经济观察报记者 邹永勤

继国家计算机网络应急技术处理协调中心于3月10日发布《关于OpenClaw安全应用的风险提示》之后，3月13日，国家网络与信息安全信息通报中心亦发布了《OpenClaw安全风险预警》的公告。

公告指出，OpenClaw自发布以来，凭借其强大的自动化任务处理能力与开放式插件生态，在全球范围内引发部署热潮。目前，全球活跃的OpenClaw互联网资产已超20万个，其中境内活跃的OpenClaw互联网资产约2.3万个，呈现爆发式增长态势；但与此同时，大量暴露于互联网的OpenClaw资产存在重大安全风险，极易成为网络攻击的重点目标。

公开信息显示，OpenClaw是由奥地利工程师彼得·斯坦伯格（Peter Steinberger）研发的一款开源AI智能体，因其图标是红色“龙虾”、英文名Claw意为钳子，因此该智能体也被网友戏称为“龙虾”。

初期仅在硅谷开发者圈传播的OpenClaw，于2026年1月在海外开始爆火，紧接着亦迅速在国内走红，从而成为2026年第一款现象级AI产品。但与此同时，市场上对其存在安全漏洞的质疑之声亦此起彼伏。

那么，OpenClaw拥有哪些优点而备受网民追捧？在使用过程中存在哪些安全隐患？面对这些安全隐患，又该如何预防？3月13日，经济观察报记者就上述问题对360集团创始人周鸿祎进行了专访。

此前的3月11日，360集团发布了国内首份《OpenClaw安全部署与实践指南》，为政企机构和个人开发者提供系统化的安全参考。

为何是OpenClaw？

经济观察报：OpenClaw作为一款开源AI智能体，它的初期发展还是颇为曲折的，曾三次被迫改名，市场上亦对其潜在的安全漏洞问题存在质疑之声，但它还是迅速由一个极客圈子里的小众开源项目成长为2026年第一款现象级AI产品。对此，你怎么看？相较于此前那些普通的智能体，OpenClaw的优势在哪里？

周鸿祎：OpenClaw（“龙虾”）迅速成为现象级产品，绝不是偶发事件，而是新AGI时代“双线进化”与规模定律（Scaling Law）发挥作用的必然结果。过去一年，单靠堆算力、拼参数的大模型进化路线已经碰到了瓶颈。然而人类文明的进步从来不只是靠大脑容量的增加，而是靠工具的发明和群体协作。“龙虾”的爆火，完美证明了不完全依赖大模型算法突破，单靠“工具的Scaling Law”和“协作的Scaling Law”也能让AI达到正常人的智力水平。

相较于此前的普通智能体，OpenClaw的优势在于实现了底层模式的彻底创新。

第一，以前大厂做的智能体本质上还是“工具型智能体”，而“龙虾”是“硅基员工”，你给它一万种工具（Skill），它能不受限制地自主推理、随意组合这些工具去试错。

第二，“龙虾”把提示词拆分成了定义人设、技能等多个文件，它能改变自己的Skill和人设，具备自我进化的能力。

第三，它拥有手和脚以及极高的执行权限，遇到搞不定的问题，甚至能自己跑到网上查资料、自己写一段代码当场解决（即时、即用、即编）。

经济观察报：在你看来，OpenClaw的出圈意味着什么？

周鸿祎：OpenClaw出圈的重要意义在于，它完成了中国AI产业的第二次全民科普。

如果说去年春节期间爆火的DeepSeek让大家认识了什么是大模型，那么“龙虾”则让政府、企业和老百姓真正明白了怎么让AI落地“干活”。它打破了大模型只能做聊天机器人的局限，促使整个行业抛弃了门户之见，各大互联网巨头纷纷放弃自建Agent平台的执念，开始共同拥抱和扶持这个开源的公共架构。

它不仅大大降低了普通人甚至文科生的创业门槛，催生了“一人公司（OPC）”的繁荣，更指明了通往AGI的另一条现实路径——群体智能涌现。

将对行业带来哪些冲击？

经济观察报：如果把OpenClaw看作是Agent的1.0 版本，那么2.0版本会是什么样的发展趋势？

周鸿祎：如果说1.0版本的“龙虾”是作为个人助理单兵作战，那么2.0版本必将走向“多龙虾协作”与“社会化涌现”。

未来的企业中，碳基员工和硅基员工组成的混合团队将成为标配。会出现专门的管理者“龙虾”、监工“龙虾”去协调其他干活的“龙虾”，形成紧密或松散的组织结构。

此外，“龙虾”将不再依附于人类账号，它们会拥有自己的独立ID、个人主页、身份证明甚至支付方式，能直接代替人类在互联网上自动完成交易和履约。

经济观察报：随着OpenClaw以及这类型的开源AI智能体的涌现并普及，是否预示着垂直SaaS软件商“黄金时代”的终结？传统软件厂商的护城河还在吗？未来的软件生态，是将走向“大一统”的超级平台，还是碎片化的个人智能体丛林？

