2026 年 2 月,AI Agent 领域的现象级项目 OpenClaw(前身为 Clawdbot、Moltbot)以 “每两天一个版本” 的狂飙速度引爆行业。从接入 Google Gemini 3.1 Pro 到上线 Apple Watch 伴侣应用,从嵌套子智能体架构到 Discord 实时语音交互,OpenClaw 在全场景覆盖、模型生态、复杂任务处理能力上实现跨越式升级,甚至吸引 AI 圈顶流 Andrej Karpathy 专门购置 Mac mini “折腾”。
但狂欢背后,这个 40 万行代码的 “巨兽” 正深陷安全危机:512 个已发现漏洞、3 万个暴露的公网实例、12% 的恶意技能污染、毫秒级远程代码执行漏洞,让 Karpathy 直言其为 “安全噩梦”。与此同时,创始人 Peter Steinberger 宣布加入 OpenAI,项目过渡为独立基金会,为这场 “速度与风险并存” 的进化增添了更多变数。
一、狂飙进化:四大维度全面突破
1. 全场景覆盖:从 Mac mini 到 Apple Watch 的生态跃迁
OpenClaw 在 2 月完成了从 “服务端程序” 到 “全终端智能体” 的蜕变,iOS 生态推进尤为迅猛:
-
2 月 9 日:发布 iOS 节点应用 Alpha 版,通过 setup-code 引导流程实现手机端首次接入;
-
2 月 17 日:新增 iOS 分享扩展,用户可直接从系统分享菜单推送 URL、文字、图片给 AI 助手,打断感降至最低;
-
2 月 19 日:Apple Watch 伴侣应用上线,支持查看收件箱、收发通知、批准 / 拒绝操作请求,APNs 推送唤醒机制确保后台可靠响应;
-
2 月 21 日:手表端操作无缝桥接至 iOS 主应用,优化 Talk Mode(扬声器输出时禁用语音打断),减少 TTS 误触发。
短短 20 天,OpenClaw 已形成 “桌面 + 手机 + 手表” 的全场景覆盖,彻底打破设备壁垒。
2. 架构升级:嵌套子智能体解锁复杂任务
作为本月核心突破,子智能体(Subagents)体系的成熟让 OpenClaw 具备多层级任务处理能力:
-
2 月 15 日:引入嵌套机制,子智能体可生成自身的子智能体(sub-sub-agents),通过
maxSpawnDepth参数限制最大深度(默认 2 层,最多 5 层),搭配深度感知工具策略与 announce 链路由; -
2 月 21 日:优化上下文溢出处理,工具输出超窗口时自动截断压缩,引导模型分块读取,避免崩溃;
-
实际价值:形成树状执行结构,主智能体可拆分复杂任务,子智能体按需分工,例如 “市场调研→数据整理→报告撰写→可视化呈现” 全流程自动化。
3. 模型生态:头部大模型全面集结,践行中立策略
OpenClaw 快速扩张模型版图,实现 “按需切换、择优调用” 的模型中立承诺:
-
2 月 6 日:支持 Anthropic Opus 4.6(前向兼容)与 xAI Grok;
-
2 月 9 日:上线 Grok 网页搜索能力;
-
2 月 13 日:接入 Hugging Face Inference 与 vLLM,提供引导流程与默认模型选择;
-
2 月 17 日:支持 Anthropic Sonnet 4.6,开启 Anthropic 100 万 token 上下文 beta(通过
model params.context1m: true启用); -
2 月 21 日:正式接入 Google Gemini 3.1 Pro 预览版。
目前,OpenClaw 已兼容 Claude、GPT、Gemini、Grok 等主流模型,Token 使用量占 OpenRouter 总量的 13%,成为开源权重模型的核心消费场景。
4. 交互与可靠性:细节打磨提升体验
在交互流畅度与底层稳定性上,OpenClaw 完成多项关键优化:
-
Discord 生态质变:支持语音消息(带波形预览)、Components v2 交互组件(按钮、下拉菜单、模态框)、可复用交互元素、语音频道控制(/vc 命令),子智能体会话绑定 Discord 线程,从 “聊天机器人” 升级为 AI 原生应用;
-
