OpenClaw 在 2026 年 3 月 3 日超越 React,以超过 250,000 颗 GitHub Stars 成为史上成长最快的开源项目。这个由奥地利开发者 Peter Steinberger 在 2025 年 11 月以「周末 side project」身份推出的自主式 AI Agent,从发布到突破 25 万星只花了大约 60 天。对比之下,Linux 花了 30 年才累积 218,000 星,React 花了超过 10 年才到 243,000。NVIDIA 执行长黄仁勋在 GTC 2026 大会上直接宣称:「每家公司现在都需要一个 OpenClaw 策略。」
从周末 Hack 到企业基础设施
Steinberger 的背景值得关注。他是 PSPDFKit(PDF SDK 公司,70 多名员工)的创办人,第一次出场就是成功的 B2B SaaS 创业者。2025 年他尝试用 AI 做一个能透过 WhatsApp 对话、实际执行任务的私人助理。2025 年 11 月以 Clawdbot(「Claude with hands」)的名字开源上线。
接下来的事情走得很快:
| 时间 | 事件 |
|---|---|
| 2025 年 11 月 | Steinberger 以 Clawdbot 名称开源发布 |
| 2026 年 1 月 27 日 | Anthropic 发出商标投诉,改名 Moltbot |
| 2026 年 1 月 30 日 | 再改名 OpenClaw,同周突破 100,000 GitHub Stars |
| 2026 年 2 月 3 日 | CVE-2026-25253(CVSS 8.8)漏洞公开揭露 |
| 2026 年 2 月 14 日 | Steinberger 加入 OpenAI;专案转移至独立基金会 |
| 2026 年 3 月 3 日 | 超越 React 成为 GitHub 最多星的软件专案(250,829 星) |
| 2026 年 3 月 16 日 | NVIDIA 在 GTC 2026 发表 NemoClaw 企业安全架构 |
Sam Altman 把 Steinberger 挖进 OpenAI 的评语是「a genius with a lot of amazing ideas about the future of very smart agents」。OpenAI 现在赞助这个专案但不拥有程式码,专案在 501(c)(3) 基金会下独立运作。
OpenClaw 跟 ChatGPT、Claude 到底差在哪
差异在定位。ChatGPT 和 Claude 是对话式 AI,你问它答。OpenClaw 是自主式 AI Agent,它不只回答问题,它实际执行任务。
| 功能维度 | ChatGPT / Claude | OpenClaw |
|---|---|---|
| 部署方式 | 云端 SaaS | 自架(本机/云端伺服器) |
| 资料位置 | 供应商伺服器 | 你自己的装置 |
| 执行能力 | 生成文字、回答问题 | 执行 Shell 指令、操作浏览器、读写档案、管理行事历 |
| 讯息管道 | 专属介面 | WhatsApp、Telegram、Slack、Discord 等 20+ 平台 |
| 主动性 | 被动回应 | 主动监控(heartbeat 功能)、定时触发 |
| 记忆 | 对话内暂存 | 持久性长期记忆,跨对话累积 |
| 扩充性 | 外挂/GPTs | Skills 生态系(ClawHub 上已有 10,700+ 技能包) |
| 模型选择 | 绑定供应商模型 | 模型不可知:Claude、GPT、Gemini、本地 Ollama 等均支援 |
OpenClaw 的核心架构是一个 Gateway(Node.js 长驻服务),连接讯息平台和 AI Agent。你在 WhatsApp 上传一条讯息说「帮我整理昨天的 email 并回覆最紧急的三封」,OpenClaw 会拆解任务步骤、写必要的程式码、执行动作,然后回报结果。
企业实际用途:五个已验证的场景
根据 Contabo、DigitalOcean 和社群回报,以下是目前企业端实际在跑的 OpenClaw 工作流:
1. 电子邮件分流与自动回覆
OpenClaw 连接 Gmail 后,可以自动分类邮件、摘要重点、为低优先级别邮件撰写回覆草稿。一位开发者回报,配置完成后每周节省约 5 小时的 email 处理时间。
2. 跨系统资料同步
CRM 更新 → 自动同步到 Notion 专案看板 → 触发 Slack 通知。OpenClaw 透过 MCP 协定和 Shell 指令串接不同系统,取代过去需要 Zapier 或客制 API 的工作。
3. 程式码审查与 DevOps 监控
OpenClaw 可以定期扫描相依套件、比对 CVE 资料库、产出优先排序的更新清单。一个 DevOps 团队把它设定成每周执行,报告格式包含安全等级和影响范围。
4. 机密文件问答(本地 RAG)
搭配 Ollama 本地模型,OpenClaw 可以索引内部文件(合约、会议纪录、技术文档),提供语意搜寻。资料全程不离开公司基础设施,适合有合规要求的产业。
5. 主动式系统监控
利用 heartbeat 功能,OpenClaw 可以监控伺服器状态、API 回应时间、资料库空间,异常时主动透过 Telegram 或 Slack 通知负责人。
安全问题:不是小事,是结构性问题
OpenClaw 的安全状况用「严峻」来形容不为过。以下是截至 2026 年 3 月的主要数据:
| 安全指标 | 数据 |
|---|---|
