OpenClaw 過氣了嗎?2026 年 4 月本地 AI Agent 生態的真實現況
OpenClaw 過氣了嗎?2026 年 4 月本地 AI Agent 生態的真實現況
前幾天一個朋友 LINE 我,劈頭就問:
「欸,OpenClaw 是不是過氣了?我去年底跟風裝了一個,現在打開 Twitter 全在罵它不安全,GitHub 還在更新但好像風向變了,我到底要不要繼續用?」
這問題看起來只要回答 yes/no,但我認真查完才發現,答案比我想像的複雜很多。如果你去年 11 月到今年 1 月之間,跟著朋友、跟著 YouTube 影片、或是跟著 Hacker News 的熱度裝過 OpenClaw,那這篇就是寫給你看的。
我花了一個下午把 2025-11 到 2026-04 之間的時間線整個重建一次,交叉比對了 TechCrunch、Reuters、Forbes、Ars Technica、Cisco 研究團隊、Meta 洩漏訊息、還有 NVIDIA GTC 2026 的官方發表。結論一句話先講:
OpenClaw 沒有過氣,但它作為「唯一答案」的時代在 2026 年 Q1 結束了。
後面這幾千字就是把這句話拆開解釋清楚。
先看硬數據:它到底有多熱
我必須承認,動筆之前我也以為 OpenClaw 早就涼了。畢竟這幾個月翻 Twitter 都是在罵它,偶爾還會看到「已解除安裝」的截圖炫耀文。但真的把 star 曲線拉出來看,臉就腫了。
- 發佈日期:2025-11,原名 Clawdbot,後來改名 Moltbot,現在統一叫 OpenClaw。
- 60 天突破 335,000 stars:Star History 官方認定%E5%AE%83%E5%9C%A8 60 天內打破了 React 累積 10 年的紀錄,成為 GitHub 史上 star 最多的非 aggregator 軟體專案。
- 最新版本:2026.4.5,大約在 4 月 5 日釋出,還是很大的更新。
- 社群:r/openclaw、r/clawdbot 仍然在活動,CNBC、TechCrunch、Forbes 幾乎每週都有新的報導角度。
LowTouch 的產業分析裡有一句話我印象很深:「第二名的星數只有 OpenClaw 的五分之一」。這個數字什麼意思?它意思是在「本地 AI agent runtime」這個類別裡,OpenClaw 不是第一名,而是唯一一個有討論度的。
所以「過氣」這個詞如果是指「沒人討論、沒人下載、沒人更新」,那答案明確是否定的。
但如果「過氣」是指「它不再是所有人無腦推薦的預設選擇」,那答案就是完全正確。
第一件轉折事件:那個寫它的人已經不寫了
2026-02-15 是整件事情的轉捩點。那天週末,Sam Altman 在 X 上發了一則貼文:「Peter Steinberger is joining OpenAI to drive the next generation of personal agents.」
這件事 TechCrunch、Reuters、Forbes 全部在 24 小時內跟進:
- TechCrunch 引述 Steinberger 自己的部落格文章:「我本來可以把 OpenClaw 變成一間大公司,但這對我來說不夠有趣。」
- Reuters 確認 OpenClaw 本身會轉交給一個基金會繼續維護,OpenAI 承諾持續支援。
- Forbes 的標題解讀直接:「OpenAI hires OpenClaw creator and sets up foundation.」
對開發者圈很熟的人可能還記得,Peter Steinberger 之前就是寫 PSPDFKit 出名的奧地利工程師,後來把那間公司賣掉後跑去做 Clawdbot→Moltbot→OpenClaw 這條線。他不是寫一寫就丟著不管的人,是整個 OpenClaw 的產品直覺來源。
這個人走了,而且走進 OpenAI。這意味著兩件事:
第一,OpenClaw 的產品方向決定權已經不在原作者手上。以後的 feature 要不要加、架構要不要重寫、ClawHub 要不要改版,都是基金會委員會討論決定。這不是壞事——Linux、Kubernetes 都是這樣治理——但任何用過社群基金會模式的人都知道,變化速度會直接砍半。
