2026 年 1 月,一位独立开发者发布了开源 AI Agent 项目 OpenClaw。72 小时内获得 6 万 GitHub Star,到 3 月已超越 React 成为 GitHub 上 Star 数最高的软件项目(25 万+)。这不只是一次病毒式传播——而是一个信号。我们分析了 OpenClaw 爆发式增长背后的 5 大趋势:
- 从聊天机器人到自主 Agent — AI 在你睡觉时帮你干活
- 本地优先的 AI 革命 — 隐私、掌控权、告别订阅疲劳
- 消息应用变身 AI 操作系统 — 你的 WhatsApp 就是你的指挥中心
- Vibe Coding 与超级个体 — 一个人、30 万行代码、零员工
- AI Agent 安全 — 没有人准备好的全新风险前沿
2026 年初,三件事标志着 AI 领域发生了根本性转变。
一位奥地利独立开发者 Peter Steinberger 发布的开源项目,72 小时内获得 6 万 GitHub Star——史上最快。与此同时,安全研究人员披露了首个严重的 AI Agent 漏洞(CVE 严重度 8.8),证明自主 AI 系统可以被远程劫持。而在深圳,政府机构开始试验用 AI Agent 辅助行政决策。
这些事件有一个共同主线:AI 不再是你对话的工具,它正在变成替你行动的实体。
这场变革的核心项目就是 OpenClaw——曾经叫 Clawdbot,短暂叫过 Moltbot,现在是 GitHub 上 Star 数最高的软件项目。它的红色龙虾吉祥物,已成为一场范式转变的标志性符号。
我们从 OpenClaw 发布之初就在持续追踪。以下是它的崛起所揭示的 5 大趋势——以及这些趋势对开发者、产品构建者和所有 AI 用户的意义。
OpenClaw 是什么?一切的起点
在分析趋势之前,我们需要理解 OpenClaw 为何爆发。
Peter Steinberger 不是新人。他创办的 PSPDFKit 软件安装量超过 10 亿台设备。2022 年卖掉股份后,他花了三年时间旅行,"试图寻找人生的下一个意义"。最终他意识到:你无法"找到"目标——你只能"创造"目标。
他的创造始于一个看似简单的问题:能不能让 AI 助手通过聊天应用检查我电脑上的工作进度?
2025 年 11 月的一个夜晚,他将消息 API 连接到 Claude 的 API,加上本地系统访问权限,一个小时就做出了原型。他以为 OpenAI 或 Anthropic 肯定会做类似的东西。但他们没有。
"大公司做不了这件事。这不是技术问题,而是组织架构问题。" — Peter Steinberger,来自 36kr
2026 年 1 月 25 日,项目公开发布,第一天就获得 9000 Star。然后混乱开始了:
- 商标争议 — Anthropic 律师函要求改名,"Clawdbot" 和 "Claude" 太像。Steinberger 改名为 "Moltbot"——因为龙虾需要蜕壳才能成长。
- 1600 万美元骗局 — 释放旧的 @clawdbot 社交账号时,加密货币诈骗团伙在几秒内抢注。他们推广虚假的 $CLAWD 代币,市值飙升至 1600 万美元后归零。这就是后来所谓的"10 秒灾难"。
- 最终定名 — 项目最终定名 OpenClaw。一周内改名三次——在软件史上极为罕见。
但动荡反而团结了社区。用户们发现,AI 真正在做什么比它叫什么更重要。
| 指标 | 数据 |
|---|---|
| 首日 GitHub Star | 9,000+ |
| 72 小时 GitHub Star | 60,000+ |
| 达到 10 万 Star | 不到 1 个月 |
| 当前 Star(2026 年 3 月) | 250,000+ |
| 代码行数 | 300,000+ |
| 单周访客峰值 | 2,000,000+ |
| GitHub 排名 | 非聚合类软件项目 #1(超越 React) |
OpenClaw 的工作原理:Local Gateway 架构
大多数 AI 工具是沙箱化的——ChatGPT 无法读取你桌面上的文件,Claude 无法重启你的服务器。OpenClaw 通过 Local Gateway 架构解决了这个问题:
- 作为后台 Node.js 服务运行在你的 Mac、PC 或 VPS 上
- 监听来自你首选平台的消息(WhatsApp、Telegram、Discord、Slack、Signal、iMessage)
- 收到指令后,将上下文发送给你选择的大模型(GPT-5、Claude 3.5 或本地 Ollama 模型)
- 大模型解析意图后,OpenClaw 在本地执行操作——读写文件、运行 Shell 命令、管理 Docker 容器
- 结果通过聊天回传给你
和其他 AI 工具的核心区别:OpenClaw 不只是思考,它真的在做事。
趋势一:从聊天机器人到自主 Agent
到 2026 年底,我们预计超过 50% 的新 AI 工具将具备某种形式的自主执行能力。复制粘贴式 AI 的时代正在终结。
正在发生什么
OpenClaw 最惊艳的不是某个单一功能——而是它所代表的行为范式转变。用户不再想从 ChatGPT 复制代码粘贴到终端,他们要 AI 直接应用修复。
OpenClaw 的**"心跳"系统**完美体现了这一点。通过 Cron 定时任务,Agent 会主动监控系统并先给你发消息:
- "你的磁盘空间已用 92%,我清理了 3.2 GB 临时文件。"
- "你的 SSL 证书 7 天后过期,要我续签吗?"
