OpenClaw 完全指南：从周末项目到 GitHub 史上最快破 20 万 Star 的 AI Agent

本文已收录到 AI编程一站式导航。本文链接：[03.9 2026 年最佳 AI 编码工具完全指南](code.ai80.vip/ai-tool-gui... 2026 年最佳 AI 编码工具完全指南) 强烈推荐：AI编程巴士网站：稳定纯净的ClaudeCode套餐供应；
2025 年 11 月，奥地利开发者 Peter Steinberger 用一个周末写了个"WhatsApp 中继"脚本。3 个月后，这个项目叫 OpenClaw，拥有 209,000+ Star------比 React 用了 8 年、Linux 用了 12 年才达到的 10 万 Star 还快；经历了 Anthropic 商标投诉、三次改名、加密货币骗局、关键安全漏洞（CVE-2026-25253）、恶意技能投毒（ClawHavoc）；最终，创始人加入 OpenAI，项目移交开源基金会。

本文完整拆解这个现象级项目：它是什么、为什么爆火、怎么工作、有多危险、以及它对 AI Agent 未来的意味着什么。

[OpenClaw 是什么](#OpenClaw 是什么 "#1-openclaw-%E6%98%AF%E4%BB%80%E4%B9%88")
创始人与起源故事
三次改名：开源史上最快的品牌危机
[增长轨迹：GitHub 历史纪录](#增长轨迹：GitHub 历史纪录 "#4-%E5%A2%9E%E9%95%BF%E8%BD%A8%E8%BF%B9github-%E5%8E%86%E5%8F%B2%E7%BA%AA%E5%BD%95")
核心架构深度解析
[Skills 生态与 ClawHub](#Skills 生态与 ClawHub "#6-skills-%E7%94%9F%E6%80%81%E4%B8%8E-clawhub")
安全危机：CVE、投毒与暴露
[Steinberger 加入 OpenAI](#Steinberger 加入 OpenAI "#8-steinberger-%E5%8A%A0%E5%85%A5-openai")
[OpenClaw vs Claude Code vs OpenCode](#OpenClaw vs Claude Code vs OpenCode "#9-openclaw-vs-claude-code-vs-opencode")
安装与快速上手
常见问题

1. OpenClaw 是什么

项目信息
GitHub	github.com/openclaw/op...
Stars	⭐ 209,346
Forks	38,618
License	MIT
语言	TypeScript
创始人	Peter Steinberger
曾用名	Clawdbot → Moltbot → OpenClaw

OpenClaw 是一个免费、开源、自托管的自主 AI Agent 。它不是一个编码工具，而是一个个人 AI 助手------运行在你自己的设备上，连接你已有的消息平台（WhatsApp、Telegram、Slack、Discord、iMessage、Teams 等 15+ 渠道），通过大语言模型执行任务。

从技术角度看，OpenClaw 具备三个大多数 AI Agent 不具备的特性：

完全开源（MIT） ：代码、配置、记忆全在你手上
本地优先：记忆以 Markdown 文件存储在你的设备上
自主调度：Heartbeat 守护进程每 30 分钟自动检查是否有事情要做------不需要你发消息触发

用一句话概括它和 Claude Code / OpenCode 的区别：

Claude Code 和 OpenCode 住在你的终端里，帮你写代码 。OpenClaw 住在你的消息应用 里，帮你管理生活。

2. 创始人与起源故事

2.1 Peter Steinberger

Peter Steinberger 是奥地利开发者，PSPDFKit（现 Nutrient）创始人。PSPDFKit 从个人副项目起步，用 10 年做成一家 70 人公司，为超过 10 亿台设备提供 PDF 工作流。2021 年获 Insight Partners €1 亿投资。

2.2 从"WhatsApp 中继"到 AI Agent

2025 年 11 月，Steinberger 做了一个简单的事情：写了一个 Claude Code 的 wrapper，让他可以通过 WhatsApp 控制电脑的部分功能。