第二,OpenAI 在準備下一代個人 agent。Sam Altman 自己說的,Steinberger 加入的目的就是主導「next generation of personal agents」。這個東西還沒發表,但它一旦發表,對 OpenClaw 的敘事衝擊會比任何 fork 都大——因為那是原作者親自打造的 v2,只是在 OpenAI 的閉源陣營裡。
第二件轉折事件:資安危機不是小問題
如果你是在 2026 年之前開始用 OpenClaw 的,很可能你忽略了一件事:ClawHub 上的每個 skill 都是以你本機使用者的完整權限跑的。這包含你的 SSH key、你的 AWS/GCP credential、你的 ~/.netrc、瀏覽器 cookie、甚至你當下正在編輯的原始碼。
Q1 就是這個架構被攻擊者發現有多好玩的一季。
| 事件 | 時間 | 關鍵數據 |
|---|---|---|
| Cisco AI Threat Research 警告 skill 漏洞 | 2026-01-28 | 31,000 個 skill 樣本中 26% 含漏洞 |
| Snyk 揭露 API key 外流 | 2026-Q1 | 283 個 skill 明文外洩 API key |
| Koi Security ClawHavoc 供應鏈攻擊 | 2026-Q1 | 累計約 900 個惡意/危險 skill |
| r/MachineLearning 18,000 實例掃描 | 2026-02 | 15% 社群 skill 含惡意指令 |
| Meta 內部禁用 | 2026-02 | 高層要求團隊不得安裝,違者得走人 |
| Ars Technica:「建議假設你已被入侵」 | 2026-04-03 | Dan Goodin 長文報導 |
| Immersive Labs:立刻解除安裝 | 2026-Q1 | 企業用戶明確下架建議 |
這些報導我都從頭到尾看過,最讓我寒毛豎起來的是 Ars Technica 那篇 4 月 3 日的文章。Dan Goodin 是資安圈的老手,他不是那種會寫標題黨的作者,他說「建議假設你已被入侵」表示他真的看過 telemetry 認為這是合理的假設。
問題的根源其實不複雜:ClawHub 是一個未經審核的軟體供應鏈。任何人都可以上架 skill,任何人安裝之後就等於授權那個 skill 在你機器上做任何使用者層級的操作。這和 2017 年的 npm typosquatting、2021 年的 PyPI 供應鏈事故本質完全一樣,只是這次的「套件」多了一層 LLM 自然語言包裝,聽起來無害而已。
OpenClaw 團隊已經開始整合 VirusTotal 掃描跟 skill 回報機制,但結構性問題——「預設跑在使用者權限」——沒解。而且這個風險對不同類型的開發者,威脅等級完全不一樣:一般前端工程師最多是 GitHub token 被偷;但如果你的開發機同時是公司裡那台「碰得到敏感資產」的機器——客戶原始碼、企業內網、生產系統憑證、甚至硬體開發工具——那風險就從「洩漏」升級成「被當成跳板」。
這就是為什麼 Meta 會直接在內部下禁令。
第三件轉折事件:生態系長出三條新路線
前面說 OpenClaw 沒過氣,是真的。但有趣的地方在於,Q1 整個 fork 生態系爆炸性展開,現在「本地 AI agent」這個位置已經不再等於 OpenClaw 了。我把觀察到的 15 個左右的替代品分成三條路線,這個分類比單純列清單好用很多。
graph LR
A[OpenClaw
335K stars] --> B[路線 A
Tiny Claws
輕量化直系 fork]
A --> C[路線 B
企業殼層
加 guardrail 不動核心]
A --> D[路線 C
Managed SaaS
乾脆跳出本地]
B --> B1[NanoClaw<br/>容器強制隔離]
B --> B2[ZeroClaw<br/>3K 行・<10ms 開機]
B --> B3[Nanobot<br/>4K 行 Python]
B --> B4[OpenFang<br/>21.5K stars]
C --> C1[NemoClaw<br/>NVIDIA 企業版]
C --> C2[IronClaw<br/>FIPS/zero-trust]