- "我发现了 47 次失败的登录尝试,以下是摘要。"
但最令人震撼的案例来自 Steinberger 本人。在摩洛哥度假时,有人在 Twitter 上发了一个 bug 截图。他随手把截图转发到聊天应用——然后继续度假。
他的 AI Agent 独立完成了:
- 理解推文内容
- 找到对应的 Git 仓库
- 定位代码中的 bug
- 编写修复代码
- 提交 commit
- 回复 Twitter 用户:"已修复。"
Steinberger 全程没有打开电脑。
另一次,他给 AI 发了一条语音消息。系统从未被编程处理语音。但 Agent 自行想出了办法:检查文件头,识别为音频格式,找到机器上的 ffmpeg,发现 Whisper 未安装,调用 OpenAI API 转录,最后返回文字回复。
为什么重要
这意味着:AI Agent 正在从被动工具转变为主动协作者。 这不是更好的聊天界面或更聪明的回答,而是能够独立观察、决策和行动的 AI 系统。
代表性产品
- OpenClaw — 主动式、本地优先 AI Agent 的先驱
- AutoGPT — 最早的自主 Agent 实验之一
- CrewAI — 基于角色的多 Agent 协作编排
我们的判断
"Agentic 转变"不是炒作——它比大多数人预测的来得更快。OpenClaw 的病毒式传播证明用户已经准备好迎接"做事的 AI"。2026 年每个 AI 工具构建者的关键问题是:你的产品在做事,还是只在提建议?
趋势二:本地优先的 AI 革命
本地优先 AI 将成为 2026 年的重要差异化因素。用户越来越要求数据存储和控制的透明度。
正在发生什么
2026 年,数据隐私问题达到历史新高。OpenClaw 用一种激进的方式正面回应:你的数据永远不会离开你的设备。
这套架构建立在三大隐私支柱之上:
- 本地执行 — OpenClaw 运行在你的硬件上。文件本地读取、命令本地执行、结果本地处理。
- 本地文件存储记忆 — 不是不透明的云端数据库,而是你可以随时查看、编辑或删除的本地 Markdown 文件。
- BYO-Key 模式 — 无订阅费,无平台费。自带 API Key,按实际使用的 Token 付费——对很多用户来说比每月 20 美元的固定订阅便宜得多。
| 特性 | OpenClaw | ChatGPT / Claude | Perplexity |
|---|---|---|---|
| 交互方式 | 主动(可先给你发消息) | 被动(等你输入) | 被动(搜索导向) |
| 运行环境 | 本地(Shell 访问) | 云端沙箱(安全但受限) | 浏览器 |
| 连接方式 | WhatsApp / Telegram / Slack | Web / App | Web |
| 记忆存储 | 本地文件(用户控制) | 云数据库(不透明) | 基于会话 |
| 费用模式 | BYO-Key(按 Token 付费) | $20/月 订阅 | $20/月 订阅 |
| 模型锁定 | 无(模型无关) | 厂商锁定 | 厂商锁定 |
为什么重要
本地优先模式同时解决了三个问题:
- 隐私 — 敏感数据(代码、邮件、文档)留在你的机器上,只有必要的上下文 Token 被发送给大模型。
- 成本控制 — 重度用户每天做几百次 AI 调用,BYO-Key 更省钱;轻度用户每周几次调用,省得更多。
- 自由 — 模型无关意味着没有厂商锁定。几秒内从 GPT-5 切换到 Claude,再切换到本地 Llama 模型。
代表性产品
- OpenClaw — 本地优先 AI Agent 的旗舰
- Ollama — 运行开源模型的本地 LLM 运行时
- LM Studio — 运行本地语言模型的桌面应用
我们的判断
我们认为本地优先 AI 将成为 2026 年的关键差异化方向。2023-2025 年主导的中心化订阅模式正在受到挑战。用户想要掌控权——掌控数据、掌控 Agent 的记忆、掌控 AI 预算。OpenClaw 证明了市场对这种模式有巨大需求。
趋势三:消息应用变身 AI 操作系统
正在发生什么
设想一下:如果你再也不需要打开另一个应用来完成工作,你的 WhatsApp 或 Telegram 就是你的操作系统?
