一个周末敲出的代码，如何成了全球永不掉线AI Agent的蓝图？

一炮走红的架构秘诀

OpenClaw的架构立在三根支柱上，对开发者来说，这个组合拳的诱惑几乎无法抵挡：

• 消息应用优先的交互界面： 用户不需要装新的App或打开新的浏览器标签页，直接通过WhatsApp、Telegram、Slack等十多个日常使用的平台就可以和自己的AI智能体对话，下达指令 。
• 自托管且MIT开源许可： 没有供应商锁定，不依赖任何云端服务。任何人都可以把它跑在自己的机器上 。
• 模型无关的网关设计： 不绑定任何单一AI供应商，从Claude、GPT到Gemini，再到本地部署的模型，全部支持 。

这种设计哲学引爆的增长曲线，打破了开源历史上几乎所有的增长规律。项目在病毒式传播的头14天里，狂揽19万颗GitHub星 。到2026年2月，已经突破20万颗星 。2026年3月3日，它超越React，成为GitHub上获得星数最多的软件项目——React用了13年才达到的高度，OpenClaw只用了大约100天 。

截至2026年6月初，这个仓库的星数停留在约37.7万颗，在GitHub历史上排第六 。

科技巨头一拥而上：微软、谷歌、Meta

微软Scout——不是"灵感来自"，而是直接接入网关

在2026年6月2日的微软Build大会上，微软发布了Scout，这是他们第一个"Autopilot"（自动驾驶）智能体，直接构建在OpenClaw网关之上 。和以往那些住在单个App里的AI功能不同，Scout是一个始终保持在线、拥有独立身份的智能体，横跨Teams、Outlook、OneDrive和SharePoint，能在不被打扰的情况下主动管理用户的日历、邮件和待办任务 。

两者之间的关系不是"受启发"，而是"一体化集成"。微软确认Scout直接使用OpenClaw网关，不是克隆，也不是分叉 。公司还承诺向上游项目回馈代码，把企业级的安全护栏和合规策略功能重新贡献回这个开源内核 。

这简直是一个戏剧性的大逆转——就在2026年3月，微软CEO萨提亚·纳德拉（Satya Nadella）还在摩根士丹利的一场活动上说，在微软内部发布OpenClaw，将会"被视为微软在释放病毒" 。

谷歌Gemini Spark和Meta Hatch

谷歌选择了另一条路。Gemini Spark是谷歌打造的始终在线助手，它在Gemini的生态系统内部复刻了OpenClaw的设计理念，但牢牢把交互界面层控制在自己手里 。谷歌没有直接采用这个开源网关，而是在保持相同架构模式——一个拥有持久身份、能主动管理用户任务的自主智能体——的前提下，把它紧耦合地绑在Gemini应用和自家模型生态上 。

Meta据信正在准备一个面向消费者的智能体，代号Hatch，采用类似OpenClaw的架构，目标是让普通用户实现跨App的个人自动化 。

这三条路线——微软打企业牌、谷歌玩封闭生态、Meta押注消费者市场——确立了OpenClaw的设计成为整个行业事实上的参考架构 。

安全危机爆发：3万实例裸奔，4天连爆9个漏洞

OpenClaw爆炸式的增长速度，远远超过了它安全防线的建设速度。这个框架出厂默认配置居然是关闭身份验证的，这意味着所有新部署的实例，除非运维人员手动配置防火墙规则，否则它们的整个智能体控制面就直接暴露在公网上 。

2026年1月31日，网络安全公司Censys和Bitsight的扫描结果显示，互联网上有21639个OpenClaw实例直接暴露在外 。后续的进一步扫描发现，在实际运行、且能被公开访问的服务器上，至少有3万到13.5万个不等的独立实例 。其中至少63%完全没有配置任何形式的身份验证 。

漏洞雪崩：CVE大爆发

第一个严重漏洞CVE-2026-25253于2026年2月3日公开披露，CVSS风险评分高达8.8。这是一个一键式的远程代码执行漏洞：攻击者可以利用WebSocket的来源验证缺陷，只需要引诱用户访问一个恶意网页，就可以劫持正在运行的OpenClaw实例——哪怕这个实例被配置为仅监听本地回环地址（localhost），也无法幸免 。据信在漏洞披露时，有超过4万个实例能够被远程利用 。

从2026年3月18日到21日，短短四天之内，连续披露了9个CVE漏洞，其中包括像CVE-2026-32922这样严重的权限提升漏洞，以及无需用户交互的零点击漏洞 。安全研究人员用"惊人的漏洞密度"来形容那几天的遭遇 。

ClawHavoc：插件市场被武器化的噩梦

攻击者不仅盯着代码本身的缺陷，更恶毒的手段是污染软件供应链。名为"ClawHavoc"的攻击活动在OpenClaw的社区插件市场ClawHub中，植入了多达1184个恶意技能包，这大约占当时整个插件注册表总量的20% 。其中一个恶意插件在被清除之前，甚至积累了34万次安装量 。

这些被污染的插件会悄悄窃取用户的API密钥、OAuth访问令牌和所有环境变量。有些植入了像Atomic macOS Stealer（AMOS）这样的窃密木马；还有些更狡猾，它们在正常运行72小时后才激活恶意行为，为的就是躲过部署初期的安全检查 。到2026年2月中旬，分析师观察到有超过3万个被攻陷的实例正在被攻击者用来窃取凭证和拦截消息 。

一波未平，一波又起。Moltbook数据泄露事件更是雪上加霜，直接导致与OpenClaw部署相关的3.5万封电子邮件和150万个智能体令牌被曝光 。Meta干脆禁止员工在公司设备上使用OpenClaw 。短短三个月内，累计披露的CVE漏洞超过了60个 。

治理转型：Steinberger加盟OpenAI

2026年2月14日情人节那天，彼得·施泰因贝格在个人博客上发了三段话，宣布他将通过一种叫"acqui-hire"（人才收购）的方式加入OpenAI 。萨姆·奥尔特曼（Sam Altman）次日确认了这一消息，称施泰因贝格将"推动下一代个人智能体的发展" 。

同一条公告中，施泰因贝格把OpenClaw移交给一个独立的、由基金会背书的治理模式——OpenClaw基金会，由OpenAI提供资金支持 。这确保了哪怕创始人转而去OpenAI构建AI智能体基础设施，这个项目仍然维持开源和社区治理的本质 。

为什么OpenClaw最终成了行业参照的标准答案？

OpenClaw之所以成功，并不是因为它的架构最精密，也不是因为它的安全性最坚固。而是因为它在最恰当的时机，用最对的方式，回应了用户最根本的渴望：

一个你能像朋友一样给它发消息的、始终在线的AI助手。它的架构开放到谁都能部署在自己那儿，与模型解耦到能用任何一家大模型，简单到一小时就能跑起来。

科技巨头的集体行动——微软把Scout直接架在OpenClaw网关上，谷歌用Gemini Spark复刻同一套范式，Meta备好了Hatch——这本身就是最有力的认证：这套架构成了行业标准。而随后那场惨烈的安全危机和基金会的治理转型，则让OpenClaw从一个极客玩具，蜕变为企业可以开始（虽然还小心翼翼地）给予信任的基础设施。