C --> C3[Cisco Skill Scanner]
D --> D1[Taskade / Kimi]
D --> D2[Vellum]
D --> D3[Manus<br/>已被 Meta 收購]
D --> D4[Perplexity Computer]</div>
路線 A:Tiny Claws(12 萬行程式碼瘦身到 3 千行)
這條路線的信念很簡單:OpenClaw 程式碼太肥,砍掉 90% 只留核心還是可以跑。Gradually AI 的整理裡有個關鍵數據——OpenClaw 總程式碼超過 12 萬行,而 Nanobot 只有約 4 千行,ZeroClaw 大約 3 千行,功能卻沒少多少。
我個人最有興趣的是兩個:
- NanoClaw:VentureBeat 報導過它的定位——強制容器隔離、權限閘、審計日誌。根本就是為了回應前一段那個資安地獄寫出來的。
- ZeroClaw:單一 binary、開機時間 <10ms、極小 RAM。適合我這種會想在 Raspberry Pi 或甚至更小的 MCU gateway 上面跑 agent 的工程師。
其他像 NullClaw、PicoClaw、MimiClaw、GoClaw(Go 語言)、AtomClaw(TypeScript)各有各的利基,但共同點是小到你可以一個下午審完整個 codebase。這個性質對資安保守的團隊極度有吸引力。
還有一個比較特別的 OpenFang,Till Freitag 的文章裡形容它是「agent 作業系統」,目前累積 21,500 stars,定位和其他 fork 不太一樣。
路線 B:企業殼層——NemoClaw 登場
如果路線 A 是「砍小」,路線 B 就是「包大」。這條路線的代表就是 NVIDIA 的 NemoClaw,2026-03-17 在 GTC 由黃仁勳親自發表的。
NemoClaw 不是要取代 OpenClaw,而是把 OpenClaw 變成可以在企業裡跑的版本。Forbes 的 Ron Schmelzer 寫得很到位:「NemoClaw puts safer OpenClaw at the center of agentic AI.」它提供 guardrail、監控、政策控制、合規稽核——就是 OpenClaw 完全沒有的那些企業 governance 工具。
關鍵技術點:
- 硬體中立:雖然 NVIDIA 做的,但 官網明確寫了支援 AMD、Intel、其他廠商硬體。
- 深度整合 NVIDIA NeMo framework、Nemotron 模型系列、NIM 推論微服務。
- 開源。
為什麼 NVIDIA 要做這個?商業邏輯很清楚——它們要的不是拿 agent 本身的錢,而是讓 agent 在企業大量跑起來所帶動的 compute 需求。buildmvpfast 的分析直接點破這個動機。
除了 NemoClaw,這條路線還有一個 IronClaw(FIPS 認證密碼學 + zero-knowledge 架構,金融/國防方向),以及 Cisco 自己開源的 Skill Scanner。
路線 C:乾脆跳出本地 agent 典範
第三條路線最有殺傷力,因為它直接質疑整個 OpenClaw 的核心前提:你確定使用者想當 sysadmin 嗎?
Vellum 的比較文章裡列出的清單看得出來這個陣營的規模:
- Taskade / Kimi Managed:SOC 2 合規、零設定、完全雲端托管
- Vellum:本地 + 雲端混合,宣稱有 process-isolated trust engine 跟原生 macOS 桌面控制
- Manus:最近被 Meta 收購進入大資源戰
- Perplexity Computer:Perplexity 的 agent 版本
- OpenCode:開源 coding agent,直接對打 Claude Code 和 Cursor Agent
這條路線的論點很直接:絕大多數「想要 AI 幫忙做事」的人根本不想維護主機、沙箱、API quota、skill 權限。他們要的是打開瀏覽器、登入、開始用。OpenClaw 的流量會被這條路線吃掉一大塊長尾用戶,只剩真正的 power user 留在本地陣營。
我會怎麼選?給工程師的實戰建議
講完生態系,回到最實際的問題:你應該用什麼?
