OpenClaw 完全指南：从周末项目到 GitHub 史上最快破 20 万 Star 的 AI Agent

先说几个核心判断：这可能是2026年开源圈最具戏剧性的故事。一个诞生于周末的个人项目，在短短两个月内，完成了从被商标投诉到创始人被巨头收编的全套流程。它创下了GitHub最快破20万Star的历史纪录，也同时因安全漏洞让全球安全团队夜不能寐。这个项目叫OpenClaw，一个让你能用WhatsApp、Telegram等日常通讯工具指挥AI干活的自主助手。

这件事之所以值得关注，是因为它触及了AI Agent落地的核心矛盾——我们到底是要一个能写代码的工具，还是要一个能帮我们打理生活的管家？OpenClaw给出的答案是后者，而且它走得比所有人都快。

目录

1. OpenClaw 是什么
2. 创始人与起源故事
3. 三次改名：开源史上最快的品牌危机
4. 增长轨迹：GitHub 历史纪录
5. 核心架构深度解析
6. Skills 生态与 ClawHub
7. 安全危机：CVE、投毒与暴露
8. Steinberger 加入 OpenAI
9. OpenClaw vs Claude Code vs OpenCode
10. 安装与快速上手
11. 常见问题

1. OpenClaw 是什么

OpenClaw 是一个免费、开源、自托管的自主 AI Agent。但它不是一个编码工具，而是一个个人 AI 助手——运行在你自己的设备上，连接你已有的消息平台（WhatsApp、Telegram、Slack、Discord、iMessage、Teams 等 15+ 渠道），通过大语言模型执行任务。

从技术角度看，OpenClaw 具备三个大多数 AI Agent 不具备的特性：

• 完全开源（MIT）：代码、配置、记忆全在你手上
• 本地优先：记忆以 Markdown 文件存储在你的设备上
• 自主调度：Heartbeat 守护进程每 30 分钟自动检查是否有事情要做——不需要你发消息触发

用一句话概括它和 Claude Code / OpenCode 的区别：它们住在终端里，OpenClaw 住在你的消息应用里。

2. 创始人与起源故事

2.1 Peter Steinberger

Peter Steinberger 是奥地利开发者，PSPDFKit（现 Nutrient）创始人。PSPDFKit 从个人副项目起步，用 10 年做成一家 70 人公司，为超过 10 亿台设备提供 PDF 工作流。2021 年获 Insight Partners €1 亿投资。这不是一个初出茅庐的开发者，而是一个有过成功创业经验的老手。

2.2 从"WhatsApp 中继"到 AI Agent

2025 年 11 月，Steinberger 做了一个简单的事情：写了一个 Claude Code 的 wrapper，让他可以通过 WhatsApp 控制电脑的部分功能。

这个"周末项目"就是 Clawdbot 的原型。

它的核心概念很直白：

你的手机（WhatsApp）→消息发到本地Gateway→Gateway调用LLM（Claude/GPT/DeepSeek）→LLM有权限读写文件、跑脚本、控制浏览器→结果返回WhatsApp

Steinberger 本人将其形容为"给 AI 模型一个本地网关，让它能直接访问你的文件系统、运行脚本、控制浏览器——全部在安全沙箱中"。

说白了，就是给大模型装了一个"手"，让它能真正干活。

3. 三次改名：开源史上最快的品牌危机

Reddit 的 r/LocalLLM 社区称之为"开源史上最快的三连改名"：

三天内：商标投诉 → 改名 → 被抢注 → 加密骗局 → 再改名。这一切发生在项目 Star 数已经突破 10 万的时候。这种荒诞程度，好莱坞编剧都未必敢写。

4. 增长轨迹：GitHub 历史纪录

OpenClaw 创下了 GitHub 开源项目的增长纪录。

关键数据

为什么爆火

这东西能火，并不意外。几个关键因素叠加在了一起：

1. 定位独特：不是又一个编码助手，而是"你自己的 AI 助手"——连接你所有的消息平台
2. 极低门槛：WhatsApp 是全球最大的通讯应用，"发消息给 AI"的交互方式比终端或 IDE 更亲民
3. 中国市场：可与 DeepSeek 配合使用，支持通过自定义设置接入中国消息应用。百度计划将其集成到主力手机应用中
4. Self-improving：能自主编写代码创建新技能，被社区比作"类 AGI"
5. 完美的时机：Vibe Coding 热潮正盛，AI Agent 概念正在从开发者圈子渗透到普通用户

