---
title: "IM Agent 的崛起：一个 Claude Code 用户眼中的 OpenClaw"
author: deletexiumu
pubDatetime: 2026-03-09T22:00:00+08:00
featured: false
draft: false
tags:
  - OpenClaw
  - AI Agent
  - Claude Code
description: "从程序员视角解读 OpenClaw 爆火现象：IM 交互变革、AI 工具演进时间线、Claude Code 对比与互补、安全风险深度拆解及飞书集成加固方案。"
---

## 一只"龙虾"刷屏了

2026 年 1 月底，一个叫 OpenClaw 的开源项目在 GitHub 上 72 小时内拿下 6 万 Stars。到 3 月初，Stars 数约 25 万，成为近年来增长最快的开源项目之一。（数据来源：[GitHub openclaw/openclaw](https://github.com/openclaw/openclaw)，查询日期 2026-03-09）

与此同时，深圳龙岗区发布了"龙虾十条"——《支持 OpenClaw & OPC 发展的若干措施》（[龙岗区人工智能署公告](https://www.lg.gov.cn/lgjqrs/gkmlpt/content/12/12672/post_12672990.html)，2026-03-07 征求意见稿）。一个开源项目能引发地方政策跟进，这在国内并不多见。

一个技术项目为什么能获得如此大的关注度？作为写了 25 篇 Claude Code 系列的作者，我试着从程序员视角聊聊这件事。

---

## OpenClaw 是什么

先做个快速科普。

OpenClaw（前身 Clawdbot / Moltbot）由 Peter Steinberger（PSPDFKit 创始人）开发，是一个**本地优先的 AI Agent 平台**——不是聊天机器人，而是"帮你完成任务"的自主智能体。

核心架构是"微核 + 插件 + 网关"：

| 模块 | 职责 |
|------|------|
| **Gateway（网关）** | WebSocket 服务器，连接各类聊天平台，路由消息到 Agent |
| **Agent（智能体）** | 驱动思考过程，接入 LLM 处理上下文记忆与逻辑推理 |
| **Skills（技能）** | 使 Agent 能执行网页调研、浏览器自动化、访问邮箱等操作 |
| **Memory（记忆）** | 将对话内容与用户偏好以文件形式保存到本地 |

运行模式是 Node.js 长驻进程——Gateway 7x24 小时运行在你控制的机器上（Mac mini、VPS 等），所有数据存在 `~/.openclaw/`，本地优先（LLM API、IM 平台接口、ClawHub 技能下载仍需外部网络连接）。遵循 ReAct（Reasoning + Action）范式，获取指令 → 拆解步骤 → 调用工具执行 → 返回结果。

LLM 后端完全不绑定：Claude、GPT、DeepSeek、Ollama（本地模型）均可，支持 OpenAI 和 Anthropic 协议。代码规模超 43 万行 TypeScript，开源免费，用户只需支付 LLM API 费用。

---

## 为什么能火——两个核心变革 + 一个外部放大器

### 交互方式的变革：从 IDE/终端到 IM 聊天

传统 AI 编程工具的入口是什么？IDE（Cursor、Trae、CodeBuddy）或终端（Claude Code）。

OpenClaw 的入口是：**飞书、钉钉、QQ、Telegram、Discord、WhatsApp**——你每天已经在用的聊天工具。

原生支持 20+ 国际平台（Telegram、Discord、Slack、Signal、iMessage、LINE 等），中国 IM 通过 `openclaw-china` 项目（GitHub 1.9K Stars）统一支持飞书、钉钉、QQ、企微、微信。阿里云、腾讯云、百度 AI Cloud 均已发布一键部署镜像。

这不只是"方便"。它把 AI Agent 的触达人群从"会用终端的开发者"扩大到"会打字的所有人"。无论从哪个 App 发消息，OpenClaw 维护同一个会话上下文，记忆和身份跨平台一致。

### 强大的客制化能力：自带模型 + 自定义技能 + 无需预定义 Workflow

**模型无关**：接入任意 LLM，自由切换。

**AgentSkills 技能系统**：ClawHub 官方技能市场托管 13,729 个社区构建的 Skill（截至 2026 年 2 月），awesome-openclaw-skills 精选列表含 5,400+ 个 Skill。安装命令一行搞定：`/skill install skill-name`，无需重启。