OpenClaw 让这成为现实。通过全渠道集成,用户在聊天中控制整个数字生活:
"检查过去一小时的 Nginx 错误日志,总结关键问题。" — OpenClaw 运行 grep 命令、分析输出,发送格式化摘要。
每天早上 8:00,Agent 扫描日历和未读邮件,将整理好的日程发送到你的 WhatsApp。
"把 server.js 重构为 async/await。" — 读取文件、重写代码、保存修改。不需要 IDE。
"每 30 分钟检查一次竞品定价页,价格低于 50 美元时提醒我。" — 持续监控,智能提醒。
接入 Home Assistant:"如果到上午 10 点我还没发消息,打开卧室灯并播放音乐。"
为什么重要
这一趋势代表了所谓**"Wrapper 应用的终结"**。简单的 AI 包装工具——那些只是在 API 调用上套一层 UI 的工具——正在变得过时。当你的聊天 Agent 用一条消息就能做同样的事,为什么还要用单独的应用?
对产品构建者来说,这个信号很明确:如果你的产品核心价值可以被一个 OpenClaw "Skill"(插件)复制,那你就有麻烦了。AgentSkills 生态系统允许社区通过简单安装来构建和分享新能力——从 Google 搜索集成到 Home Assistant 控制。
我们的判断
我们正在迈向一个消息平台成为 AI Agent 主要交互层的世界。不是所有人都会采用这个范式——企业用户仍需要专用工具来满足合规和审计需求。但对开发者、重度用户和小团队来说,"聊天即操作系统"的模式很有说服力。障碍不是技术——而是习惯。
趋势四:Vibe Coding 与超级个体的崛起
正在发生什么
Peter Steinberger 的故事在很多方面比 OpenClaw 本身更重要。事实是这样的:
- 他是 iOS 开发者,做了 20 年,零 TypeScript 经验
- 利用 AI 辅助开发,他构建了一个 30 万行的 TypeScript Web 应用——一个他从未接触过的技术栈
- 他基本上独自维护这个项目,日常节奏是"凌晨 5 点讨论功能、6 点写代码、中午发版"
- 他承认:"我从未读过我发布的某些代码。"
这就是"ambient programming"或"vibe coding"的真实样貌。开发者提供愿景、品味和架构决策,AI 处理语法、实现细节和样板代码。
"当你切换到另一个技术栈时,你会觉得自己像个白痴。你理解所有概念,但不知道语法细节。但有了 AI,这些问题全部消失。你仍然可以运用系统级思维,知道如何构建大规模项目,有自己的品味。这些才是真正有价值的东西。" — Peter Steinberger
但 Steinberger 也发出了警告:
"如果你没有愿景,不知道要构建什么,你最终只会生产垃圾。有了 AI,开发者现在可以'构建一切',但想法和品味才是关键。"
超级个体现象
OpenClaw 不是唯一的例子。数据很有说服力:
| 公司 | 团队规模 | 成就 |
|---|---|---|
| OpenClaw | 1 人(+ 贡献者) | 25 万+ GitHub Star,最高 Star 软件项目 |
| Cursor | 4 位创始人(18 个月未招人) | 293 亿美元估值,10 亿+ 美元年收入 |
| Midjourney | ~120 人 | 2 亿美元年收入,人均产出 455 万美元 |
| 传统科技公司(如 Oracle) | 数千人 | 人均产出约 30 万美元 |
为什么大公司无法复制
36kr 的分析给出了一个残酷的解释:这不是能力问题,而是组织问题。
- Google 做不好 AI 搜索(如 Perplexity),因为这会蚕食广告收入(占总收入 80%+)
- Microsoft 不能让 Copilot 太强,否则用户不再需要 Office 365 的其他功能
- Anthropic 有最好的模型,但不能给它们完整的系统访问权限——责任和合规风险太高
OpenClaw 没有这些约束。没有企业客户要维护,没有股价要保护,没有遗留系统要兼容。它唯一的 KPI:工具好不好用?