5. 核心架构深度解析

5.1 四大架构组件

┌──────────────────────────────────────────────────────┐│消息渠道层││WhatsApp│Telegram│Slack│Discord│iMessage││Teams│Signal│GoogleChat│Matrix│WebChat││macOSApp│iOSApp│AndroidApp│└─────────────────────┬────────────────────────────────┘↓┌──────────────────────────────────────────────────────┐│Gateway（本地网关）││┌──────────┐┌──────────┐┌──────────────────────┐│││会话管理││工具管理││多Agent路由│││└──────────┘└──────────┘└──────────────────────┘││┌──────────┐┌──────────┐┌──────────────────────┐│││认证轮换││模型回退││上下文压缩│││└──────────┘└──────────┘└──────────────────────┘│└─────────────────────┬────────────────────────────────┘↓┌──────────────────────────────────────────────────────┐│Agent运行时││┌────────────────────────────────────────────────┐│││身份文件系统││││SOUL.md│AGENTS.md│IDENTITY.md│USER.md││││MEMORY.md│HEARTBEAT.md│TOOLS.md│BOOTSTRAP│││└────────────────────────────────────────────────┘││┌──────────┐┌──────────┐┌──────────────────────┐│││Heartbeat││Skills││子Agent编排││││守护进程││加载器││(sessions_spawn)│││└──────────┘└──────────┘└──────────────────────┘│└─────────────────────┬────────────────────────────────┘↓┌──────────────────────────────────────────────────────┐│LLM提供商层││Claude│GPT│Gemini│DeepSeek│Kimi│Ollama││（模型无关，通过OpenAI兼容接口统一访问）│└──────────────────────────────────────────────────────┘

5.2 身份文件系统（The Programmable Soul）

这是 OpenClaw 最具想象力的设计之一。它用 8 个 Markdown 文件定义 Agent 的"灵魂"，全部可选：

每一轮对话前，运行时从文件系统读取这些文件，构建 Agent 的上下文。如果你三天前在 MEMORY.md 中定义了项目约束，Agent 今天回答你时仍然知道——它不是从零开始，而是恢复存在。

你可以将 Agent 工作区放入 Git 仓库——这相当于给 AI 的"意识"做版本控制。

级联覆盖：Global → Agent → Workspace → Default，最具体的定义优先。

5.3 Heartbeat：主动而非被动

Heartbeat 是让 OpenClaw 从"被动回复"变为"主动行动"的关键：

• 默认每 30 分钟触发一次
• 读取所有 Agent 文件，判断是否有事情要做
• 双层架构：HeartbeatWake（请求合并层，防止重复触发）+ HeartbeatRunner（调度/执行层）
• 核心设计洞察：决策与执行分离——"要不要发消息？"是确定性判断，只在确实有事时才调用 LLM

5.4 多 Agent 编排

OpenClaw Agent 拥有 sessions_spawn 工具，可以将复杂任务分解给子 Agent：

AgentA（高推理能力）→规划架构AgentB（编码专家）→编写测试AgentC（安全审计）→审查代码↓并行运行ParentAgent→综合结果

这模拟的不是一个独立开发者，而是一个工程团队。相当于是让 AI 自己组建一个项目小组来干活。

5.5 容错与回退

OpenClaw 假设故障是不可避免的，在每一层都构建了回退链：

6. Skills 生态与 ClawHub

6.1 ClawHub

ClawHub 是 OpenClaw 的公共技能注册中心——发布、版本控制、搜索文本格式的 Agent 技能。

6.2 技能类型

OpenClaw 的技能分为三类：

Agent 开启 ClawHub 后，可以自动搜索并拉取所需技能——这既是强大之处，也是安全隐患之根源。

6.3 跨平台兼容

OpenClaw 的技能遵循 Anthropic 提出的 Agent Skill 开放标准。为 Claude Code 写的 Skill 可以在 OpenClaw 中运行，反之亦然——这一标准同时被 Codex CLI、Gemini CLI、Cursor 等 30+ 平台支持。