这个"周末项目"就是 Clawdbot 的原型。

它的核心概念很直白：

复制代码

你的手机（WhatsApp）
    → 消息发到本地 Gateway
        → Gateway 调用 LLM（Claude/GPT/DeepSeek）
            → LLM 有权限读写文件、跑脚本、控制浏览器
                → 结果返回 WhatsApp

Steinberger 本人将其形容为"给 AI 模型一个本地网关，让它能直接访问你的文件系统、运行脚本、控制浏览器------全部在安全沙箱中"。

3. 三次改名：开源史上最快的品牌危机

Reddit 的 r/LocalLLM 社区称之为"开源史上最快的三连改名"：

时间	名称	发生了什么
2025.11	Clawdbot	上线，名称来源于 Anthropic 的 Claude（Clawd = Claude 的龙虾谐音）
2026.01.27	Moltbot	Anthropic 发出"礼貌的"商标投诉，Steinberger 几小时内完成改名。"Molt"意为龙虾蜕壳，象征重生
2026.01.27	---	Steinberger 释放 @clawdbot 的 Twitter 账号，秒被加密货币骗子抢注，发布假币 $CLAWD，市值一度冲到 1600 万美元后归零
2026.01.30	OpenClaw	最终定名。Steinberger 表示 Moltbot "念起来不顺口"

三天内：商标投诉 → 改名 → 被抢注 → 加密骗局 → 再改名。这一切发生在项目 Star 数已经突破 10 万的时候。

4. 增长轨迹：GitHub 历史纪录

OpenClaw 创下了 GitHub 开源项目的增长纪录。

对比	达到 100K Star 所需时间
Linux	~12 年
React	~8 年
OpenClaw	~2 天

关键数据

时间	事件	Stars
2025.11	Clawdbot 上线	0
2026.01 下旬	改名 OpenClaw，病毒式传播	100,000+（约 2 天）
2026.01.25-31	一周内：100K Star、200 万访客、三次改名、一场加密骗局	180,000+
2026.02.14	Steinberger 宣布加入 OpenAI	195,000+
2026.02 中旬	当前	209,346

为什么爆火

定位独特：不是又一个编码助手，而是"你自己的 AI 助手"------连接你所有的消息平台
极低门槛：WhatsApp 是全球最大的通讯应用，"发消息给 AI"的交互方式比终端或 IDE 更亲民
中国市场：可与 DeepSeek 配合使用，支持通过自定义设置接入中国消息应用。百度计划将其集成到主力手机应用中
Self-improving：能自主编写代码创建新技能，被社区比作"类 AGI"
完美的时机：Vibe Coding 热潮正盛，AI Agent 概念正在从开发者圈子渗透到普通用户

5. 核心架构深度解析

5.1 四大架构组件

scss 复制代码

┌──────────────────────────────────────────────────────┐
│                   消息渠道层                           │
│  WhatsApp │ Telegram │ Slack │ Discord │ iMessage     │
│  Teams │ Signal │ Google Chat │ Matrix │ WebChat      │
│  macOS App │ iOS App │ Android App                    │
└─────────────────────┬────────────────────────────────┘
                      ↓
┌──────────────────────────────────────────────────────┐
│                   Gateway（本地网关）                   │
│  ┌──────────┐ ┌──────────┐ ┌──────────────────────┐ │
│  │ 会话管理  │ │ 工具管理  │ │  多 Agent 路由       │ │
│  └──────────┘ └──────────┘ └──────────────────────┘ │
│  ┌──────────┐ ┌──────────┐ ┌──────────────────────┐ │
│  │ 认证轮换  │ │ 模型回退  │ │  上下文压缩          │ │
│  └──────────┘ └──────────┘ └──────────────────────┘ │
└─────────────────────┬────────────────────────────────┘
                      ↓
┌──────────────────────────────────────────────────────┐
│                   Agent 运行时                         │
│  ┌────────────────────────────────────────────────┐  │
│  │ 身份文件系统                                     │  │
│  │ SOUL.md │ AGENTS.md │ IDENTITY.md │ USER.md    │  │
│  │ MEMORY.md │ HEARTBEAT.md │ TOOLS.md │ BOOTSTRAP│  │
│  └────────────────────────────────────────────────┘  │
│  ┌──────────┐ ┌──────────┐ ┌──────────────────────┐ │
│  │ Heartbeat│ │ Skills   │ │  子 Agent 编排        │ │
│  │ 守护进程  │ │ 加载器   │ │  (sessions_spawn)    │ │
│  └──────────┘ └──────────┘ └──────────────────────┘ │
└─────────────────────┬────────────────────────────────┘
                      ↓
┌──────────────────────────────────────────────────────┐
│                   LLM 提供商层                        │
│  Claude │ GPT │ Gemini │ DeepSeek │ Kimi │ Ollama   │
│  （模型无关，通过 OpenAI 兼容接口统一访问）            │
└──────────────────────────────────────────────────────┘