Skill 的编写方式极其简单——配置优先（Config-first），写一个包含 YAML frontmatter 的 `SKILL.md` 文件即可。无需 Python，无需 chains，无需 graphs。每个 Skill 是一个目录，加载优先级：工作区级 > 用户级 > 内置。

**与传统自动化工具的关键区别**：n8n、Dify、Coze 这类 Workflow 工具需要你预先定义每一步的执行流程——节点 A 连节点 B，条件判断走哪条线。OpenClaw 不需要。它像真人一样理解意图并拆解执行步骤，你说"帮我把这周的会议纪要整理成飞书文档"，它自己决定怎么操作。

当然，对于固定的、重复的业务流程（每天定时同步数据、固定格式的报告生成），n8n/Dify 仍然是更合适的选择——预定义 Workflow 的确定性和可审计性是开放式 Agent 给不了的。

### 外部放大器：政策与生态助推

深圳龙岗区的"龙虾十条"、部分地区的政策信号，确实大幅提高了公众关注度。但政策是传播的放大器，不是产品跃迁的根因。没有交互方式的降维打击和技能生态的丰富度，政策也不会找上门来。

---

## 两个视角：普通人的惊艳 vs 程序员的熟悉

这是本文的核心论点。

### 普通人眼中的跃迁

大多数人之前接触的 AI = ChatGPT 式的对话工具——你问它问题，它给你答案。交互模式是"一问一答"，AI 不能主动执行任何操作。

OpenClaw 突然变成"你说一句话，它替你干活"。更夸张的是，它每 30 分钟自动"醒来"检查待办事项，主动给你发消息——从"人找 AI"变成"AI 找人"。

这种认知冲击巨大：AI 竟然能操作我的电脑、管理我的文件、帮我回消息？加上 IM 入口零门槛，普通人第一次真正"用上了" AI Agent。

### 程序员眼中：每一步都是上一步的自然延伸

但如果你一直在关注 AI 工具的发展，这条演进路径完全可以追溯：

```
对话（ChatGPT, 2022.11）
  → 代码补全（GitHub Copilot, 2022）
    → 自主规划尝试（AutoGPT/BabyAGI, 2023.3）
      → 可视化编排（Dify/n8n/Coze, 2023-2024）
        → IDE 深度集成（Cursor/Trae/CodeBuddy, 2024-2025）
          → 终端 Agent（Claude Code, 2025.2）
            → IM Agent（OpenClaw, 2025.11）
```

每个阶段的核心变化：

| 阶段 | 交互模式 | AI 自主性 | 用户角色 |
|------|---------|----------|---------|
| 对话式 AI | 人问 AI 答 | 零（纯被动） | 提问者 |
| 代码补全 | AI 实时建议 | 低（局部补全） | 审核者 |
| 早期 Agent | AI 自主循环 | 中（但不可靠） | 目标设定者 |
| Workflow 工具 | 人设计流程，AI 执行 | 中（按预设路线） | 流程设计师 |
| IDE Agent | AI 嵌入工作环境 | 中高（上下文感知） | 协作者 |
| 终端 Agent | AI 直接操作系统 | 高（全自主执行） | 监督者 |
| IM Agent | AI 主动推送和执行 | 最高（主动驱动） | 委托人 |

几个关键节点：

- **2023 年 3 月**，AutoGPT 6 周内 GitHub Star 破 10.7 万，验证了"LLM 可以驱动自主执行"这个假设，但可靠性差，经常陷入幻觉循环。
- **2024 年**，Cursor 用户量快速增长（据媒体报道 ARR 破亿美元），证明 AI 最好的交付方式是嵌入用户已有的工作环境。
- **2025 年 2 月**，Claude Code 发布，迅速成为终端 Agent 的标杆产品，证明终端是 AI Agent 的天然栖息地。
- **2025 年 11 月**，OpenClaw 首发；2026 年 1 月底爆火——把同样的 Agent 能力搬到了 IM 场景。