7. 安全危机：CVE、投毒与暴露

OpenClaw 的爆火速度远超安全能力的构建速度，引发了一连串严重的安全事件。这部分内容，值得每一个准备部署它的人认真看完。

7.1 CVE-2026-25253：一键远程代码执行

攻击链：

1.受害者访问恶意网页/点击钓鱼链接2.页面注入gatewayUrl参数3.OpenClaw不做验证就连接到攻击者服务器4.自动发送authToken给攻击者5.攻击者通过WebSocket劫持→控制受害者的OpenClaw实例6.远程代码执行

即使你只在 localhost 运行 OpenClaw——漏洞利用受害者的浏览器作为跳板穿透本地网络，不需要实例暴露在公网上。换言之，你以为安全，其实并不安全。

7.2 暴露规模

在这些暴露实例中——93.4% 存在认证绕过条件。

命名混乱也可见一斑：68.9% 仍标识为 "Clawdbot Control"，22.3% 为 "Moltbot Control"，仅 8.8% 为 "OpenClaw Control"。

7.3 ClawHa voc：技能供应链投毒

安全研究团队发现了 ClawHa voc 攻击活动：

• 341 个恶意技能在 ClawHub 上被发现（占注册中心 12%）
• 主要投放 Atomic macOS Stealer（AMOS） 恶意软件
• 后续扫描发现超过 800 个恶意技能（约占 20%）
• 攻击手法：技能有专业文档和吸引人的名称（如 solana-wallet-tracker、youtube-summarize-pro），但包含虚假的"Prerequisites"章节，诱导用户下载恶意软件

Cisco 的 AI 安全研究团队测试第三方 OpenClaw 技能后发现：技能在用户不知情的情况下执行数据外泄和提示注入。

7.4 政府响应

7.5 安全修复进展

7.6 安全应对措施

社区和安全公司迅速响应：

8. Steinberger 加入 OpenAI

8.1 事件经过

2026 年 2 月 14 日（情人节），Peter Steinberger 宣布加入 OpenAI。

Sam Altman 在 X 上发帖：

OpenClaw 将移交给一个开源基金会，OpenAI 承诺继续赞助。

8.2 为什么选 OpenAI

2 月初 Steinberger 在旧金山各实验室之间穿梭，多家公司抛出橄榄枝——包括微软 CEO Satya Nadella。但只有 Meta 和 OpenAI 给出了正式 offer：

• Meta：Mark Zuckerberg 亲自通过 WhatsApp 联系（在试用 OpenClaw 之后）
• OpenAI：最终选择

Steinberger 在博客中写道：

8.3 讽刺的闭环

一个建立在 Claude 之上、以 Claude 命名、默认推荐 Claude Opus 的项目——它的创始人走进了 OpenAI 的大门。命运的讽刺，莫过如此。

8.4 基金会的未来

截至 2026 年 2 月 17 日，基金会尚未正式成立为有文档记录的治理机构。董事会成员名单未知，治理文件未公开。

Steinberger 表示：

代码保持 MIT 开源，OpenAI 出资支持。

9. OpenClaw vs Claude Code vs OpenCode

9.1 定位对比

9.2 它们不是竞品

这三个工具服务于根本不同的场景：

• Claude Code：住在终端里，帮你写代码、重构、调试、管 Git
• OpenCode：同样住在终端，但不绑定供应商，75+ 模型自由切换
• OpenClaw：住在消息应用里，帮你管理日常生活——邮件、提醒、自动化、跨平台通信