Slack 流式输出:2.17 版引入原生单消息流式输出(chat.startStream/appendStream/stopStream),告别反复编辑消息的笨拙模拟;
-
定时任务大修:解决重复触发、调度器错误隔离、重启后重复执行等问题,支持 webhook 投递与 Telegram 话题精确投递;
-
消息可靠性提升:写前投递队列避免网关重启丢消息,统一跨平台回复线程路由,防止分块消息 “跳线程”。
二、安全噩梦:40 万行代码的攻防战
OpenClaw 的高速迭代背后,是严峻的安全漏洞与攻击风险,成为行业关注的焦点:
1. 致命漏洞与暴露风险
-
漏洞规模:卡巴斯基审计发现 512 个漏洞,含 8 个严重级别漏洞;
-
公网暴露:Bitsight 统计显示,一月底至二月初有超 3 万个 OpenClaw 实例暴露在公网,无身份验证,攻击者可获取 API 密钥、Slack 凭证、聊天历史;
-
远程代码执行:CVE-2026-25253(CVSS 8.8)漏洞可通过恶意网页实现毫秒级 RCE,即使绑定本地回环地址也无法幸免。
2. 供应链污染与恶意攻击
-
ClawHavoc 攻击行动:Koi Security 披露,攻击者在官方技能市场 ClawHub 上传 341 个恶意技能(占比 12%),伪装成无害工具,安装后部署键盘记录器或 Atomic Stealer 恶意软件;
-
安全工具应急响应:Cisco 发布开源 Skill Scanner 工具,Trend Micro 指出已有数百万条记录泄露(含 API 令牌、私人消息),称其为 “安全角度的绝对噩梦”。
3. 应急防护措施
面对攻击威胁,OpenClaw 在每次更新中强化安全机制:
-
加密升级:淘汰 SHA-1,启用 SHA-256,封堵 IPv6/NAT64 绕过的 SSRF 漏洞;
-
沙盒隔离:强制禁用 Docker 沙盒危险配置(Host 网络、关闭安全策略),浏览器移除 --no-sandbox 标志,新增 VNC 密码认证;
-
权限收口:堵住 Discord 权限提升、Webhook 路径遍历等后门,2.21 版引入 owner-ID 混淆与独立 HMAC 密钥。
三、关键转折:创始人加入 OpenAI,项目转型基金会
2 月 16 日,OpenClaw 创始人 Peter Steinberger 宣布重磅消息:加入 OpenAI 负责个人智能体方向开发,OpenClaw 过渡为由 OpenAI 提供资金与技术支持的独立基金会,保持开放、独立属性。
这一转变被业内解读为 “资源注入与独立性平衡” 的尝试 ——OpenAI 的技术与安全资源有望缓解当前的安全危机,但项目能否维持开源中立性,仍待观察。Peter 在声明中强调,OpenClaw “刚刚起步”,暗示未来将持续聚焦智能体的全民化落地。
四、行业影响:Claw 成通用术语,引爆 Agent 生态
OpenClaw 的爆发不仅带动自身进化,更重塑了整个 Agent 领域:
-
术语普及:Simon Willison 撰文指出,“Claw” 已演变为行业通用术语,指代所有类似 OpenClaw 架构的智能体系统;
-
生态热度:Karpathy 将其定义为 “AI 技术栈新层”,称其 “提升编排、调度、上下文管理的天花板”,带动 Mac mini 等设备热销;
-
竞争加剧:引发 MimiClaw 等极简 Agent 项目的差异化竞争,同时推动行业关注安全与实用性的平衡。
五、未来展望:速度与安全的平衡之道
OpenClaw 的二月进化史,是 AI Agent 领域 “高速创新与安全风险并存” 的缩影。一方面,全场景覆盖、嵌套子智能体、多模型兼容等突破定义了下一代 Agent 的核心能力;另一方面,漏洞频发、供应链污染等问题暴露了开源项目高速迭代的隐患。
随着创始人加入 OpenAI、项目转型基金会,OpenClaw 有望获得更充足的安全资源与技术支持,但如何在保持迭代速度的同时建立完善的安全审核机制,将是其持续发展的关键。对于用户而言,当前阶段需谨慎配置权限、审查技能来源,避免因追求前沿功能而遭遇安全风险。
这场 “速度与安全” 的博弈,不仅关乎 OpenClaw 的未来,更将为整个 AI Agent 生态的健康发展提供重要参考 —— 在智能体成为通用工具的路上,创新与安全缺一不可。