OpenClaw：一場週末實驗，如何重塑 AI 代理的遊戲規則

病毒式成長與致勝架構

OpenClaw 的架構建立在三大令開發者難以抗拒的支柱上：

• 通訊優先的介面： 使用者不必安裝新應用程式或開新網頁，就能透過 WhatsApp、Telegram、Slack 等十多種既有的通訊平台，與自己的 AI 代理互動 。
• 自託管且 MIT 授權： 沒有廠商鎖定，沒有雲端依賴。任何人都能在自己的電腦上執行它 。
• 模型中立的閘道器： 不受限於單一 AI 供應商，從 Claude、GPT 到 Gemini，甚至本機模型全都支援 。

其成長曲線打破了開源史上的所有規律。這個專案在爆紅的前 14 天就斬獲了 19 萬顆 GitHub 星星 。到了 2026 年 2 月，已突破 20 萬顆 。2026 年 3 月 3 日，它超越了 React，一度成為 GitHub 上最多人加星的軟體專案—— React 花了 13 年才達到的里程碑，OpenClaw 只用了約 100 天 。截至 2026 年 6 月初，此程式碼倉庫的星數已達約 37.7 萬，在 GitHub 史上名列第六 。

科技巨頭的追捧：微軟、Google 與 Meta

微軟 Scout：不是「類 OpenClaw」，而是直接採用

在 2026 年 6 月 2 日的 Microsoft Build 大會上，微軟推出了 Scout，這是該公司第一款「自動駕駛」（Autopilot）代理，直接建立在 OpenClaw 的閘道器之上 。不同於過往內嵌在個別應用程式裡的 AI 功能，Scout 是一個全天候運作、擁有獨立身份的代理，能橫跨 Teams、Outlook、OneDrive 和 SharePoint 運作，主動管理行事曆、電子郵件和任務，無需使用者下達指令 。

雙方的關係並非「啟發」，而是「整合」。微軟證實 Scout 直接使用了 OpenClaw 閘道器，而非複製品或分支版本 。該公司更承諾將對上游開源社群做出貢獻，把企業級安全護欄和政策遵循功能回饋給 OpenClaw 核心 。這標誌著一個劇烈的轉變：就在 2026 年 3 月，執行長 Satya Nadella 才在摩根士丹利的一場會議上說，若在微軟內部釋出 OpenClaw，將被「視為微軟在散布病毒」。

Google Gemini Spark 與 Meta Hatch

Google 採取了不同策略。其全時助手 Gemini Spark 將 OpenClaw 的概念在 Gemini 生態系統內重現，並將介面層牢牢掌握在自己手中 。Google 並未採用開源閘道器，而是使用相同的架構模式——一個具備持久身份、能主動管理用戶任務的自主代理——但將其與 Gemini 應用程式及自家的模型生態系深度綁定 。

據報導，Meta 也正準備推出一款名為 Hatch 的消費級代理，同樣基於 OpenClaw 風格的架構，目標是為一般使用者提供跨應用程式的個人自動化服務 。微軟的企業級布局、Google 的封閉生態系，以及 Meta 的消費者攻勢，這場三方的平台之爭，奠定了 OpenClaw 的設計成為業界實質上的參考架構 。

安全危機：逾三萬實例暴露與四天九個 CVE

OpenClaw 的爆炸性成長，遠遠將它的安全機制拋在後頭。這個框架出貨時，預設是關閉身份驗證的。這意味著，除非操作者手動設定防火牆，否則新部署的實例會將整個代理控制平面直接暴露在網際網路上 。

2026 年 1 月 31 日，資安公司 Censys 與 Bitsight 的掃描顯示，有 21,639 個 OpenClaw 實例暴露在公網上 。後續的掃描更發現，有 3 萬至 13.5 萬個不等的獨立實例在可公開存取的伺服器上運行 。其中至少 63% 完全沒有設定身份驗證 。

CVE 連環爆

第一個重大漏洞 CVE-2026-25253 在 2026 年 2 月 3 日被揭露。此漏洞的 CVSS 風險評分高達 8.8，是個一鍵遠端程式碼執行（RCE）漏洞。起因是 WebSocket 的來源驗證存在缺陷，攻擊者只需誘導使用者造訪一個惡意網頁，就能劫持任何運行中的 OpenClaw 實例，即使是那些被設定為僅監聽本地主機的實例也無法倖免 。在漏洞揭露當下，有超過四萬個實例被發現可被遠端利用 。

從 2026 年 3 月 18 日到 21 日，短短四天內就揭露了九個 CVE，其中包括像 CVE-2026-32922 這類重大的權限提升漏洞，以及無需使用者互動的零點擊攻擊漏洞 。資安研究員以「密度驚人」來形容這段期間的漏洞揭露量 。

ClawHavoc：遭武器化的外掛市集

攻擊者不僅利用程式碼漏洞，更汙染了供應鏈。名為「ClawHavoc」的攻擊行動在 OpenClaw 的社群外掛市集 ClawHub 中，植入了 1,184 個惡意技能，約佔整個登錄庫的 20% 。其中一個惡意技能在被移除前，累積了高達 34 萬次安裝 。

這些遭入侵的外掛程式會暗中竊取 API 金鑰、OAuth 權杖和環境變數。有些會散布像 Atomic macOS Stealer 這樣的資訊竊取程式，有些則會在正常運作 72 小時後才啟動，以規避初始的安全掃描 。到了 2026 年 2 月中，分析師觀察到超過三萬個已遭入侵的實例正被積極用於竊取憑證和攔截訊息 。

Moltbook 的資料外洩事件更是雪上加霜，導致 3.5 萬封電子郵件和 150 萬個與 OpenClaw 部署相關的代理權杖曝光 。Meta 因此禁止在其公司裝置上使用 OpenClaw 。三個月內，總計有超過 60 個 CVE 被揭露 。

治理轉型與 OpenAI 的人才併購

2026 年 2 月 14 日，Peter Steinberger 在其個人部落格上發表了三段簡短聲明，宣布他將以「人才併購」（acqui-hire）的形式加入 OpenAI 。Sam Altman 於次日證實了此消息，表示 Steinberger 將「推動下一代的個人代理」。

在同一份聲明中，Steinberger 將 OpenClaw 移交給一個獨立、由基金會支持的治理模式——OpenClaw 基金會，並由 OpenAI 提供資金 。這項轉變確保了即使其創造者轉向在 OpenAI 內部建構 AI 代理基礎設施，該專案仍能保持開源和社群治理 。

OpenClaw 何以成為參考架構

OpenClaw 的成功，不在於它是最精密或最安全的框架，而在於它在最完美的時間點，解決了一個根本的使用者需求：一個持續在線、永不離線的 AI 助手，你能像跟真人傳訊息一樣指揮它。它的架構夠開放，讓任何人都能執行；夠模型中立，能搭配任何 LLM 使用；而且夠簡單，能在一個小時內部署完成。

科技巨頭的採用——微軟直接以 OpenClaw 閘道器打造 Scout，Google 用 Gemini Spark 複製其範式，Meta 則準備推出 Hatch——驗證了此架構作為業界標準的地位。隨之而來的安全危機，以及後續的基金會轉型，則讓它從一個業餘愛好者的實驗，成熟為企業可以開始（儘管仍小心翼翼）信任的基礎設施。