2026 年最高效的开发者不是在三者中选一个——而是同时使用：

10. 安装与快速上手

10.1 前置条件

• Node.js Latest LTS（现代 JS 特性需要，Node 18/20 会报错）
• LLM API Key（推荐 Anthropic 或 OpenAI，也支持 Gemini 免费额度和 Ollama 本地模型）
• 本地运行 Ollama 需要 16GB+ RAM

10.2 安装

官方 bootstrap 脚本是唯一推荐的安装方式：

#macOS/Linux/Windows(WSL2)#官方安装脚本（检测OS、安装依赖、启动TUI）curl-fsSLhttps://openclaw.ai/install|bash

10.3 引导设置

#推荐：运行引导向导openclawonboard#或手动初始化openclawsetup#创建~/.openclaw/openclaw.json和工作区文件

引导向导会逐步指导你设置：

1. Gateway 配置
2. 模型选择与认证
3. 消息渠道连接
4. 初始 Skills 安装

10.4 模型配置

在 openclaw.json 中配置，格式为 provider/model：

{"model":"anthropic/claude-sonnet-4","providers":{"anthropic":{"apiKey":"sk-ant-..."}}}

推荐组合：

• 主力模型：Claude Sonnet 4 或 GPT-4（处理复杂推理）
• 轻量任务：Gemini Flash 或本地模型（处理 Heartbeat 和子 Agent）

10.5 安全加固（必做）

⚠️安全第一：OpenClaw的默认配置不够安全。

11. 常见问题

Q: OpenClaw 是编码工具吗？

不是。OpenClaw 是个人 AI 助手，核心场景是通过消息平台（WhatsApp、Telegram 等）自动化日常任务。如果你需要编码工具，应该看 Claude Code 或 OpenCode。当然，OpenClaw 也能写代码（它可以调用 LLM），但这不是它的核心设计。

Q: 209K Star 是真的吗？

是的。这是 GitHub 史上增长最快的开源项目之一——约 2 天达到 100K Star。作为参考，React 用了约 8 年，Linux 用了约 12 年。

Q: 安全吗？

默认配置下不安全。CVE-2026-25253（CVSS 8.8）、ClawHa voc 技能投毒、4 万+ 暴露实例——这些都是已证实的安全事件。必须做安全加固（见第 10.5 节）。Palo Alto Networks 称其为"2026 年潜在最大的内部威胁"。

Q: Steinberger 加入 OpenAI 后，OpenClaw 还是开源的吗？

是的。代码保持 MIT 开源，将移交给独立基金会。OpenAI 赞助但不拥有。不过基金会截至 2026 年 2 月仍未正式成立治理机构。

Q: 能在中国使用吗？

可以。OpenClaw 支持 DeepSeek 等中文模型，可通过自定义配置接入中文消息应用。百度计划将其集成到主力手机应用中。

Q: Heartbeat 守护进程会不会烧钱？

会。每 30 分钟调用一次 LLM，配置不当可能导致不必要的 API 消费。建议：使用便宜模型处理 Heartbeat、设置 API 消费上限、在 HEARTBEAT.md 中精确定义触发条件。

参考链接：

• OpenClaw GitHub
• OpenClaw Wikipedia
• OpenClaw 官方文档
• Introducing OpenClaw — 官方博客
• Peter Steinberger 博客 — OpenClaw, OpenAI and the future
• TechCrunch — OpenClaw creator joins OpenAI
• CNBC — Steinberger joining OpenAI
• CVE-2026-25253 — NVD
• SocRadar — CVE-2026-25253 分析
• Kaspersky — OpenClaw 企业风险管理
• Adversa.ai — OpenClaw 安全加固指南
• DataCamp — OpenClaw vs Claude Code
• DevRel Guide — AI Coding Agents Compared 2026
• ClawHub
• ClawSec
• awesome-openclaw-skills
• DigitalOcean — What is OpenClaw
• Deep Dive OpenClaw — Substack