深入分析OpenClaw的爆火

Part 1: OpenClaw

1.1 OpenClaw 有多火

泛流量（Google Trends）： 过年期间以及3月初各有一波流量高峰，目前热度略有滑落，大约为顶峰的60%-70%；同时X上关于部署Openclaw的文章浏览量登顶中文圈

垂直流量（GitHub / Claw Skill Hub）： 截止3月20日，Openclaw已经成为了Star数最多的项目，超过32W个Start，同时Claw Hub的Skill数量超过3W

国内大厂跟进时间线：

时间	事件
2026-01-28	阿里云、腾讯云同日推出云上托管服务（最早布局）
2026-02-18	月之暗面 KimiClaw 上线（首个云端化产品）
2026-03-07~12	OpenClaw 开源项目连续发布 3 个重磅版本，社区爆发
2026-03-08	OpenClaw 病毒式传播开始
2026-03-09	腾讯一天三款产品上线；字节 ArkClaw 发布
2026-03-10	百度、华为、小米、智谱等集中发布
2026-03-11	工信部 NVDB 发布安全风险防范建议

1.2 OpenClaw 为什么火

先看 Agent 发展时间线：

时间	事件
2023	Cursor 发布（AI Code Editor 先驱）
2025.2	Claude Code CLI 发布（终端原生 AI 编码 Agent）
2025.3	Manus 发布（通用 AI Agent，自主执行任务）
2025 下半年	Cursor/Claude Code 持续迭代，Agent 逐渐走向成熟
2026.1	OpenClaw 出圈，迅速走红

OpenClaw = Agent + Channels

OpenClaw 爆火的两个本质原因：

1. Agent 的平权

在 OpenClaw 之前，主流 Agent（Cursor、Claude Code、Manus）的使用门槛都很高——Terminal、IDE、黑框框对于非技术人群来说是硬性壁垒
OpenClaw 通过 Channel 机制（Discord、Telegram、WhatsApp、飞书…）实现 Agent 调用，把使用入口降到了聊天窗口级别。Channel 采用插件架构，国内的 QQ、企微均可通过对应插件接入
大量非技术背景的用户第一次意识到：AI 不只是能聊天，而是真的能执行任务

2. FOMO 情绪放大传播

前期宣传力度极大：现实世界的贾维斯、AI 炒股、AI 雇佣人类……噱头传播性极强，国内头部AI自媒体跟进：新智元、机器之心、量子位等
触发了大范围的 FOMO（Fear of Missing Out）情绪，加速了非理性扩散

1.3 OpenClaw 做对了什么

极简安装：拉包 + 配置 API Key + Channel，全流程 5 分钟内完成
Channel 集成：通过聊天软件直接使用 Agent，无需安装额外客户端
跨 Channel 上下文共享：所有 Channel 复用同一份上下文和记忆，对话不因切换渠道而割裂
自主记忆管理：上下文接近模型上限时自动压缩（Compaction），同时维护 Markdown + SQLite 双层长期记忆
人格配置化：性格、风格、行为准则拆成独立 Markdown 文件（IDENTITY / USER / SOUL / MEMORY / AGENTS），非技术人员可直接编辑

1.4 对应的代价是什么

每个特性都是取舍，优势的背后对应着的是代价。

优势	代价
Channel 聊天式交互，门槛低	完全隐藏了 Agent 的思考链和执行过程，用户只看到最终输出，无法区分幻觉与真实执行结果
所有 Channel 共享上下文，对话连贯	上下文膨胀速度快——人格文件、Skills 描述、记忆每次全量注入，Token 消耗远超同类 Agent
极简安装，开箱即用	仅针对单机场景设计，缓存依赖 localStorage/Cookie，多实例云部署需要改造源码

1.5 OpenClaw 的问题

1. 项目路线问题

Peter 选择了一条对自己最有利，但对社区和使用者最不利的路线。

没有建立代码审核机制，没有做工程系统建设，而是高频提交、快速注水，目标是尽快把项目估值推高
提交频率：Peter 一个月对 OpenClaw 仓库 commit 了 4878 次，日均 162.6 次，平均不到 10 分钟一次（24h 不间断计算）

2. 安全性问题

截至目前累计发现 288 个安全漏洞
几乎每个版本都有安全问题，多个版本出现 Critical 级别漏洞

3. 工程质量差

OpenClaw 使用 TypeScript 编写（占比约 86.3%），代码量已超过 30 万行。项目创始人 Peter 是 iOS/macOS 背景出身，转向 TS 后大量依赖 AI 生成代码，缺乏人工审核
TypeScript 编译后的 JavaScript 本身可读性就不如 Python/Go 等语言直观，再加上 AI 生成的代码风格不统一、命名随意、缺少注释，导致社区贡献者阅读和维护源码的门槛极高
架构层面存在缺陷：定时任务稳定性不足，多 Agent 协作能力不成熟

