谁在“夺舍”你的Mac？

科技不许冷·2026年02月02日 16:08

上线一周、6 万星标、两度改名：起底 OpenClaw 狂热背后的安全黑洞。

如果你发现自己的电脑或手机正处于一种“半自动”状态，请保持警惕。

就在最近，成千上万的极客已经把自己电脑的最高管理权限，交付给了一个刚上线不到 168 小时、甚至连名字都还没定稳的 AI。这个名为 OpenClaw 的项目，在短短一周内狂揽 6 万星标，甚至让硅谷大佬 Andrej Karpathy 公开背书。

但这绝不是普通的效率工具，而是一场关于“权限夺舍”的赛博冒险。

对于大多数不玩 GitHub 的普通人来说，你只需要知道：这种所谓的“数字员工”，正在绕过你的防火墙，像剥洋葱一样把你的隐私展示给全球的黑客。这不仅是 AI 神话的幻灭，更是 2026 年开年最危险的“裸奔时刻”。从爆火到两度改名，OpenClaw 用最激进的方式，亲手撕开了 AI 智能体行业那层名为“效率”的皇帝新衣。

消失的信任边界：你的“管家”正引狼入室

OpenClaw 宣称自己是所谓的“编排层”，它能通过 WhatsApp、iMessage 甚至 Slack 这类通讯工具，替你订票、理财、回邮件。为了实现这种全能性，它需要常驻在你的 Mac mini 或私有服务器上，并获得系统深处的控制权。

这意味着什么？意味着你不是在安装一个软件，而是在家里雇了一个没有身份证、且随时随地对所有人敞开后门的编排工。

创始人 Peter Steinberger 的背景让这个项目蒙上了一层精英色彩：他曾将 PSPDFKit 以约 1.19 亿美元的价格卖出，财务自由后因“太无聊”而开发了这款工具。但这种“财富自由后的极客实验”与严苛的企业安全之间存在天然的错位。根据安全机构 Token Security 的最新数据，在 OpenClaw 走红的一周内，已有 22% 的企业员工在未经任何 IT 审计的情况下，私自给这个“数字助理”开了门。研究人员发现，数百个 OpenClaw 控制面板在公网上完全处于“不设防”状态，默认开放的 18789 端口甚至连基本的身份验证都没有。

想象一下，你请了个私人管家，但他不仅不锁家门，还在门口贴了张告示：我是你家的管家，这屋里所有的银行卡和保险柜钥匙我都知道在哪，欢迎进来随便问。

致命的 MCP 协议：一封邮件即可完成“夺舍”

在技术底层，OpenClaw 采用的是目前最火的 MCP（模型上下文协议）来实现跨应用执行。但它的实现逻辑却存在严重的“信任坍塌”：它默认信任所有来自本地的连接，却没考虑到现代网络流量普遍会经过反向代理转发。

这意味着什么？意味着你收到一封普通的垃圾邮件，你没点开任何附件，也没点击任何钓鱼链接。

仅仅是因为你的 AI 助手在后台帮你扫描了一下邮件内容，黑客埋在正文里的指令就会瞬间“接管”AI 的大脑。安全专家 Jamieson O’Reilly 在实测中发现，这种“内部信任模型”的崩溃，让攻击者只需通过提示词注入，就能诱导 AI 乖乖交出服务器的 SSH 私钥。在专家看来，这种“认知上下文窃取”比传统的病毒更可怕：它是利用你对工具的信任，在合法的时间，合法地杀掉你。

更荒谬的是其脆弱的供应链生态。O’Reilly 演示了一场教科书级的攻击：他在技能库上传了一个未经审核的插件，仅靠刷高下载量就让7个国家的16名开发者中招。在这个生态里，代码既没有审核也没有签名，用户对插件的盲目信任仅仅建立在虚假的下载数据上。

算力税的真相：这个“助理”比真人还要贵

很多人冲着“开源免费”去尝试 OpenClaw，却不知道这是一台披着 AI 外壳的“超级碎钞机”。

不同于20美元包月的订阅制，OpenClaw 连接的是大厂的开发者 API，每一条指令都在按量计费。因为智能体需要反复读取你之前的对话记录、本地文件和个人偏好，这种“语境记忆”会导致 Token 消耗量像滚雪球一样失控。

让我们算一笔肉疼的账。仅仅是为了让它顺利跑起来，反复调试环境的 API 费用就能花掉 10 美元。如果你每天让它帮你总结新闻、清理待办，月均成本将轻松突破 30 美元，这还不包括你为了运行它而额外购置的硬件电费。如果你追求最高效率并使用开发者推荐的顶级模型，哪怕你只是追问一句“为什么排除这条新闻”，单次查询就要烧掉 64 美分。

这种高昂的成本直接戳破了“ AI 提效”的虚假泡沫。你花几千块买了一台 Mac mini，又每个月掏几百块交“算力税”，最后换来的只是一个帮你回邮件、还随时可能泄露你银行卡号的数字助手。这到底是生产力，还是给算力巨头交的“极客智商税”？

巨头阴影下的脆弱：龙虾脱壳的权谋博弈

在这一周的狂欢中，那两场令人窒息的改名风波，才是这场商业荒诞剧的高潮。

最初叫 Clawdbot，因为名字太像 Claude，被 Anthropic 公司一份“措辞礼貌”的法务邮件直接吓得连夜更名。随后改名 Moltbot，结果导致 GitHub 账号和社交媒体句柄瞬间被恶意机器人抢注。紧接着，假币 $CLAWD 趁乱上线，瞬间收割了1600万美元的市值后崩盘。

这一幕极具讽刺意味：一个致力于通过 AI 实现全自动化、宣称要改变未来的项目，在现实世界的权标博弈面前，居然如此脆弱不堪。这证明了在当前的 AI 生态中，所谓的“开源自由”依然只是寄生在大厂接口上的浮草。巨头无需通过技术封锁，只需动用律师函，就能让一个爆火的项目在物理世界彻底“社会性死亡”。

从逻辑归因上看，这种脆弱性是必然的。根据 Gartner 的预测，到2026年底，40%的企业应用都将集成 AI 智能体。这种由于“效率焦虑”引发的野蛮生长，导致开发者往往在安全基座尚未夯实时，就匆忙向外部授权。Peter Steinberger 遇到的麻烦，其实是整个行业在快速扩张期与传统知识产权、传统安全模型之间不可调和的阵痛。