這張表是我整理給自己看的,從最輕量的情境往下排:
| 你的情境 | 我的建議 | 原因 |
|---|---|---|
| 純粹好奇、只想玩玩 | Nanobot 或 ZeroClaw | 程式碼少、一下午可以審完,風險可控 |
| 想要完整功能但有點資安意識 | NanoClaw 或 OpenClaw + Docker | 強制容器隔離是底線 |
| 主力開發機碰得到敏感資產 | 絕對不要裸跑 | 用 VM 或乾脆另一台專屬機器 |
| 公司要評估導入 | 等 NemoClaw 穩定版,或走 managed | Governance 是硬需求,不是 nice-to-have |
| 只是想要 LLM 幫寫 code | Claude Code / Cursor / Perplexity Computer | 不要重新發明輪子 |
| 想觀察未來走向 | 盯 Peter Steinberger 在 OpenAI 的動靜 | 那才是真正的 v2 |
我自己的選擇:主力機完全不碰裸 OpenClaw,因為工作機上同時有客戶原始碼和授權檔,風險根本不能承擔。玩的話我會用 Nanobot,在一台 Mac Mini 上跑,網路隔離到只能連 LLM API。企業場景我會等 NemoClaw 到 GA,同時觀察 OpenAI 那邊會發表什麼。
一個比較冷的觀察:這個故事本質上很 Linux
寫到這邊我才意識到,2026 Q1 發生的這些事情其實和 1990 年代 Linux 的故事線條很像:
timeline title OpenClaw 的 2025Q4 — 2026Q2 時間線 2025-11 : Clawdbot 發佈 : 早期 adopter 嘗鮮 2025-12 : 改名 Moltbot : 爆紅開始 2026-01 : 改名 OpenClaw : Cisco 警告 skill 漏洞 2026-02 : 突破 React star 紀錄 : Meta 內部禁用 : Steinberger 加入 OpenAI 2026-03 : NVIDIA GTC 發表 NemoClaw : Tiny Claws fork 群爆發 2026-04 : Ars Technica 建議假設被入侵 : OpenClaw 2026.4.5 釋出
一個怪才工程師寫了個病毒式開源專案 → 大公司挖角原作者 → 專案轉交基金會 → 企業級公司做 guardrail 版本 → 商業 SaaS 平台吃下使用者層 → 原專案繼續活、但定位從「唯一答案」變成「生態系底層」。
這幾乎就是 Linux 從 Linus Torvalds 個人專案轉型到 Linux Foundation + Red Hat + Ubuntu + AWS 的壓縮版。差別只在於 OpenClaw 用了 60 天走完 Linux 用了 15 年的過程。
所以回到朋友問我的那個問題:它過氣了嗎?
不,它只是長大了。但長大的代價是它不再是那個「安裝就有、開箱即用、所有人都在推」的神話專案。它變成一個需要你真的理解資安、理解架構、理解自己用什麼 fork 的正常基礎設施。
如果你之前是因為「大家都在用」而跟風裝的,現在大概就是拔掉的好時機。如果你是因為真的需要本地 agent 處理敏感任務,那麼看看 NanoClaw、等等 NemoClaw、或者乾脆去 follow OpenAI 下一代個人 agent 的消息。
這個領域在 Q2 還會繼續亂,但至少現在我們知道該看哪裡了。
延伸閱讀
- Star History:OpenClaw 超越 React — Star 曲線圖與歷史對比
- Ars Technica — Dan Goodin 深度報導 — 為什麼應該假設已被入侵
- Cisco AI Blog:Personal AI Agents Are a Security Nightmare — 供應鏈風險的結構性分析
- Immersive Labs:Why You Should Uninstall OpenClaw — 企業視角的風險總覽
- CNBC:Clawdbot 到 Moltbot 到 OpenClaw — 整段演化故事
- TechCrunch:Steinberger joins OpenAI — 原作者離場聲明
- Forbes:NVIDIA NemoClaw 定位分析 — 企業級方案拆解
- Gradually AI:10 Best OpenClaw Alternatives — Tiny Claws 完整清單
- LowTouch:OpenClaw 60 天破 335K stars 分析 — 熱度與歷史座標
本文根據 2026-04-11 的公開資料彙整。AI agent 領域變化極快,建議閱讀時先看各引用來源的最新更新。如果你是在企業環境評估這類工具,至少要跟資安團隊拉一次會議再決定。
本文最初發布於 HackMD @BASHCAT。
留言
張貼留言