我们的判断
2026 年将出现更多"超级个体"的故事。AI 辅助编程 + 开源分发 + 全球社区贡献的组合创造了一个飞轮效应,大型组织难以匹敌。真正有价值的技能正在从"懂语法"转向"有愿景、有品味、有工程思维"。
趋势五:AI Agent 安全——全新前沿
如果你正在运行 OpenClaw 或任何具有系统访问权限的 AI Agent,请确保使用最新版本,尽可能实施沙箱隔离,切勿给 AI Agent 无限制的 root 访问权限。
正在发生什么
"AI 能在你的电脑上做任何事"的另一面很明显:当它做错了怎么办?
2026 年初,安全研究人员发现了 ClawJacked —— OpenClaw 的远程代码执行漏洞,CVE 严重度评分 8.8(满分 10)。攻击者可以远程接管 OpenClaw 实例,获得用户授予 Agent 的所有系统权限。
但安全挑战不止于传统漏洞:
- 幻觉问题 — 一个产生幻觉的 Agent 如果有
rm -rf权限,后果可能是灾难性的。和聊天机器人给错建议不同(你可以忽略),自主 Agent 会执行它的错误。 - 社会工程攻击向量 — $CLAWD 代币骗局表明 AI Agent 的热度可以被武器化利用。加密货币欺诈者在改名后几秒内就劫持了项目的社交媒体身份。
- 权限悖论 — OpenClaw 的强大来自完整的系统访问权限。但给 AI Agent 读取邮件、控制文件、管理智能家居的权限,创造的攻击面是传统安全模型无法覆盖的。
Steinberger 甚至把 AI 连接到了门锁系统。他坦言:"理论上,AI 可以把我锁在家门外。"
为什么重要
AI Agent 安全与传统软件安全有根本性区别:
- 可预测的执行路径
- 明确的输入/输出边界
- 静态权限模型
- 已知的攻击面
- 不确定性行为(LLM 输出不固定)
- Agent 自主创建执行路径
- 需要动态、上下文感知的权限
- 每新增一个"Skill"就扩大攻击面
我们的判断
我们预计 AI Agent 安全将在 2026 年成为一个独立的产品品类。行业需要:
- AI 防火墙 — 实时监控和约束 Agent 行为的系统
- 沙箱执行 — 在隔离环境中运行 Agent,限制爆炸半径
- 权限框架 — 为不确定性 AI 设计的细粒度、上下文感知权限系统
- 审计追踪 — 完整记录 Agent 每一个操作,用于合规和调试
率先解决 AI Agent 安全问题的组织将获得巨大价值。这是全新的前沿。
交叉分析:元趋势
这五个趋势不是孤立的。它们汇聚在一个元趋势上:AI 正在从你使用的工具进化为你委托的协作者。
- 计算的去中心化 — 从纯云端到本地优先,从厂商锁定到模型无关。用户正在夺回掌控权。
- 交互的自然化 — 从 GUI 到聊天,从点击按钮到描述意图。界面正在消失。
- 能力的民主化 — 从大团队到超级个体,从懂语法到有愿景。构建的门槛正在崩塌。
OpenClaw 处于这三者的交汇点。它是一个本地优先、聊天驱动、可由个人构建的 AI 系统。它在不到四个月内成为 GitHub 上 Star 数最高的软件项目,这告诉我们一个重要信息:这就是人们想要的。
问题不是这个未来是否到来,而是你是否正在为它做准备。
不同角色的行动建议
- 开始尝试 AI Agent 开发模式——Agentic 范式和传统 API 集成完全不同
- 学习构建本地优先架构和模型无关设计
- 为 OpenClaw 的 AgentSkills 生态贡献插件,理解插件开发模式
- 投资"工程思维"而非语法知识——愿景和品味才是新的护城河
- 审视你的产品:核心价值能否被一个 OpenClaw Skill 复制?如果是,你需要差异化
- 重新思考交互范式——考虑你的产品在聊天优先世界中如何运作
- 研究"超级个体"现象,获取竞争情报
- 构建对 Agent 友好的 API 和集成
- 在部署任何自主系统之前,评估 AI Agent 安全框架
- 制定 AI Agent 权限、审计追踪和事件响应的政策
- 考虑将本地优先模式用于敏感数据处理
- 关注 AI Agent 安全产品——这个品类将在 2026 年快速成熟
- 尝试 OpenClaw 或类似工具进行个人效率自动化
- 从低风险任务开始:日历摘要、文件整理、系统监控
- 使用 BYO-Key 模式控制成本——避免不必要的订阅
- 始终对 AI Agent 实施沙箱隔离,定期审查其操作
常见问题
OpenClaw 是什么?和 ChatGPT 有什么区别?