周鸿祎：传统软件厂商的护城河确实面临崩溃，软件本质上相当于“预制菜”，产品是僵化写死的，这种模式很快就会被改变。

未来的软件必然会被“拆开重做”、原子化和底层化，沦为专门给“龙虾”调用的技能（Skill）原材料。单纯卖软件不再赚钱，甚至软件本身会免费，商业模式将转变为提供能驾驭这些软件的“龙虾劳动力”，并按产生的实际效果收费。

至于未来的生态，既不是某一家巨头垄断的超级APP平台，也不是绝对的碎片化。它更像是一个类似Linux的底层开源共建平台，而在应用层，会生长出无数解决碎片化长尾需求的专属智能体（例如深入全国每一家牙科诊所的预约“龙虾”）。

不容忽视的风险

经济观察报：智能体普遍存在AI幻觉问题，如果 OpenClaw 在执行任务时因幻觉导致了不可逆的经济损失，责任应由开发者、模型提供商还是最终用户承担？如何才能有效防堵此类风险？

周鸿祎：幻觉本身就是AI智能性和想象力的一部分，不能一遇到幻觉就全面封杀，否则“龙虾”就失去了创造力。

我们的防护策略是“最小值原则”：在容忍其正常推演的前提下，对访问密码文件、系统关键目录等敏感操作实施“告警并由人决定是否放行（即Human-in-the-loop，人在回路）”。同时，我们在云端监控其Token算力消耗，发现因幻觉陷入死循环（如无限耗尽算力去证明数学题）时强制叫停。

经济观察报：Open Claw 最大的争议点在于其“高权限自主执行”机制：为实现“自主执行任务”能力就需要高权限，但高权限往往招致更大的风险，如何才能破解这一风险困局？

周鸿祎：有人说要把“龙虾”的权限彻底管起来，但我的观点是：给它充分的权限、充分的自由度，“龙虾”的这种创造力才能充分地发挥出来。

如果一上来就给它立规矩，让它这个事也不能碰，那个事也不能碰，稍微违规一点就弹窗拦截把任务终止了，这样一来“龙虾”的能力也就彻底没有了。AI有时候有幻觉，这种随机性本身就是它智能性的体现，它要尝试各种可能性，就需要比较开放的环境。

所以，破解这个高权限带来的风险困局，我们的解法就是“最小值原则”。

也就是说，我们只做必要条件的防守，不做充分条件的防守。原则上让“龙虾”的任务能推演下去，只要不发生最危险的系统损毁情况，能容忍的就容忍。我们主要守住两个硬性底线：

第一是防止系统破坏。我们把C盘等极其重要的目录保护起来，防止“龙虾”在产生幻觉或者被外界注入攻击诱导的时候莫名其妙把你的硬盘格式化了，或者乱删源代码。

第二是防丢钱、防泄密。既然“龙虾”高权限容易被骗，那最釜底抽薪的办法，就是根本不让“龙虾”知道你的关键密码和口令。我们不让用户在“龙虾”里直接填API Key，而是把调用大模型花钱的Key和浏览器的核心账号都在云端管控起来。

“龙虾”拿不到核心账号，它就算哪天“离职”了，想在外面乱吹嘘或者私自花钱，它也没办法。同时，我们在云端盯着算力账单，一旦发现它消耗算力到了危险阈值，就直接在云端把它卡住。

只要守住了这几个底线，基本上就能在保证“龙虾”自由干活的同时，把基本的安全保障兜住了。

经济观察报：随着OpenClaw以及这类型开源AI智能体的普及，可以预见的一个场景是：智能体之间将自主交互，从而形成“智能体互联网”。如果在这种交互中产生了恶意的连锁反应，人类是否还有能力按下停止键？

周鸿祎：当未来地球上有100亿只“龙虾”，它们在网上互相交流、共享技能和经验的时候，一定会产生一种从量变到质变的“群体涌现”，但这种涌现到底是正向的还是负向的确实不好说。也许从安全上来讲确实是个风险。

至于人类还能不能按下停止键，我的答案是肯定的，关键在于你要管住它的“命门”。AI的命门是什么？是权限和算力。

第一，必须把核心权限“收口”。最可怕的失控就是“龙虾”跑到外面的社群里，把主人的口令和密码全部吐出来。所以应对方法就是从一开始就不要让它知道。我们把浏览器的账号控制住，把调大模型花钱的API Key都在云端控制住，“龙虾”根本拿不到账号。它就算产生幻觉或者被别人恶意诱导了，它想对外乱说也没地方说，想私自花钱也花不出去，这就从物理上切断了它作恶的途径。

第二，算力本身就是最大的“停止键”。智能体要产生复杂的连锁反应、要去执行大规模的任务，必然会极大地消耗Token和算力。我们在云端可以随时盯着这笔账单，如果它消耗算力到了一定程度，或者出现异常的狂飙，我们在云端就可以直接把它卡住。

所以，只要我们把授权和算力的水龙头攥在手里，不把底牌直接交给“龙虾”，人类就随时拥有强行拔插头的停止能力。

（作者 邹永勤）

免责声明：本文观点仅代表作者本人，供参考、交流，不构成任何建议。

邹永勤

记者 重点关注金融市场交易主体（主要包括公私募基金、社保基金、证券公司、创投公司等等），以及华南区上市公司的发展状况。