5.2 身份文件系统（The Programmable Soul）

OpenClaw 用 8 个 Markdown 文件定义 Agent 的"灵魂"，全部可选：

文件	作用	类比
SOUL.md	行为哲学------不是配置，是"世界观"	Agent 的性格
AGENTS.md	操作指令 + 持久化偏好	Agent 的工作手册
IDENTITY.md	展示层------名称、头像、语气	Agent 的名片
USER.md	用户画像 + 偏好	Agent 认识的"你"
MEMORY.md	长期事实 + 累积知识	Agent 的长期记忆
HEARTBEAT.md	定时触发的主动行为	Agent 的日程表
TOOLS.md	工具能力描述	Agent 的技能清单
BOOTSTRAP.md	首次运行仪式，完成后自动删除	Agent 的"开机引导"

每一轮对话前 ，运行时从文件系统读取这些文件，构建 Agent 的上下文。如果你三天前在 MEMORY.md 中定义了项目约束，Agent 今天回答你时仍然知道------它不是从零开始，而是恢复存在。

你可以将 Agent 工作区放入 Git 仓库------这相当于给 AI 的"意识"做版本控制。

级联覆盖：Global → Agent → Workspace → Default，最具体的定义优先。

5.3 Heartbeat：主动而非被动

Heartbeat 是让 OpenClaw 从"被动回复"变为"主动行动"的关键：

默认每 30 分钟触发一次
读取所有 Agent 文件，判断是否有事情要做
双层架构：HeartbeatWake （请求合并层，防止重复触发）+ HeartbeatRunner（调度/执行层）
核心设计洞察：决策与执行分离------"要不要发消息？"是确定性判断，只在确实有事时才调用 LLM

5.4 多 Agent 编排

OpenClaw Agent 拥有 sessions_spawn 工具，可以将复杂任务分解给子 Agent：

css 复制代码

Agent A（高推理能力）→ 规划架构
Agent B（编码专家）→ 编写测试
Agent C（安全审计）→ 审查代码
      ↓ 并行运行
Parent Agent → 综合结果

这模拟的不是一个独立开发者，而是一个工程团队。

5.5 容错与回退

OpenClaw 假设故障是不可避免的，在每一层都构建了回退链：

层级	策略
认证	认证轮换------rate limit 时自动切换到下一组凭证
模型	模型回退------自动从 "High" 降级到 "Medium" 模型
上下文	智能压缩------保留工具结果，压缩闲聊，而非粗暴截断

6. Skills 生态与 ClawHub

6.1 ClawHub

ClawHub 是 OpenClaw 的公共技能注册中心------发布、版本控制、搜索文本格式的 Agent 技能。

指标	数据
技能总数	10,700+（早期 ~2,857，快速增长）
社区贡献技能	5,700+
技能格式	SKILL.md + 支持文件（遵循 Anthropic 开放标准）
恶意技能（已发现）	~800（约占 20%）