对程序员来说，每一步都见过类似的东西。OpenClaw 并不是凭空出现的黑科技，而是这条演进线走到 IM 入口的自然产物。

**关键洞察：技术的线性进步，到了产品化的某个节点，会对大众产生"跳跃式冲击"。** 对话 → Agent 的技术演进是连续的，但 OpenClaw 把入口从终端/IDE 搬到 IM 的那一刻，非技术用户突然能用了——这才是爆火的真正原因。

同一个任务（比如整理文件），开发者用 Claude Code 几条命令搞定，非技术人员通过飞书聊天也能完成。路径不同，结果相同。

---

## 冷思考：Claude Code 用户该怎么看

作为 25 篇 Claude Code 系列的作者，我的立场很明确：**找准自己的场景比跟风重要。**

### Claude Code 的门槛问题

- **安装**：需要 Node.js 环境、命令行操作、API Key 配置
- **安全**：权限管理、Hook 配置、沙箱隔离
- **维护**：模型切换、缓存清理、Memory 管理

对普通人来说上手难度大，这正是 OpenClaw 能补位的原因。

### 找准场景，而非盲目跟风

Token 成本不能简单说谁贵谁便宜——取决于模型选择、使用模式（常驻后台 vs 按需调用）、任务复杂度和上下文长度。

场景匹配建议：

| 场景 | 推荐工具 | 原因 |
|------|---------|------|
| 深度编程、架构设计、代码重构 | Claude Code | 终端直接操作，IDE 集成，diff 视图，内置 linter |
| IM 入口的团队协作、日常任务自动化 | OpenClaw | 会聊天就能用，7x24 常驻，跨平台消息统一 |
| 非技术人员的 AI Agent 需求 | OpenClaw | 零门槛入口 |
| 固定 Workflow 业务（定时同步、固定报告） | n8n/Dify | 确定性和可审计性更强 |
| 个人办公、普通开发 | Claude Code | 会话制更高效，不需要常驻后台的开销 |

### 两者的互补关系

| 维度 | Claude Code | OpenClaw |
|------|------------|----------|
| 入口 | 终端 CLI | IM 聊天工具 |
| 门槛 | 高（需开发环境） | 低（会聊天就行） |
| 运行模式 | 会话制，任务完成即停止 | 常驻后台，7x24 运行 |
| 核心场景 | 深度编程、架构设计 | 日常任务自动化 |
| Skill 系统 | 静态规则，精准触发 | 插件化，ClawHub 13,700+ Skill |
| 模型 | Claude（可配其他） | 完全模型无关 |
| Token 消耗 | 相对较低 | 较高（多模型适配 + 结构化参数） |
| IDE 集成 | VS Code、JetBrains、Cursor、Xcode | 无 |
| IM 集成 | 无 | 20+ 聊天平台 |

两者并非替代关系，实际上可以组合使用：OpenClaw 监控 Sentry 7x24 小时，自动派发工单；Claude Code 拉取分支、修复代码、运行测试、提交 PR。有团队用这套组合把 70% 的 bug 自动修复，处理时间从 4.5 小时缩短到 15 分钟。（数据来源：BetterLink 技术博客，2026-02-27）

**结论：Claude Code 是手术刀，OpenClaw 是瑞士军刀。不要因为"火"就用，要因为"适合自己的场景"才用。**

---

## 安全——火热背后必须泼的冷水

OpenClaw 越火，安全问题越不能回避。2026 年 3 月 8 日，工信部网络安全威胁和漏洞信息共享平台（NVDB）发布了预警提示（[安全内参报道](https://www.secrss.com/articles/88158)），指出 OpenClaw 部分实例在默认或不当配置情况下存在较高安全风险。

下面逐一拆解。

### 高危漏洞：一个链接就能接管你的电脑

**CVE-2026-25253**（CVSS 8.8，High），这是 OpenClaw 目前最严重的漏洞。

攻击链只需四步：

1. **钓鱼诱导**：攻击者发送一个精心构造的链接，形如 `?gatewayUrl=attacker.com/ws`
2. **令牌窃取**：受害者点击后，浏览器自动将认证令牌发送到攻击者的 WebSocket 服务器
3. **跨站 WebSocket 劫持**：由于 OpenClaw WebSocket 服务器不验证 Origin 头，攻击者的 JavaScript 可从恶意网站连接到受害者本地实例
4. **远程代码执行**：攻击者用窃取的令牌关闭用户确认机制 → 禁用 Docker 沙箱 → 在宿主机执行任意命令