1.6 社区高频问题

OpenClaw 在快速增长的同时，社区暴露出大量稳定性和安全性问题，以下是被诟病最多的几个方向：

Token 消耗失控（最高频吐槽）

案例	规模
Sub-Agent 回调死循环	单次消耗 1.28 亿 Token（Issue #17442）
配置不兼容导致静默消耗	2150 万 Token/天
无速率限制	16 分钟花费 $4.85

根因：Skills 描述 + 人格文件 + 记忆每次全量注入（即上下文第 4~7 层），加上没有 Token 上限保护机制，一旦出现 Agent 循环调用就会失控。社区有人用 QMD 插件做本地语义检索将 Token 降低 90%，但属于外挂方案，官方没有从架构上解决。

Cron / Heartbeat 定时系统混乱

Heartbeat 事件误路由到 Cron Channel（#29182）
心跳频率不可控，干扰 Cron 任务执行（#7613）
HEARTBEAT_OK 意外触发主会话摘要压缩（#20941）
跨平台重复通知（#40545）
Cron 时区默认 UTC，不读用户设置，导致定时任务全部错位

根因：Heartbeat 和 Cron 是两套独立的调度系统，但共享同一个消息管道，没有做隔离。新 Session 默认 UTC 时区，一旦配置不精确就连锁出错。社区的 workaround 是手动在 MEMORY.md 里写死时区。

安全问题（最严重）

ClawJacked RCE：WebSocket 劫持漏洞，可远程执行代码
Skill 供应链攻击：RankClaw 审计发现 ClawHub 上 14706 个 Skill 中 7.5% 是恶意的（约 1100 个）
Clawdrain 攻击：通过洪水式填充上下文触发 Compaction，压缩过程中绕过安全约束，可操纵 Agent 执行危险操作
约 27 万个公网暴露实例，成为高价值攻击目标

根因：Skill 市场没有审核机制，任何人可以发布；WebSocket 端口默认无鉴权；Compaction 摘要过程中安全规则可能被截断。

版本升级频繁翻车

v2026.3.2：新安装默认切到 messaging 工具配置，exec、web_fetch 等核心能力被禁用，用户反馈”Agent 突然变蠢了”（#33225）
v2026.3.12：ANTHROPIC_MODEL_ALIASES 变量 TDZ bug，启动直接崩溃
v2026.3.13：缺少 @lancedb 依赖，安装后无法运行

根因：没有代码审核、没有测试体系，4878 次/月的提交频率下不可能有质量保障。社区总结——“90% 的时间在修工程问题，而不是 AI 问题”。

Agent 行为不确定 & 内存泄漏

Agent 不严格遵循 Skill 定义，倾向于”省力”走捷径（合并不同分支逻辑）
会话路由错乱：Group A 的回复发到 Group B（Teams 集成尤其严重）
单进程架构下长时间运行内存持续膨胀，碰撞检测模块 24 小时内可涨到 4GB

根因：JavaScript 单进程 + 无内存上限保护；Agent 行为完全依赖 Prompt 约束，没有代码级的分支控制。

一句话总结：OpenClaw 的社区问题都指向同一个根因——工程质量跟不上产品野心。没有测试、没有审核、没有隔离、没有限流，全靠 Prompt 和约定式配置撑着，一旦规模上去或碰到边界条件就全面崩塌。

1.7 OpenClaw 技术架构

┌───────────────────────────────────────────────────────┐
│                     用户侧                             │
│  Discord / TG / WhatsApp / Slack / 企微 / 浏览器      │
└──────────────────────┬────────────────────────────────┘
                       │
                       ▼
┌──────────────────────────────────────────────────────┐
│                  Gateway Server                       │
│         (HTTP/WebSocket, 端口 18789)                  │
│         统一入口，管理会话，路由消息，所有逻辑都靠主进程调度                   │
└──────────────────────┬───────────────────────────────┘
                       │
          ┌────────────┼────────────┐
          ▼            ▼            ▼
┌──────────────┐ ┌──────────┐ ┌──────────────┐
│   Channels   │ │  Agents  │ │   Plugins    │
│              │ │          │ │              │
│ Discord      │ │ 主Agent  │ │ Skills       │
│ Telegram     │ │ SubAgent │ │ MCP Server   │
│ Slack        │ │          │ │ Extensions   │
│ WhatsApp     │ │ 共享上下文│ │              │
│ WeChat       │ │ 共享记忆  │ │              │
│ Line / IRC   │ │          │ │              │
└──────────────┘ └─────┬────┘ └──────────────┘
                       │
          ┌────────────┼────────────┐
          ▼            ▼            ▼
┌──────────────┐ ┌──────────┐ ┌──────────────┐
│    Tools     │ │  Memory  │ │    Cron      │
│              │ │          │ │              │
│ 文件读写     │ │ MEMORY.md│ │ 定时任务     │
│ Shell 执行   │ │ 自动压缩  │ │ 心跳检测     │
│ 浏览器       │ │ FTS5 搜索│ │ 间隔/Cron表  │
│ Web 搜索     │ │          │ │ 达式/定时    │
│ Canvas       │ │          │ │              │
└──────────────┘ └──────────┘ └──────────────┘
                       │
                       ▼
              ┌────────────────┐
              │    LLM API     │
              │  (OpenAI 协议)  │
              └────────────────┘