OpenClaw 是一个开源的、自托管的 AI Agent,运行在你的本地设备上。和 ChatGPT 在浏览器中等待你输入不同,OpenClaw 能主动执行任务——读写文件、运行 Shell 命令、管理 Docker 容器——还能通过 WhatsApp、Telegram 或 Discord 先给你发消息。正如 Powerdrill 的总结:"ChatGPT 是思考者,OpenClaw 是行动者。"
OpenClaw 安全吗?
OpenClaw 拥有完整的系统访问权限,因此存在固有的安全风险。2026 年初发现并修补了名为 ClawJacked 的严重漏洞(CVE 严重度 8.8)。项目迭代修复很快,但用户应实施沙箱隔离、限制权限,并保持软件更新。切勿给任何 AI Agent 无限制的 root 访问权限。
OpenClaw 能完全离线运行吗?
部分可以。OpenClaw 本身运行在你的本地设备上,数据也保留在本地。但如果使用 GPT-5 或 Claude 等云端大模型,API 调用会发送到对应的服务商。要完全离线运行,可以搭配 Ollama 使用本地模型(Llama、Mistral 等),但性能取决于你的硬件配置。
OpenClaw 支持哪些大模型?
OpenClaw 采用模型无关架构。支持 OpenAI(GPT-4、GPT-5)、Anthropic(Claude 3.5)、Google(Gemini),以及通过 Ollama 运行的本地开源模型(Llama、Mistral、DeepSeek)。可以随时切换模型,无需更改工作流。
如何开始使用 OpenClaw?
OpenClaw 需要 Node.js 环境,作为后台服务运行。克隆 GitHub 仓库,配置你首选的 LLM API Key 和消息平台(Telegram、WhatsApp、Discord 等),启动服务即可。AgentSkills 插件系统支持逐步添加功能。建议从简单任务开始,如系统监控,再逐步过渡到更复杂的自动化。
数据附录:关键来源与统计
| 数据点 | 数值 | 来源 | 日期 |
|---|---|---|---|
| 首日 GitHub Star | 9,000+ | 36kr | 2026 年 1 月 |
| 72 小时 GitHub Star | 60,000+ | Powerdrill | 2026 年 1 月 |
| 达到 10 万 Star | 不到 1 个月 | the180i.com | 2026 年 2 月 |
| 当前 GitHub Star | 250,000+ | Star History | 2026 年 3 月 |
| GitHub 排名 | 超越 React(非聚合类 #1) | Star History | 2026 年 3 月 |
| 代码行数 | 300,000+ | 36kr | 2026 年 3 月 |
| 单周访客峰值 | 2,000,000+ | Medium | 2026 年 2 月 |
| ClawJacked CVE 严重度 | 8.8 / 10 | PBX Science | 2026 年 2 月 |
| $CLAWD 骗局市值峰值 | 1600 万美元 | 36kr | 2026 年 1 月 |
| Cursor 估值 | 293 亿美元 | 36kr | 2026 年 |
| Cursor 年收入 | 10 亿+ 美元 | 36kr | 2026 年 |
| Midjourney 年收入 | 2 亿美元 | 36kr | 2025 年 |
| Midjourney 人均产出 | 455 万美元 | 36kr | 2025 年 |
所有数据来自公开报道。标注近似值(如"25 万+")的数据反映截至发稿时的最新可用数据。