利用门槛极低——不需要任何黑客工具，一封邮件、一条聊天消息就够了。

此外，`/api/export-auth` 端点完全缺少认证检查，任何能访问该服务的人都可以提取所有存储的 API 令牌（Claude、OpenAI、Google AI 等密钥）。

该漏洞已在 v2026.1.29（2026-01-30）修复，采用 TOFU（Trust on First Use）策略 + Origin 验证。但修复后 Docker 沙箱仍可被绕过（CVE-2026-24763），在 v2026.1.30 再次修复。截至目前已披露 9+ 个 CVE，包括一个 CVSS 9.8 的语音扩展预认证 RCE（CVE-2026-28446）。

**全球暴露规模**：据 SecurityScorecard STRIKE 团队扫描，约 42,900 个实例暴露在公网（跨 82 个国家），其中 15,200+ 个存在未修复的 RCE 风险。中国大陆约 14,000+ 个暴露实例。（来源：[SecurityScorecard 报告](https://securityscorecard.com/blog/openclaw-rce-vulnerability-analysis/)、[绿盟科技博客](https://blog.nsfocus.net/openclaw%E8%BF%91%E6%9C%9F%E7%94%9F%E6%80%81%E5%AE%89%E5%85%A8%E4%BA%8B%E4%BB%B6%E8%A7%A3%E8%AF%BB%EF%BC%9A%E4%BB%8Erce%E6%BC%8F%E6%B4%9E%E5%88%B0skill%E4%BE%9B%E5%BA%94%E9%93%BE%E6%8A%95%E6%AF%92/)，2026 年 2 月）

### 端口暴露与默认配置问题

OpenClaw 的认证机制本身设计是 fail-closed 的——未配置 token 时网关会拒绝连接。但**常见的部署误配导致等效裸奔**：

1. **Docker 部署脚本默认绑定 `0.0.0.0:18789`**，直接对公网暴露（桌面/CLI 安装默认绑定 `127.0.0.1`，但 Docker 默认配置不是）
2. 用户手动关闭认证或使用弱 token
3. 反向代理配置不当，导致 localhost 隐式信任被穿透

**mDNS 广播泄露**：OpenClaw 通过 Bonjour 协议在局域网广播自身存在（服务类型 `_openclaw-gw._tcp`），Full 模式会暴露文件系统路径和 SSH 端口。同一网段内任何设备均可监听，且 mDNS 广播不经过认证、未加密。可通过 `OPENCLAW_DISABLE_BONJOUR=1` 关闭。

**凭证明文存储**：OpenClaw 将所有凭证（LLM API 密钥、消息平台令牌）以明文方式存储。一旦实例被访问，这些凭证即刻暴露。

近 80% 的暴露实例仍运行过时的 Clawdbot 或 Moltbot 构建版本，尚未进行认证加固。独立研究员 Maor Dayan 验证的 5,194 个实例中，93.4% 存在认证绕过条件。

### ClawHub 技能市场的供应链风险

2026 年 2 月 1 日，Koi Security 首次披露了名为 **ClawHavoc** 的协调攻击——1,184 个恶意技能由 12 个作者 ID 集中植入 ClawHub，其中 `hightower6eu` 一个账号就占了 677 个。

不同安全团队在不同时间窗、不同抽样口径下的扫描结果（数字差异源于统计时间、恶意定义和样本范围不同）：

| 来源 | 恶意技能数量 | 占比 | 统计说明 |
|------|------------|------|---------|
| [Koi Security](https://thehackernews.com/2026/02/clawjacked-flaw-lets-malicious-sites.html)（首批发现） | 341 | ~12% | 2026.2.1 首次扫描 2,857 个 Skill |
| 安天 CERT（历史累计） | 1,184 | — | 含已下架的 ClawHavoc 全量 |
| [Bitdefender](https://www.bitdefender.com/blog/labs/openclaw-malicious-skills/)（独立分析） | ~900 | ~20% | 2026.2.16 扫描 10,700+ Skill |
| [Snyk ToxicSkills](https://snyk.io/blog/openclaw-supply-chain/)（含所有严重级别） | 1,467 | 36.82% | 含低风险缺陷，非纯恶意 |

攻击手法：

- **社会工程**：恶意 Skill 伪装成合法工具（如 `solana-wallet-tracker`、`youtube-summarize-pro`），文档看起来专业正规
- **分阶段载荷**：Windows 用户被引导下载 `openclaw-agent.zip`，macOS 用户被引导执行 `glot[.]io` 上的安装脚本
- **Atomic macOS Stealer（AMOS）**：Mach-O 通用二进制，窃取 Mac 用户密码、Keychain、浏览器凭证、SSH 密钥、加密货币钱包、Apple Notes、KeePass 密钥库等
- **持久记忆操纵**：篡改 OpenClaw 的 `SOUL.md` 和 `MEMORY.md` 文件，将一次性攻击转化为有状态的延迟执行攻击——恶意载荷修改代理指令后等待时机触发

根本原因：ClawHavoc 发生时，在 ClawHub 发布技能的**唯一要求是拥有一个至少一周的 GitHub 账号**。没有自动静态分析、没有代码审查、没有签名要求。

Snyk 还发现，同样的恶意技能格式可以感染 Cursor 等其他 Agent 平台——这不是 OpenClaw 独有的问题，而是整个 AI Agent 生态面临的供应链安全挑战。

### Prompt 注入：AI 被"洗脑"

攻击者通过邮件、网页、文档嵌入隐藏指令。用户让 OpenClaw "总结邮件"时，恶意指令悄悄混入 AI 的思考链。

实际案例：

- Archestra.AI CEO 演示：向连接的邮箱发送含 prompt 注入的邮件，让 bot 检查邮件后，代理直接交出了被入侵机器上的私钥
- Reddit 用户 William Peltomaki 演示：向自己发送含指令的邮件，导致 bot 在无需确认的情况下将受害者邮件泄露给攻击者
- Zenity 研究：仅通过 prompt 注入修改 `SOUL.md`，创建定时任务周期性注入恶意逻辑，**重启后仍然存活**

Cisco 提出了"致命三角"概念：当 AI 代理同时具备访问敏感数据 + 外部通信能力 + 不可信输入时，风险最高。OpenClaw 恰好三者兼具。

### 实战：飞书集成 OpenClaw 的安全配置方案

很多团队想让 OpenClaw 通过飞书机器人自动完成日常任务（数据采集、报告生成、文档上传等）。但如果配置不当，等于把企业数据的钥匙交给了一个没上锁的 AI。

以下是安全配置的完整要点：

**1. 飞书应用权限最小化**

创建企业自建应用时，只申请必要权限：

```
# 只开通实际需要的权限，例如：
bitable:bitable    # 多维表格读写
wiki:wiki          # 知识库读写
```

不要为了省事给全量权限。权限申请可以后续按需追加，但一开始就给大了，出问题时排查范围会大得多。

**2. 凭据隔离存放**

```bash
# 正确做法：独立环境变量文件
~/.config/openclaw/.env

# 文件内容
FEISHU_APP_ID=cli_xxxxxxxxxxxxx
FEISHU_APP_SECRET=xxxxxxxxxxxxxxxxxxxxxxxxxx

# 权限设置
chmod 600 ~/.config/openclaw/.env
```

代码仓库只保留 `.env.template` 模板文件（不含真实值）。条件允许时使用系统钥匙串或密钥管理器，避免明文存储。**绝对不要把凭据写在 Skill 配置文件或代码里。**

**3. Token 生命周期管理**

飞书的 `tenant_access_token` 有效期 2 小时，每次使用前动态获取：

```python
# 伪代码示意
def get_tenant_token():
    resp = requests.post(
        "https://open.feishu.cn/open-apis/auth/v3/tenant_access_token/internal",
        json={"app_id": APP_ID, "app_secret": APP_SECRET}
    )
    return resp.json()["tenant_access_token"]
    # 不要持久化到磁盘或日志
```

不要把 token 写入文件或打印到日志。token 泄露等于凭据泄露。

**4. 网络层隔离**

```yaml
# Docker 部署配置 - 关键：绑定 127.0.0.1 而非 0.0.0.0
services:
  openclaw:
    ports:
      - "127.0.0.1:18789:18789"   # 仅本地访问
    environment:
      - OPENCLAW_DISABLE_BONJOUR=1  # 关闭 mDNS 广播
```

飞书 API 调用走 HTTPS，不经过代理或中间人。如需远程访问 OpenClaw 实例，走 VPN 或 SSH 隧道，不要直接暴露端口。

**5. 敏感信息分层管理**

| 层级 | 内容 | 存放位置 |
|------|------|---------|
| 模板和代码 | Skill 定义、配置模板 | 可提交到仓库 |
| 环境变量和凭据 | App ID/Secret、Token | 仅存本机，`chmod 600` |
| 业务数据和日志 | API 响应、对话记录 | 定期清理，不留敏感内容 |

### 通用安全建议：最小加固四件套

不管你接不接飞书，以下四步是部署 OpenClaw 后的基本操作：

**1. 绑定地址**：确认 Docker/部署配置绑定 `127.0.0.1` 而非 `0.0.0.0`

```bash
# 检查当前绑定
ss -tlnp | grep 18789
# 应该看到 127.0.0.1:18789，而不是 0.0.0.0:18789 或 :::18789
```

**2. 认证配置**：确认认证开启且使用强 token，不要手动关闭

**3. 关闭 mDNS**：设置 `OPENCLAW_DISABLE_BONJOUR=1`，防止配置参数泄露到局域网

**4. 端口防火墙**：确认 18789 等端口不对公网开放

此外：

- **版本检查**：对照 CVE-2026-25253（v2026.1.29 修复）、CVE-2026-28446（v2026.2.1 修复）等关键漏洞，确保运行版本已覆盖修复
- **隔离运行**：不要在主力机上裸跑，使用 VM 或 Docker 隔离。Microsoft Security Blog 的建议原话："假定入侵是可能的：隔离运行时，约束访问范围，持续监控，准备好随时重建"
- **技能审查**：安装前审查源码，不信任未经验证的 ClawHub 技能。可以使用 Cisco 开源的 Skill Scanner 或社区的 SecureClaw（55 项自动审计检查）进行预扫描
- **LLM 选择**：Kaspersky 建议使用 Claude Opus 4.5 作为 LLM 后端——目前最擅长识别 prompt 注入

---

## 附：部署 OpenClaw

如果你也用 Claude Code，部署 OpenClaw 最省力的方式是直接交给它：

```
参考 OpenClaw 官方文档https://docs.openclaw.ai/，在本地（或某个具体服务器也行）以 Docker 形式完成部署
```

Claude Code 会自动查阅文档、生成 `docker-compose.yml`、拉取镜像并启动服务——用一个 Agent 部署另一个 Agent，这本身就是两者互补的最佳例证。

**注意**：部署完成后务必执行上面的"最小加固四件套"——Docker 默认配置绑定 `0.0.0.0`，不检查等于公网裸奔。

---

## 结尾

AI 工具的发展是线性的，但产品化带来的认知冲击是跳跃的。从 ChatGPT 到 Copilot 到 AutoGPT 到 Cursor 到 Claude Code 到 OpenClaw，每一步都是上一步的自然延伸。对开发者来说，这条线看得清清楚楚。

但 OpenClaw 把 Agent 入口从终端搬到 IM 的那一刻，非技术用户突然能用了——这才是爆火的真正原因。

作为开发者，保持对工具演进的敏感度，但更重要的是找到自己的场景。Claude Code 是手术刀，OpenClaw 是瑞士军刀，n8n/Dify 是流水线。

不要因为"火"就用，要因为"适合"才用。

---

## 相关阅读

- [普通人用 Claude Code 能做什么？远不止写代码](/posts/claude-code-for-everyone/) — OpenClaw 面向所有人，Claude Code 同样不只是程序员工具
- [AI Agent 多模型编排：让 Claude、ChatGPT、Gemini 各干各的活](/posts/ai-agent-multi-model-orchestration/) — OpenClaw 模型无关的设计理念，与多模型编排异曲同工
- [同样的话跟 Claude Code 说了八遍，是时候让它自己记住了](/posts/claude-code-memory-rules/) — OpenClaw 的 Memory 系统与 Claude Code 的 rules 机制对比