1.8 OpenClaw 工程细节

默认上下文构成

每次调用 LLM 时，OpenClaw 会拼装一个完整的 System Prompt。以下是实际送入模型的上下文全景：

层级	内容	说明
1. 基础身份	”You are a personal assistant running inside OpenClaw”	内置，不可修改
2. 安全规则	类 Anthropic Constitution 风格的安全约束	内置，不可修改
3. 工具列表	当前可用 Tools 的名称 + 参数 + 描述（read/write/exec/web_search/cron/memory_search 等 20+ 种）	运行时动态生成
4. Skills 描述	已安装的所有 Skill 的名称和使用说明	从 `/app/skills/*/SKILL.md` 扫描注入
5. 记忆检索指令	指导 Agent 使用 `memory_search` → `memory_get` 召回相关记忆	仅当记忆工具可用时注入
6. 人格文件	IDENTITY.md + USER.md + SOUL.md + AGENTS.md 的完整内容	workspace/ 下的文件全文注入
7. MEMORY.md	长期记忆（用户偏好、历史事实、经验）	workspace/MEMORY.md 全文注入
8. 历史对话压缩摘要	旧对话经 Compaction 后的摘要（见下文）	动态生成
9. 最近完整对话	最近 N 轮用户-助手对话的原文（可配置，按 Channel 独立设置）	原样保留，不压缩

关键点：Skills 描述、记忆、人格文件每次请求都全量带入，这是 OpenClaw 上下文消耗远超其他 Agent 的根本原因。

记忆管理

OpenClaw 的记忆分为三层：

第一层：MEMORY.md（长期事实）

存储用户偏好、硬性规则、项目事实等不会过期的信息
Agent 在用户说”记住/以后/下次”时主动写入
每次请求时全文注入 System Prompt

第二层：memory/*.md（短期记忆）

按日期分区的工作上下文笔记
Agent 在对话中自动沉淀当日的关键信息
不全量注入，而是通过检索召回

第三层：SQLite 索引（检索加速）

3.11 版本引入 memory-core 引擎，加速记忆搜索加载

人格文件体系

OpenClaw 将 Agent 的”人格”拆成 5 个独立 Markdown 文件，各司其职。以下以 TME-Claw 的实际配置为例：

文件	职责
`IDENTITY.md`	定义 Agent 是谁：名字、能力范围、行为准则
`USER.md`	定义用户是谁：角色、习惯、沟通偏好
`SOUL.md`	定义语气和情感：性格、回复规范、边界
`MEMORY.md`	积累的经验记忆：用户偏好、历史事实
`AGENTS.md`	行为规则 + 协作配置：安全红线、文件路径、技能路由、多 Agent 规则

本质上就是 Prompt Engineering 的配置化——把人格、画像、记忆、规则拆成独立文件，让非技术人员也能调教 Agent。用户修改这些文件后，下一轮对话立即生效。

1.9 预测 OpenClaw 的未来

热度将回归常态，需要与其他 Agent 产品正面竞争
竞品正在补齐 Channel 能力：3月20日早上Claude Code 已支持 Telegram 接入，更多 Agent 将跟进 Channel 模式
这些竞品在工程质量和安全性上的积累更扎实

1.10 Agent 与聊天框 LLM 的本质区别

要理解为什么说”拥抱 Agent”，需要先搞清楚 Agent 和我们日常使用的聊天框（ChatGPT、豆包、Kimi 等对话式 LLM）到底有什么本质区别。

核心差异：闭环 vs 单次

聊天框 LLM 的工作模式是 “一问一答”——用户输入 Prompt，模型输出文本，结束。本质上是一个无状态的函数：f(prompt) → text。

Agent 的工作模式是 “自主闭环”——收集上下文 → 采取行动 → 验证结果 → 循环迭代，直到任务完成。

这不是简单的”多轮对话”。多轮对话本质仍然是人类不断地喂 Prompt，即多次 f(prompt) → text。而 Agent 的循环是自驱动的——它自己决定下一步做什么，自己验证结果对不对，自己决定是否继续。