6.2 技能类型

OpenClaw 的技能分为三类：

类型	说明
Bundled	内置技能，随 OpenClaw 安装
Managed	通过 ClawHub 安装的社区技能
Workspace	项目级自定义技能

Agent 开启 ClawHub 后，可以自动搜索并拉取所需技能------这既是强大之处，也是安全隐患之根源。

6.3 跨平台兼容

OpenClaw 的技能遵循 Anthropic 提出的 Agent Skill 开放标准。为 Claude Code 写的 Skill 可以在 OpenClaw 中运行，反之亦然------这一标准同时被 Codex CLI、Gemini CLI、Cursor 等 30+ 平台支持。

7. 安全危机：CVE、投毒与暴露

OpenClaw 的爆火速度远超安全能力的构建速度，引发了一连串严重的安全事件。

7.1 CVE-2026-25253：一键远程代码执行

信息
CVE	CVE-2026-25253
CVSS	8.8（高危）
类型	跨站 WebSocket 劫持 → 认证令牌窃取 → 远程代码执行
发现者	Mav Levin, DepthFirst
发布	2026.01.31
修复版本	v2026.1.29

攻击链：

markdown 复制代码

1. 受害者访问恶意网页 / 点击钓鱼链接
2. 页面注入 gatewayUrl 参数
3. OpenClaw 不做验证就连接到攻击者服务器
4. 自动发送 authToken 给攻击者
5. 攻击者通过 WebSocket 劫持 → 控制受害者的 OpenClaw 实例
6. 远程代码执行

即使你只在 localhost 运行 OpenClaw------漏洞利用受害者的浏览器作为跳板穿透本地网络，不需要实例暴露在公网上。

7.2 暴露规模

来源	暴露实例数
Censys（01.25-31）	1,000 → 21,000+
Bitsight	30,000+
独立研究者 Maor Dayan	42,665（其中 5,194 活跃且可利用）
Hunt.io	17,500+ 受 CVE-2026-25253 影响

在这些暴露实例中------93.4% 存在认证绕过条件。

命名混乱也可见一斑：68.9% 仍标识为 "Clawdbot Control"，22.3% 为 "Moltbot Control"，仅 8.8% 为 "OpenClaw Control"。

7.3 ClawHavoc：技能供应链投毒

安全研究团队发现了 ClawHavoc 攻击活动：

341 个恶意技能在 ClawHub 上被发现（占注册中心 12%）
主要投放 Atomic macOS Stealer（AMOS） 恶意软件
后续扫描发现超过 800 个恶意技能（约占 20%）
攻击手法：技能有专业文档和吸引人的名称（如 solana-wallet-tracker、youtube-summarize-pro），但包含虚假的"Prerequisites"章节，诱导用户下载恶意软件

Cisco 的 AI 安全研究团队测试第三方 OpenClaw 技能后发现：技能在用户不知情的情况下执行数据外泄和提示注入。

7.4 政府响应

机构	行动
比利时网络安全中心（CCB）	2026.02.02 发布紧急公告，将 CVE-2026-25253 列为关键
中国工信部（MIIT）	2026.02.05 发出安全警告，默认配置下部署 OpenClaw 存在"高安全风险"
Palo Alto Networks	称 OpenClaw 为"2026 年潜在最大的内部威胁"
Kaspersky	发布企业风险管理指南

7.5 安全修复进展

版本	日期	说明
v2026.1.29	2026.01.30	修复 CVE-2026-25253（WebSocket 劫持 → RCE）
v2026.2.12	2026.02.12	安全大修，修复 40+ 漏洞（涵盖 RCE、提示注入等）
v2026.2.17	2026.02.17	当前最新版------新增 Anthropic Sonnet 4.6 支持、1M 上下文窗口、子 Agent 溢出保护，72 位贡献者参与

7.6 安全应对措施

社区和安全公司迅速响应：

项目	说明
SecureClaw	开源安全插件，为 OpenClaw 添加安全审计和规则控制
ClawSec	Prompt Security 开发的完整安全技能套件，包括 SOUL.md 漂移检测、实时安全建议、自动审计、技能完整性验证
VirusTotal 合作	OpenClaw 官方与 VirusTotal 合作，为技能提供安全扫描

8. Steinberger 加入 OpenAI

8.1 事件经过

2026 年 2 月 14 日（情人节），Peter Steinberger 宣布加入 OpenAI。

Sam Altman 在 X 上发帖：

"Peter Steinberger is joining OpenAI to drive the next generation of personal agents."

OpenClaw 将移交给一个开源基金会，OpenAI 承诺继续赞助。

8.2 为什么选 OpenAI

2 月初 Steinberger 在旧金山各实验室之间穿梭，多家公司抛出橄榄枝------包括微软 CEO Satya Nadella。但只有 Meta 和 OpenAI 给出了正式 offer：

Meta：Mark Zuckerberg 亲自通过 WhatsApp 联系（在试用 OpenClaw 之后）
OpenAI：最终选择

Steinberger 在博客中写道：

"我本可以把 OpenClaw 做成一家大公司，但那对我来说不太兴奋。"

8.3 讽刺的闭环

一个建立在 Claude 之上、以 Claude 命名、默认推荐 Claude Opus 的项目------它的创始人走进了 OpenAI 的大门。

8.4 基金会的未来

截至 2026 年 2 月 17 日，基金会尚未正式成立为有文档记录的治理机构。董事会成员名单未知，治理文件未公开。

Steinberger 表示：

"它将继续是一个属于思考者、黑客和想拥有自己数据的人的地方，目标是支持更多的模型和公司。"

代码保持 MIT 开源，OpenAI 出资支持。

9. OpenClaw vs Claude Code vs OpenCode

9.1 定位对比

维度	Claude Code	OpenCode	OpenClaw
核心定位	终端编码 Agent	开源终端编码 Agent	个人 AI 生活助手
界面	终端 / IDE	终端	WhatsApp、Telegram 等 15+ 消息平台
模型	仅 Claude	75+ 供应商	模型无关（Claude/GPT/DeepSeek/本地）
定价	$20-200/月	免费 + API 费用	免费 + API 费用
Stars	~67,400	100,000+	209,346
持久记忆	会话级（CLAUDE.md 项目记忆）	多会话	Markdown 文件级长期记忆
自主性	会话式，交互式	会话式	Always-on，Heartbeat 主动触发
生态规模	插件 + Skills + Hooks	650+ 贡献者	10,700+ 技能 (ClawHub)
安全模型	Anthropic 沙箱托管	自托管	自托管（需要仔细配置）
语音	不支持	不支持	Voice Wake + Talk Mode

9.2 它们不是竞品

这三个工具服务于根本不同的场景：

Claude Code ：住在终端里，帮你写代码、重构、调试、管 Git
OpenCode ：同样住在终端，但不绑定供应商，75+ 模型自由切换
OpenClaw ：住在消息应用里，帮你管理日常生活------邮件、提醒、自动化、跨平台通信

2026 年最高效的开发者不是在三者中选一个------而是同时使用：

Claude Code 写代码，OpenClaw 管其他一切。

10. 安装与快速上手

10.1 前置条件

Node.js Latest LTS（现代 JS 特性需要，Node 18/20 会报错）
LLM API Key（推荐 Anthropic 或 OpenAI，也支持 Gemini 免费额度和 Ollama 本地模型）
本地运行 Ollama 需要 16GB+ RAM

10.2 安装

官方 bootstrap 脚本是唯一推荐的安装方式：

bash 复制代码

# macOS / Linux / Windows (WSL2)
# 官方安装脚本（检测 OS、安装依赖、启动 TUI）
curl -fsSL https://openclaw.ai/install | bash

10.3 引导设置

shell 复制代码

# 推荐：运行引导向导
openclaw onboard

# 或手动初始化
openclaw setup
# 创建 ~/.openclaw/openclaw.json 和工作区文件

引导向导会逐步指导你设置：

Gateway 配置
模型选择与认证
消息渠道连接
初始 Skills 安装

10.4 模型配置

在 openclaw.json 中配置，格式为 provider/model：

json 复制代码

{
  "model": "anthropic/claude-sonnet-4",
  "providers": {
    "anthropic": {
      "apiKey": "sk-ant-..."
    }
  }
}

推荐组合：

主力模型：Claude Sonnet 4 或 GPT-4（处理复杂推理）
轻量任务：Gemini Flash 或本地模型（处理 Heartbeat 和子 Agent）

10.5 安全加固（必做）

复制代码

⚠️ 安全第一：OpenClaw 的默认配置不够安全。

步骤	说明
1. 隔离运行	使用专用设备或 VM，不要在主力机上跑
2. 升级到最新版	确保 ≥ v2026.2.17（v2026.1.29 修复 CVE-2026-25253，v2026.2.12 修复 40+ 漏洞，v2026.2.17 为当前最新稳定版）
3. 轮换 Gateway Token	安装后立即更换默认 token
4. 审查技能	安装前检查源码，Cisco 发现 26% 社区技能含漏洞
5. 设置 API 限额	在供应商后台设置消费上限------错误配置的 Heartbeat 可以一夜烧几百美元
6. 安装 ClawSec	添加 SOUL.md 漂移检测和自动审计

11. 常见问题

Q: OpenClaw 是编码工具吗？

不是。OpenClaw 是个人 AI 助手 ，核心场景是通过消息平台（WhatsApp、Telegram 等）自动化日常任务。如果你需要编码工具，应该看 Claude Code 或 OpenCode。当然，OpenClaw 也能写代码（它可以调用 LLM），但这不是它的核心设计。

Q: 209K Star 是真的吗？

是的。这是 GitHub 史上增长最快的开源项目之一------约 2 天达到 100K Star。作为参考，React 用了约 8 年，Linux 用了约 12 年。

Q: 安全吗？

默认配置下不安全。CVE-2026-25253（CVSS 8.8）、ClawHavoc 技能投毒、4 万+ 暴露实例------这些都是已证实的安全事件。必须做安全加固（见第 10.5 节）。Palo Alto Networks 称其为"2026 年潜在最大的内部威胁"。

Q: Steinberger 加入 OpenAI 后，OpenClaw 还是开源的吗？

是的。代码保持 MIT 开源，将移交给独立基金会。OpenAI 赞助但不拥有。不过基金会截至 2026 年 2 月仍未正式成立治理机构。

Q: 能在中国使用吗？

可以。OpenClaw 支持 DeepSeek 等中文模型，可通过自定义配置接入中文消息应用。百度计划将其集成到主力手机应用中。

Q: Heartbeat 守护进程会不会烧钱？

会。每 30 分钟调用一次 LLM，配置不当可能导致不必要的 API 消费。建议：使用便宜模型处理 Heartbeat、设置 API 消费上限、在 HEARTBEAT.md 中精确定义触发条件。

数据说明 ：所有数据基于 2026 年 2 月的公开信息。OpenClaw 迭代极快，安全状况持续变化，建议访问 docs.openclaw.ai 和 NVD 获取最新信息。

参考链接：

本文已收录到 AI编程一站式导航。本文链接：[03.9 2026 年最佳 AI 编码工具完全指南](code.ai80.vip/ai-tool-gui... 2026 年最佳 AI 编码工具完全指南) 强烈推荐：AI编程巴士网站：稳定纯净的ClaudeCode套餐供应；

OpenClaw 完全指南：从周末项目到 GitHub 史上最快破 20 万 Star 的 AI Agent