| 已揭露 CVE 数量 | 9 个,其中 3 个有公开利用程式码 |
| 最严重漏洞 | CVE-2026-25253,CVSS 8.8,一键远端程式码执行 |
| ClawHub 恶意技能包 | 1,184+(占整个生态系约 20%) |
| 暴露在公开网路的实例 | 135,000+(SecurityScorecard 扫描结果) |
| 已验证可被攻击的实例 | 17,500+(93.4% 存在认证绕过) |
CVE-2026-25253 的攻击路径很直接:受害者点击一个恶意连结 → 浏览器自动连接本地 OpenClaw Gateway → 认证 Token 被偷走 → 攻击者取得完整系统控制权。即使 OpenClaw 绑定在 localhost,攻击仍然有效,因为恶意网页透过受害者自己的浏览器做跳板。
Gartner 在 2026 年 2 月的报告中直接形容 OpenClaw 的预设配置是「不可接受的网路安全风险」。Microsoft Defender 安全研究团队的声明更明确:「OpenClaw 应被视为具有持久凭证的不受信任程式码执行环境,不适合在标准的个人或企业工作站上执行。」
NVIDIA NemoClaw:企业安全的第一个可靠方案
NVIDIA 在 GTC 2026(2026 年 3 月 16 日)发表 NemoClaw,直接回应企业对 OpenClaw 安全性的疑虑。NemoClaw 不是 OpenClaw 的分支或竞争产品,而是一层包在 OpenClaw 外面的安全与治理架构。
NemoClaw 的三个核心组件:
OpenShell 沙盒(核心层防护)
NVIDIA OpenShell 是一个开源 runtime,在作业系统层级隔离 Agent。每个网路请求、档案存取、推理呼叫都受宣告式政策控管。这不是应用程式层的安全补丁,而是核心层的执行隔离,被入侵的 Agent 无法覆写安全政策。
隐私路由器(资料分流)
敏感资料走本地 Nemotron 模型推理,复杂推理任务才送云端模型。送出前会用差分隐私技术剥除个人识别资讯(PII)。本地加云端的混合架构让企业能控制哪些资料可以离开内网。
YAML 宣告式政策
安全规则用 YAML 定义,IT 团队可以设定 Agent 能存取哪些目录、呼叫哪些 API、连线哪些外部服务。整个政策引擎在 Agent 程序之外执行,Agent 自己无法修改。
硬件方面,NemoClaw 可以跑在任何 NVIDIA GPU 上——从 GeForce RTX 笔电到 DGX Station 和 DGX Spark AI 超级电脑。但要特别注意:NemoClaw 目前还在 early alpha 阶段,NVIDIA 自己的文件写着「不是 production-ready」。
首批合作伙伴包括 Adobe、Salesforce、SAP、CrowdStrike 和 Dell。Dell 是第一个把 NemoClaw + OpenShell 预装在 GB300 Desktop 上出货的硬件合作伙伴。
企业导入决策框架:现在该怎么做
根据目前的安全状况和生态系成熟度,企业导入 OpenClaw 可以分三个阶段:
第一阶段:隔离环境评估(现在就可以做)
在完全隔离的虚拟机或云端沙盒中测试 OpenClaw。不要用正式环境的 API 金钥,用抛弃式帐号。目的是评估 OpenClaw 能处理哪些工作流、需要多少维护成本。DigitalOcean 提供一键部署的安全映像,AWS 也推出了基于 Amazon Bedrock 的 Managed OpenClaw 方案。
第二阶段:NemoClaw 导入试点(2026 年 Q3 之后)
等 NVIDIA NemoClaw 从 alpha 进入 beta 或 GA 阶段。在隔离的开发/测试环境部署 NemoClaw,搭配 NVIDIA GPU 硬件跑本地推理。这个阶段可以开始处理非敏感的内部工作流(如 DevOps 监控、文件摘要)。
第三阶段:渐进式生产部署(视安全生态成熟度)
当 NemoClaw 或同级安全层稳定之后,才把 OpenClaw 接入生产环境。从低风险任务(排程报告、内部通知)开始,逐步扩展到更关键的工作流。
不管在哪个阶段,以下几件事是必要的:
- 永远不要在日常工作的电脑上跑 OpenClaw——用专用硬件或 VM
- 不安装未经程式码审查的 ClawHub Skill
- 启用 Gateway 认证(预设是关的)
- 限制 Agent 的档案系统和网路存取权限到最小必要范围
- 定期轮换所有 API 金钥和认证 Token
实践建议总结
| 建议类别 | 具体行动 |
|---|---|
| 安全优先 | 在任何生产部署前,必须部署 NemoClaw 或同等安全层 |
| 隔离测试 | 先在完全隔离的环境中评估,使用抛弃式帐号 |
| 权限最小化 | 限制 Agent 的档案系统和网路存取权限 |
| 技能审查 | 不安装未经程式码审查的 ClawHub Skill |
| 定期轮换 | 定期轮换所有 API 金钥和认证 Token |
| 监控告警 | 设置异常行为监控和告警机制 |
OpenClaw 代表了 AI Agent 技术的一个重要里程碑,但企业导入必须平衡创新与风险。正如美国企业研究所研究员 Ryan Fedasiuk 所说:「2026 年禁止 AI Agent 就像 1985 年想禁止试算表——生产力提升太大了,不用的机会成本最终会压过风险顾虑。」关键在于找到正确的导入节奏和安全边界。
Reference:
- 来源: OpenClaw 企業導入完整指南
- RSS Feed: Tenten Learning