关键转折点：工具（Tools）

从 LLM 到 Agent 的分水岭，就是 Tools。

没有工具，AI 只能用文本回应。有了工具，AI 可以采取行动。 ——Claude Code 文档

LLM：只能”说”，不能”做”。它可以告诉你怎么改代码，但不能真的改。
Agent：能”说”也能”做”。它可以读文件、写文件、执行命令、搜索代码、发起网络请求。

工具赋予了 LLM 与真实世界交互的能力。这是从”纸上谈兵”到”手脑并用”的质变。

这里需要区分三个容易混淆的概念：

概念	定义	类比
Tool	最小执行单元——一个函数，Agent 调用它来完成一个原子操作（读文件、执行命令等）	一把锤子
MCP	Model Context Protocol，Anthropic 推出的开放协议，定义了 Tool 的标准化接入方式	USB 接口标准
Skill	多个 Tool + Prompt + 工作流的组合，面向完整场景的能力包	一整套木工方案

简单说：Tool 是一把锤子，MCP 是让所有锤子都能插进同一个工具架的标准接口，Skill 是”拿锤子+钉子+木板造书架”的完整方案。

记忆系统：从金鱼到人类

聊天框 LLM 的”记忆”就是当前对话的上下文窗口，窗口满了就丢失。每次新对话都是从零开始。

成熟的 Agent 框架（如 Claude Code）构建了多层记忆体系：

层级	来源	持久性	作用
短期记忆	当前对话上下文	会话内	理解当前任务
中期记忆	Compaction 压缩摘要	跨压缩周期	保留已完成步骤
长期记忆	CLAUDE.md / MEMORY.md	跨会话	项目规范、用户偏好、历史经验

这意味着 Agent 能够跨会话积累经验，越用越懂你的项目。

交互范式：指令 vs 委派

对 LLM：你需要精确地告诉它每一步怎么做（写 Prompt Engineering）
对 Agent：你只需要描述目标和约束，它自己规划路径

Claude Code 文档中提到一个核心理念：“委派，不要指示”（Delegate, don’t dictate）。这是管理者与执行者的区别——用 LLM 你是”写详细的操作手册”，用 Agent 你是”交代任务给一个能力足够的同事”。

Agent 是 AI 时代的新范式吗？

是的。 但需要精确定义”新”在哪里。

Agent 不是一个全新的 AI 模型架构，它的核心仍然是 LLM。真正新的是系统架构范式——把 LLM 从”问答接口”变成了”自主执行引擎”。

用第一性原理来看：

LLM 解决了”理解与生成”问题——机器能理解自然语言，能生成有意义的文本
Agent 解决了”规划与执行”问题——机器能自主规划步骤，能与真实环境交互，能验证和纠错

两层叠加后，AI 的能力边界从”辅助思考”扩展到了”辅助执行”。这是范式级别的跃迁。

但也要清醒看到 Agent 当前的边界：

确定性不足：同样的任务，Agent 可能走完全不同的路径，结果也可能不同
成本不可控：自主循环意味着 Token 消耗不可预测（OpenClaw 社区单会话 1.28 亿 Token 就是例证）
安全边界模糊：能执行命令意味着能造成破坏（OpenClaw 的 ClawJacked RCE 漏洞）

Agent 是 AI 从”能说”到”能做”的范式跃迁。它不替代 LLM，而是以 LLM 为大脑，加上工具（手）、记忆（经验）、循环（自驱力），构成了一个完整的”AI 工作者”。

1.11 结论：拥抱 Agent，但不一定是拥抱 OpenClaw

2026 年最大的 AI 使用误区：还在用对话框。

** Agent 才是 AI 的正确打开方式。**

Agent 相比对话框有四个结构性优势：

1️⃣ 任务自闭环

维度	对话框	Agent
模式	你推一次，AI 做一步	给目标 + 授权，AI 自主跑完
人的角色	全程推动者	问题输入者 + 结果验收者

2️⃣ 记忆与理解的积累

维度	对话框	Agent
上下文	一次性的、有限的、50+ 轮后幻觉概率飙升	持续记忆，越用越懂你
每次对话	从零交代背景、偏好、约束	代码风格、技术栈、项目结构、思考习惯都已沉淀
本质	和空白模型对话	高度定制化的协作者

3️⃣ 真实环境的交互能力

维度	对话框	Agent
交互	只能文本输入输出	直接读写文件、执行命令、调用 API
与工作环境	隔离的，手动复制粘贴	融入的，看得到文件系统、跑得了终端
本质	高级搜索引擎	7×24 小时真正干活的助理

4️⃣ 丰富的 Skill 生态

维度	对话框	Agent
能力边界	模型自身的知识，固定不变	Skill 可持续扩展，能力边界不断外推
组合性	无	多个 Skill 组合即可跑通一个完整工作流
沉淀	经验留在人脑	经验写成 Skill，团队共享、持续复用

对话框时代，AI 是回答你问题的高级搜索引擎； Agent 时代，AI 是真正能帮你干活的 7×24 小时助理。