zapier或客制API的工作。
3. 程式码审查与DevOps监控
OpenClaw可以定期扫描相依套件、比对CVE数据库、产出优先排序的更新清单。DevOps团队把它设定成每周执行,报告格式包含安全等级和影响范围。
4. 机密文件问答(本地RAG)
搭配Ollama本地模型,OpenClaw可以索引内部文件(合约、会议纪录、技术文档),提供语意搜寻。数据全程不离开公司基础设施,适合有合规要求的产业。
5. 主动式系统监控
利用heartbeat功能,OpenClaw可以监控服务器状态、API回应时间、数据库空间,异常时主动透过Telegram或Slack通知负责人。
安全危机:结构性风险不容忽视
OpenClaw的安全状况用"严峻"来形容不为过。截至2026年3月的主要数据令人担忧:
- 已揭露CVE数量:9个,其中3个有公开利用程式码
- 最严重漏洞:CVE-2026-25253,CVSS 8.8,一键远端程式码执行
- ClawHub恶意技能包:1,184+(占整个生态系约20%)
- 暴露在公开网路的实例:135,000+(SecurityScoreCard扫描结果)
- 已验证可被攻击的实例:17,500+(93.4%存在认证绕过)
CVE-2026-25253的攻击路径很直接:受害者点击一个恶意连结 → 浏览器自动连接本地OpenClaw Gateway → 认证Token被偷走 → 攻击者取得完整系统控制权。即使OpenClaw绑定在localhost,攻击仍然有效,因为恶意网页透过受害者自己的浏览器做跳板。
Gartner在2026年2月的报告中直接形容OpenClaw的预设配置是"不可接受的网路安全风险”。Microsoft Defender安全研究团队的声明更明确:“OpenClaw应被视为具有持久凭证的不受信任程式码执行环境,不适合在标准的个人或企业工作站上执行。”
NVIDIA NemoClaw:企业安全的第一道防线
NVIDIA在GTC 2026(2026年3月16日)发表NemoClaw,直接回应企业对OpenClaw安全性的疑虑。NemoClaw不是OpenClaw的分支或竞争产品,而是一层包在OpenClaw外面的安全与治理架构。
NemoClaw的三个核心组件:
OpenShell沙盒(核心层防护):NVIDIA OpenShell是一个开源runtime,在作业系统层级隔离Agent。每个网路请求、档案存取、推理呼叫都受宣告式政策控管。这是核心层的执行隔离,被入侵的Agent无法覆写安全政策。
隐私路由器(数据分流):敏感数据走本地Nemotron模型推理,复杂推理任务才送云端模型。送出前会用差分隐私技术剥除个人识别资讯(PII)。本地加云端的混合架构让企业能控制哪些数据可以离开内网。
YAML宣告式政策:安全规则用YAML定义,IT团队可以设定Agent能存取哪些目录、呼叫哪些API、连线哪些外部服务。整个政策引擎在Agent程序之外执行,Agent自己无法修改。
首批合作伙伴包括Adobe、Salesforce、SAP、CrowdStrike和Dell。但要特别注意:NemoClaw目前还在early alpha阶段,NVIDIA自己的文件写着"不是production-ready"。
中国市场的"龙虾热"与政府禁令
OpenClaw在中国的采用速度和规模超过美国市场,形成了一个充满矛盾的局面。
2026年3月6日,深圳腾讯总部外近1,000人排队等工程师帮忙安装OpenClaw。小米宣布了智能手机和家电的OpenClaw整合方案"miclaw"。深圳龙岗区政府发布最高200万人民币的OpenClaw专案补贴。中国社群用"养龙虾"来形容安装和使用OpenClaw,这已经变成一种文化现象。
腾讯在3月10日推出基于OpenClaw的AI产品套件,整合进WeChat和QQ。Tencent Cloud现在是OpenClaw的官方赞助商,在中国17个城市提供免费部署服务器。MiniMax推出MaxClaw,上市两个月市值飙升640%到约490亿美元,超越百度。
但另一方面,中国国家计算机网络应急技术处理协调中心(CNCERT)在3月8日和10日连续两天发出官方警告。国企、最大的银行和政府机关已收到禁止在办公装置安装OpenClaw的通知。
美国企业研究所研究员Ryan Fedasiuk点出了这个矛盾的核心:“北京一边在政府网路上禁止OpenClaw,一边让地方政府补贴基于它的开发。中国政府想抓住Agentic AI的经济好处,同时把它挡在党国体系的核心之外。”
企业导入决策框架
根据目前的安全状况和生态系成熟度,企业导入OpenClaw可以分三个阶段:
第一阶段:隔离环境评估(现在就可以做)
在完全隔离的虚拟机或云端沙盒中测试OpenClaw。不要用正式环境的API金钥,用抛弃式帐号。目的是评估OpenClaw能处理哪些工作流、需要多少维护成本。
第二阶段:NemoClaw导入试点(2026年Q3之后)
等NVIDIA NemoClaw从alpha进入beta或GA阶段。在隔离的开发/测试环境部署NemoClaw,搭配NVIDIA GPU硬件跑本地推理。这个阶段可以开始处理非敏感的内部工作流。
第三阶段:渐进式生产部署(视安全生态成熟度)
当NemoClaw或同级安全层稳定之后,才把OpenClaw接入生产环境。从低风险任务开始,逐步扩展到更关键的工作流。
核心原则:永远不要在日常工作的电脑上跑OpenClaw——用专用硬件或VM;不安装未经程式码审查的ClawHub Skill;启用Gateway认证(预设是关的);限制Agent的档案系统和网路存取权限到最小必要范围;定期轮换所有API金钥和认证Token。
结语:Agentic AI的转折点
这波Agentic AI的浪潮跟之前的chatbot风潮本质不同。Chatbot只是对话介面;OpenClaw代表的是AI从"回答问题"跨入"执行任务"的转折点。
准备好像NemoClaw这样的安全框架的企业,会在这个转折点上拿到先行者优势。2026年Q3是合理的重新评估时间点。正如Fedasiuk所说:“2026年禁止AI Agent就像1985年想禁止试算表——生产力提升太大了,不用的机会成本最终会压过风险顾虑。”
Reference:
