2026年3月4日，GitHub上发生了一件让整个技术圈集体沉默三秒的事情。

一个开源项目，以28万Stars的成绩，正式超越了Facebook用十年时间打造的React框架，成为GitHub历史上Stars最多的软件项目之一。这个项目从第一行代码推送到GitHub，到超越React，总共用了不到60天。

这个项目叫OpenClaw。一只龙虾。

与此同时，就在这只龙虾刚刚超越React的几周前，它的创始人Peter Steinberger已经宣布加入OpenAI，Sam Altman亲自在X上发帖为他站台。OpenClaw的GitHub仓库则转交给独立基金会运营，以开源形式继续存在。

一个独立开发者做了一个开源工具，被AI圈第一品牌的Claude打了一场商标战。这场战争反而让它暴涨9.1万Stars，最后创始人在GitHub Stars还在狂飙时转投了竞争对手。这剧本，比任何科幻小说都精彩。

但OpenClaw真正重要的地方，不是这些戏剧性的人事变动，而是它揭示了一件更大的事：Computer Use Agent这个AI智能体品类，正在以一种所有人都没有预料到的方式，彻底爆发了。

从Computer Use Agent说起

OpenClaw的火爆，把一个原本只在开发者圈子里讨论的概念送进了大众视野：Computer Use Agent（CUA，计算机使用智能体）。

要理解CUA，得先明白之前的AI到底缺什么。

在CUA出现前，AI和你的交互方式是这样的：你提问，它回答。无论这个回答多精彩，都只停留在「说」的层面——它没法直接操作你的电脑，没法打开Excel改一个数字，没法在浏览器填一张表格，更没法点那个「确认支付」的按钮。

AI有大脑，但没有手。

CUA，就是给AI装上了一双手。技术上，它就干三件事：截图「看」清楚屏幕上有什么，搞懂各个按钮、输入框的位置和含义，然后控制鼠标键盘去实际操作。这个循环跑通之后，AI就能像人一样操作任何有界面的软件：不需要对方开API，不需要专门的插件，只要软件有屏幕界面，CUA就能控。

ChatGPT给你列一份「如何整理邮件的十条建议」，OpenClaw直接帮你把邮件整理完。这个差距，就是从「会说话」到「会干活」的鸿沟。

现在媒体报道里，「桌面Agent」「Computer Use Agent」「个人AI助手」「PC端智能体」混着用，把很多人搞乱了。王吉伟频道当时也纳闷，认真梳理了一下，其实有清晰的层级关系。

Computer Use Agent（CUA）是技术能力的分类概念，说的是「能通过看屏幕、操作GUI来完成任务」这种能力，不特指任何具体产品。

往下一层，桌面智能体（Desktop Agent）是CUA在本地电脑场景的落地形态，专指部署在Windows、macOS、Linux上的智能体，以本地操作为主。OpenClaw和Claude Cowork，都是这一层的具体产品。

还有一个容易混的是Browser Agent（浏览器智能体），比如OpenAI的Operator。它只能在浏览器里干活，比如点击并处理网页上的表单、按钮、链接，出了浏览器就没辙了。

Desktop Agent的操作范围是整个操作系统，本地应用、文件系统、终端，浏览器只是它能控制的其中一个应用。

关系就这么简单：CUA是大类，Browser Agent是它的子集，Desktop Agent是它在本地场景的完整实现。

除了CUA，还有这些类型

理解了CUA，有必要把整个AI Agent的物种图谱摆出来，主要在于这些类型的Agent之间容易混淆。

这六个智能体品类不互斥，很多产品横跨多个域。Manus在曝出被Meta以20-30亿美元收购之前，就在做「能跨越浏览器、桌面、代码、研究」的通用Agent，这也是它被高度估值的逻辑。

Coding Agent赛道，2026年初已经卷穿了。GitHub Copilot、Claude Code、Cursor三家合计超过70%的40亿美元市场份额，三者均已突破10亿美元ARR，进入存量竞争阶段。

Desktop/CUA Agent呢？还是一片蓝海。OpenClaw从零冲到28万Stars，说明的不只是一个工具的流行，而是一个品类需求长期积压后的集中爆发。

为什么偏偏是这个时间节点

这是个值得认真回答的问题。CUA这个想法早就有人做过，但一直没起来。2025-2026年为什么突然炸了？

说穿了不复杂，但几个因素恰好撞在一起了。

最底层是模型能力。CUA的关键难点是AI要准确「看懂」屏幕截图，一个按钮识别错位置，操作就废了。早期多模态模型在这方面根本不够用。Claude 3.5 Sonnet和GPT-4o的视觉理解，才终于把操作精度推到了「能用」的门槛以上。这不是小事，这是CUA能跑起来的物理前提。

然后Anthropic在2024年10月打开了这扇门。发布Computer Use公测API，Claude 3.5 Sonnet成为第一个提供CUA能力的前沿模型，开发者可以通过API控制Claude查看屏幕、移动光标、点击按钮。

这个API本身是开发者向的，但它发出了一个明确信号：技术可行，大厂愿意开放。

配套生态也到位了。MCP（Model Context Protocol）标准化了模型与工具的接入，ClawHub这样的技能市场让OpenClaw能一键扩展功能。表面上看MCP和CUA是两条独立的技术线；拉长时间轴来看，这些都是在为「真正能干活的Agent」铺路。没有这些基础设施，OpenClaw就是一座没有供水管道的楼。

商业可行性是OpenAI的Operator在2025年初验证的。WebVoyager 87%成功率，OSWorld 38.1%，WebArena 58.1%，均是当时最优基准成绩。Operator证明了一件事：CUA不只是技术实验，它可以做成产品，而且有人愿意付钱。

所有的铺垫都到位了，就等一个引爆点。结果这个引爆点不是来自Anthropic，不是来自OpenAI，而是来自一个奥地利独立开发者和他的开源龙虾。Anthropic没想到的是，引爆Computer Use Agent赛道的，是它亲手推了一把的那个开源项目。

但，彻底引爆的市场不在龙虾的发源地，而是在国内。其中一个重点在与，国内市场的大模型厂商们目前急需找一个继AI漫剧之后的第二个token消耗市场，燃烧token换取收益，抵消在大模型上的巨额投资。而这只龙虾，算是来得及时。

年前看漫剧，年后看龙虾。而背后，都是大模型疯狂输出的token。

如果这只龙虾以后能够出现在企业、组织运行的各个角落，能够成为每个人的AI助理，将会燃烧多收token，那就是什么样的TPD（token per day，每日token消耗量），值不值得所有领域为止疯狂？会不会拉动经济？

于是，技术商、大模型、云计算、GPU、终端设备（MACmini等）、服务、电力、一二级市场、投研、政策、组织……

全都下场，产业链上下游都是token的味道。

就以云计算而言，这只已经被炒作为「无所不能」的龙虾，让本来面向B端的云服务摇身变成了C端服务，那么多人第一次因为龙虾有了自己的至少几十元的云服务器。对，至少还得加购一个10元以内的coding plan套餐，虽然全力开干用不了几天。

每只龙虾身后，要么是一台本地设备，要么是一台云服务器。但最终决定它命运的，还是燃烧的token。死或生，取决于它的主人是否继续充值。

关于OpenClaw经济，王吉伟频道会在另一篇文章中跟大家探讨。

两条路线：Claude Cowork与OpenClaw的本质分歧

2026年1月，Anthropic发布了Claude Cowork，定位是「面向普通用户的桌面Agent研究预览版」。几乎同期，OpenClaw正在以每天1667颗Stars的速度狂飙。两个产品撞上了同一条赛道，但背后是两种完全不同的哲学。

走的是巨头的产品化路线。内置于Claude桌面客户端，目标是让非程序员通过自然语言完成复杂的多步骤任务，强调稳定、安全、可控。有个细节值得一提：整个Cowork应用本身就是由Claude Code在约两周内自主写完的。这既是个出色的模型（产品）能力演示，也隐约透露出Anthropic的产品自信：你的AI同事，是另一个AI造出来的。

OpenClaw是另一套玩法：开源、透明、高自由度，支持接入几乎任何LLM，ClawHub技能市场可以类比Chrome Extension Store，用户想改什么就改什么。最关键的一点，它把系统权限开放到了最高级别，能执行终端命令、访问文件系统、操作本地应用，给AI一个管理员账号，让它自己看着办。

这一步让OpenClaw的自主能力远超市面上那些在沙盒里谨慎运作的同类产品，技术圈一度称之为「桌面Agent里的AGI表现」。夸张是夸张，但说明了一件事：OpenClaw的颠覆不是模型更聪明了，而是权限放开了。本质是智能体在PC上的权限突破，不是智能突破。

Anthropic不是不能做这件事，是在当前阶段不敢做。这不是技术问题，是责任问题。一个开源项目可以对用户说「你知道自己在干什么」，出事了是用户的锅；一个面向企业的商业产品，一旦有安全事故，砸的是整个公司的声誉和法律责任。

Claude Cowork是Anthropic官方给你配的「AI同事」，OpenClaw是开源社区给你的「万能遥控器」。前者的核心价值是「稳」，后者的核心价值是「能」。两者都在「桌面入口」这个位置上抢地盘，短期内分歧不会消失。已经有Kuse Cowork等项目在尝试融合两者的思路，能不能成，走着看。

为什么OpenClaw没有诞生在中国

这个问题，OpenClaw火起来之后国内AI圈讨论得挺热闹的。这里也说说王吉伟频道的看法，不一定对。

最直接的原因是底层模型的差距。Computer Use Agent对视觉理解能力要求极高。AI要准确识别屏幕上的UI元素，国产模型在多模态视觉这方面与OpenAI和Anthropic仍然有差距，没有足够强的底层模型，很难构建出这个量级的工具。这是技术现实，不是贬低，是现状。

生态土壤也不一样。OpenClaw能在60天内积累25万Stars，离不开GitHub、Hacker News、X、Reddit这套开源社区传播机制。这套基础设施，国内天然受限，不用多解释。

可能还有更深层的原因，是产品心态。OpenClaw的核心不是算法上有什么创新，而是一个大胆的架构决定：直接把权限开到最高，让AI真正自主控制电脑，问题以后再说。这种「先放出来、安全问题走一步看一步」的黑客思路，在国内的创业环境和监管背景下，会被各种顾虑自然地压制掉。

国内AI Agent团队大多数在解决同一个问题：怎么在有限权限下尽可能有用，同时保证合规。

这是正确的，但也注定不容易出现OpenClaw。

龙虾安装和第148个微信群

OpenClaw配置复杂，API Key申请、环境配置、权限设置，一关一关得过。

Perplexity CEO Aravind Srinivas公开说过，OpenClaw「took our own engineers a long time to set up」。他们自己的工程师配置起来都费劲。就为了解决这个问题，Perplexity做了一个「人人可用的OpenClaw」版本叫Computer，口号是「Even your mom can text on the app and delegate tasks」。

哈哈哈，连妈妈都能用，你就说还有谁不能用。这是广告打得再好，龙虾仍然是个面向开发者的开源项目，普通人用不好。

OpenClaw没有诞生在中国，但国内早已玩出了新花样。正是因为它对普通用户来说有相当高的门槛，所以催生了一批服务：上门安装、远程配置、付费培训，一条产业链，活得相当滋润。据说有人单是上门安装，已经月入上百万。这个海量需求，甚至还催生了OpenClaw上门安装中介平台。

国人向来有把技术门槛变成商业机会的本事。「龙虾上门安装」「龙虾教学」这样的词，在国内AI圈早已是炙手可热的专有名词。

腾讯更是以一场「OpenClaw免费安装服务」展现了当前OpenClaw的绝对流量，广场排起长队，几小时内就有数百个OpenClaw被部署到腾讯云服务器。深圳新闻网报道了这一盛况，马化腾转发朋友圈：没想到会这么火。

我也用腾讯云轻量应用服务器部署了一只龙虾，扫码进入官方交流群的时候，已经是第148个群了。

148个群，你感受一下这个流量后面的热度。

这背后说明的事很简单：CUA的市场需求是真实的，压抑已久的，现在终于有了一个出口，哪怕这个出口还粗糙、还危险，人照样往里挤。

Computer Use Agent能干什么

概念说完了，说点实际的。

对个人用户来说，CUA最直接的价值是把那些「要跨好几个软件才能完成」的重复操作自动化掉。每天早上把昨天的销售数据自动汇总进Excel、生成日报发出去；把PDF里的表格数据批量导入另一个系统；帮你在十几个平台上比价做购物决策。

这些事的共同特点是规律、重复，但偏偏需要打开这个软件关那个软件，人工干起来烦死了。CUA是目前唯一能不依赖软件开放API就完成这类跨软件操作的方案。

企业用户这边，想象空间更大，但现实也更残酷。

全球领先的金融科技公司Klarna曾说过，他们用OpenAI的AI Agent在一个月内接管了三分之二的客服工作，相当于700名全职员工的工作量。这是企业级AI Agent落地最常被引用的案例，但要注意一个细节：Klarna用的是经过严格安全审查的商业API，不是一个把最高系统权限开放给外部的开源工具。

这两件事，性质上差很远。

对数字化程度还不高、业务流程还没标准化的中小企业来说，CUA扮演的是「廉价RPA」的角色。有意思的一点，RPA主打数字员工已经十年以上，现在的CUA仍然被视作数字员工。在自动化面前，只有先后之分，没有贵贱之别。不同时期的技术，解决不同的场景需求。

但在企业级领域，目前的CUA+skills仍然无法解决复杂业务的自动化，RPA仍然是流程自动化的中流砥柱，并且进化成了Agentic Process Automation。这一点，同样会在另一篇文章中与大家交流。

传统RPA（UiPath等公司的早期自动化产品）部署贵、维护贵、需要专业工程师，中小企业根本用不起。CUA理论上让普通员工用自然语言描述业务流程，Agent自动执行，门槛大幅降低。对这类企业，OpenClaw现在就可以谨慎试用。「谨慎」两个字不是客套，是真心话。

大企业和涉及敏感数据的场景？在OpenClaw的安全问题得到系统性解决之前，还是别碰。国内还多一重约束：信创安全生态对使用哪些开源软件、数据是否可以出境有明确规范，一个来自海外的开源工具能不能过审，本身就是个大问号。

安全：这只龙虾最凶险的爪子

在OpenClaw的安全问题上，有句不太好听的话必须说：这件事从一开始就完全可以预料到。

给AI开了最高权限，又在一个快速野蛮增长的开源生态里运行。这两件事凑在一起，出安全问题不是意外，是必然。

2026年2月，OpenClaw刚突破10万Stars三天后，安全研究人员在ClawHub技能市场上发现了341个恶意「技能」，占整个市场的11.3%，专门窃取加密货币钱包、账户凭证和系统访问权，波及21,000多个活跃实例。Cisco、Trend Micro、Kaspersky、Microsoft、VirusTotal先后发出安全警告。

到3月初，恶意技能涨到了800+，约占市场的20%。同时一个名为CVE-2026-25253严重的远程代码执行漏洞，也被正式披露。

网络安全公司Malwarebytes的评价很精准：它更像一个过于热情的实习生，有着冒险性格、超强记忆力，却完全不了解什么信息该保密。

开了最高权限，意味着一旦被攻破，攻击者拿到的不是一个账号，是整台电脑的完全控制权，外加所有已连接的账户、文件和服务。信息窃取软件收割的不只是密码，而是完整的AI配置文件加上加密「骨架密钥」，直接把一个被入侵的Agent变成全账户接管的跳板。

早在2月底，SecurityScorecard威胁情报团队就已发现超过135,000个OpenClaw AI助手平台实例暴露在互联网上，存在严重安全风险。

CUA还有个专属攻击方式值得单独说：间接提示注入（Indirect Prompt Injection）。普通的AI攻击需要攻击者直接和你说话，而这种攻击不用。Agent帮你「看」一个网页的时候，网页里可能埋着隐藏的恶意指令。Agent在浏览的同时被悄悄控制了，攻击者甚至不需要和你直接交互。门槛比你以为的低很多。

NIST（美国国家标准与技术研究院）旗下的AI标准与创新中心（CAISI）在2026年1月发布了专门针对AI Agent系统安全的信息征询，明确写道：这些安全挑战如果得不到解决，随着AI Agent系统广泛部署，可能威胁公共安全和国家安全。全行业只有29%的企业说自己已经准备好应对Agentic AI的安全部署。另外71%，要么在观望，要么在裸奔。

论文《A Trajectory-Based Safety Audit of Clawdbot（OpenClaw）》以六个风险维度通过34个标准测试案例进行安全判定，最终整体安全通过率只有 58.9%，在六个维度上呈现出严重的不均衡分布。

在国内，工信部已正式提示：OpenClaw（俗称「龙虾」）开源 AI 智能体部分实例在默认或不当配置情况下存在较高安全风险，极易引发网络攻击、信息泄露等安全问题。

市场规模：这个数字你必须知道

说了这么多，这个品类到底有多大？

坦白说，这种长期预测数字看看就好，方向对，幅度嘛，猜的成分大，别太当真。

但有一个参照系更有说服力：Coding Agent三强合计已经超过40亿美元ARR，而且还在长。Desktop/CUA Agent是下一个量级相当、目前基本空白的赛道，市场的天花板不在40亿美元。

还有一个数据：AI Agent能以50%成功率自主完成的任务数量，大约每七个月翻一番。这个趋势如果持续，五年后Agent能处理的任务范围，远超现在的想象。

但也要泼一盆冷水：Computer Use Benchmark（CUB，计算机使用基准测试）的当前最高综合分是10.4%，这已经是「破纪录」的成绩。说白了就是：100个复杂的端到端工作流，AI只能无误完成大约10个。技术还在早期，别被野心勃勃的预测搞晕了，能力和大规模应用之间还有相当大的距离。

OpenClaw终究不是终点

说了这么多它的意义，该说说它的问题了。

OpenClaw 作为一款 Computer Use Agent，在安全、代码质量、稳定性、易用性、成本和生态上均存在明显缺陷。

安全隐患极为突出：存在高危远程接管漏洞，敏感信息明文存储，无沙箱隔离且默认拥有高系统权限，大量实例公网暴露，极易被入侵窃密，存在严重数据与设备安全风险。

代码质量与工程风险突出：在快速迭代下代码库臃肿，技术债严重，对一款高权限工具而言，不只是优雅度问题，而是直接带来系统性工程风险，可靠性难以保障。

稳定性不足：仅能完成简单任务，复杂流程易出现上下文丢失、执行失败；受界面、页面结构、网络等外部环境影响大，自动化成功率低；版本更新兼容性差，易破坏原有配置。

易用性极差：无图形界面，部署与配置极其繁琐，专业工程师都需长时间调试，普通用户几乎无法独立使用；跨平台兼容性差，环境问题频发，整体体验糟糕。

使用成本高昂：依赖云端大模型，截图、理解、决策循环会持续消耗大量 Token，高频场景下费用极易超出预期；本地运行对硬件要求高，长期维护耗时费力。

生态与治理失控：技能市场缺乏有效审核，约 20% 技能存在恶意风险，属于系统性失控；项目长期维护依赖核心人员，未来能否持续、高质量迭代存在很大不确定性，整体风险远大于实用价值。

这些问题加在一起，决定了OpenClaw的定位：它是Computer Use Agent这个品类的引爆者，而大概率不会是终局产品。

谁来接棒：下一个战场在哪里

Claude Cowork还是研究预览版，目前只支持macOS，远未成熟。OpenAI的Operator/ChatGPT Agent是目前商业化程度最高的CUA产品，但主要聚焦浏览器层的Web操作，真正的Desktop级控制仍然有限。

国内市场最值得单独说一说。企业们看到了CUA的潜力，但它们需要的不是OpenClaw，而是一个安全、稳定、符合信创生态约束、数据不出境的企业级CUA产品。

这个位置，不算RPA等流程自动化的Agent迭代产品，目前纯AI原生产品少之又少，接下来要看国内的类Cowork产品，还有就是看CUA产品的自身进化，当然类Claw产品在补齐安全短板后也能进入。对国内AI应用公司来说，这是个具体的、有商业逻辑支撑的机会，不是虚的。

从技术演进方向看：多模态感知精度会继续提升，操作成功率会从现在的10-38%区间往上走；本地小模型的崛起会让CUA可以在端侧独立运行，不再依赖云端API；安全沙盒机制的标准化会让高风险操作在隔离环境中执行，而不是直接暴露在宿主OS上。

这三件事任何一件发生重大突破，都能重塑这个品类的产品形态。

这大概也是高盛认为OpenClaw展示了全新人机交互形态，而把Claude Cowork定为首个面向知识工作者的Agentic workflow可信案例的主要原因。

现在来看，OpenClaw改名的时候，或许已经想好了前路：用一个足够强烈的品牌完成引爆，然后借助与OpenAI的关系完成传承。但这只龙虾点燃的火，已经不属于它自己了。

一只龙虾的历史使命

60天超越React，创始人加入OpenAI，国内已经出现了148个以上的微信交流群。这一切在说同一件事：

Computer Use Agent这个品类，等这一天太久了。

Anthropic在2024年10月打开了第一扇窗。OpenClaw在2026年1月把这扇窗炸开了。下一个问题，是谁来建这一扇安全、稳定、真正适合企业级应用的门。

一只龙虾的历史使命，是点火，不是燎原。

燎原的那个，还没出现。又或许，正在某个地方写第一行代码。

【王吉伟频道，关注AIGC与IoT，专注数字化转型、业务流程自动化与AI Agent，欢迎关注与交流。】

(来源：钛媒体)