我看到群里有人说,如果只看产品体验,OpenClaw 在相当长的时间里都是一坨屎。这个说法很粗,但我基本同意。
我自己一开始装 OpenClaw 的时候,也有类似体感。你要处理安装、部署、模型、API key、消息入口、skill、权限、成本、容器、网络。开发者会觉得运行链路不够干净,非开发者更惨,很多时候连问题出在哪一层都不知道。
但这件事真正有意思的地方也在这里:OpenClaw 确实火了,而且是在全球范围内火。它不只是一个工具被讨论,而是带动了很多 Cloud Agent 类型产品出圈。
所以问题不是“它到底是不是一坨屎”。问题是:为什么一个体验这么差的东西,仍然让那么多人愿意围着它折腾?
如果只看体验,确实解释不了
外部评测里对 OpenClaw 的体验吐槽并不少。GrowwStacks 在一篇实操评测里说,OpenClaw 的 setup process quite technical,需要 VPS、终端命令和基础编码概念。即便有所谓 one-click deploy,也仍然要配置 LLM、API key 和 agent architecture。
这不是小瑕疵,而是典型的早期开源 Agent 产品问题:它把本该由产品消化的复杂度,直接暴露给用户。
开发者面对的是工程复杂度:Docker 怎么跑、端口怎么绑、Telegram 怎么接、skill 为什么坏、模型调用为什么贵。非开发者面对的是认知复杂度:不是不会输命令,而是不知道这个系统到底由哪些层组成。
所以如果按传统消费级产品标准看,OpenClaw 不应该火。它不够顺滑,不够稳定,不够安全,也不够可解释。
但这恰恰说明:我们用错了尺子。
它真正卖的不是稳定,而是未来感
Frontier Learning Lab 有一句话抓住了关键:Most AI we use today is “chat-in-a-box.” OpenClaw represents the shift to Agentic AI. It doesn’t just talk; it does.
这就是 OpenClaw 的核心。它不是让用户多一个聊天窗口,而是让用户看到一个新物种:一个可以通过 Slack、Telegram、WhatsApp 这类消息入口常驻,可以访问本地文件,可以执行任务,可以完成后主动回报,甚至可以通过写代码补齐能力的 agent。
这件事对用户的冲击,不是“这个产品好不好用”,而是“原来 AI 可以这样存在”。
传统 AI 产品像一个问答柜台。你走过去,问一句,它答一句。OpenClaw 更像一个粗糙的数字员工。它笨、脏、不稳定,但它第一次坐到了你的工作流里,而不是停在网页里。
这也是为什么它能带动 Cloud Agent 类型产品出圈。用户真正想要的不是“自托管”这三个字,而是一个 24 小时在线、可以从消息入口调度、能接工具、能持续执行并回报的 agent。OpenClaw 给了这个想象力,Cloud Agent 负责把部署、稳定性和安全成本往平台侧搬。
体验越差,教程生态越旺
这听起来反直觉,但在开源工具传播里很常见。
如果一个工具安装极其顺滑,教程空间反而有限。OpenClaw 这种工具不同:安装复杂会产生新手教程,部署复杂会产生一键安装器,运维复杂会产生代部署服务,成本复杂会产生优化指南,安全复杂会产生警告文章。
换句话说,它的粗糙体验没有只造成流失,也制造了内容供给。
这不代表体验差是好事。长期看,体验差会限制留存和商业化。但在爆发早期,粗糙体验会让社区产生大量“帮你搞定它”的二次创作。每一篇“别踩坑教程”,本质上都在替 OpenClaw 做传播。
这也是为什么很多早期开源明星项目,往往不是先像消费级 App 一样顺滑,而是先像乐高散件一样有可玩性。它吸引的第一批人不是普通用户,而是 builder、折腾者、教程作者、集成商、安全研究员和想抢窗口期的人。
安全争议不是旁枝,而是主干的影子
OpenClaw 的安全争议很严重。Immersive Labs 提到 one-click RCE、CVE-2026-25253、ClawHub 恶意 skills、暴露实例等问题。Frontier Learning Lab 则引用 Simon Willison 的 lethal trifecta:访问私有数据、访问互联网、能够采取行动。
这个框架非常适合理解 OpenClaw。
一个只能聊天的 AI,安全风险有限。一个能读邮件、改文件、跑命令、发消息、连外部服务的 AI,风险立刻变成系统级风险。
但也正因为它拿到了这些权限,它才像一个真正的 agent。
这就是 OpenClaw 的悖论:它危险,是因为它有用。它被安全研究员反复警告,反而说明它触碰到了真实生产力边界。一个玩具不会引发这种级别的安全讨论,一个能接管工作流的工具才会。
所以我不认为安全争议只是负面公关。它更像一次行业教育:当 AI 从“回答”走向“行动”,治理问题会从提示词风险升级为权限、供应链、审计、隔离和组织管控问题。
别迷信产品完成度,要看范式完成度
很多产品分析会犯一个错误:用成熟产品的尺子衡量范式切换期的样机。
成熟产品当然要看上手成本、留存、稳定性、客服、权限管理、企业治理。但范式样机最重要的问题不是这些,而是:它有没有让人看到一个以前看不到的工作方式。
OpenClaw 做到了。
它让人看到:AI 不一定是一个网页,不一定是 IDE 插件,不一定是一次性对话。它可以变成一个常驻的执行体,躲在消息入口后面,连接文件、工具、网页、API 和其他 agent。
这就够了。早期爆发不需要 100 分体验,有时候 30 分体验加 90 分想象力,就足以让一个项目冲出圈。
这不意味着 OpenClaw 值得普通人现在就装。相反,对多数非技术用户,我会建议先看,不要把真实数据和关键账号交给它。对企业,更不该让这种工具以 Shadow AI 的方式进入生产环境。
但如果看趋势,它值得研究。因为它暴露了下一代 Agent 产品的五个真实战场。
第一,低摩擦部署。用户想要 agent 常驻,不想先学 DevOps。
第二,权限隔离。Agent 越有用,越要有边界。
第三,执行审计。替人行动之后,过程证据比最终结果更重要。
第四,成本控制。Agent 会自己循环、调用、试错,费用不是线性增长。
第五,生态治理。Skill 市场不是插件市场那么简单,它更像一个能直接接触用户系统权限的软件供应链。
真正的信号
我更愿意把 OpenClaw 看成一台冒烟的蒸汽机。
它吵、脏、危险、难维护。站在马车时代最成熟的审美里,它当然很差。但它暴露出来的不是一个工具的小问题,而是一类新机器的大方向。
这对做 AI 产品的人有一个提醒:不要只问用户体验是不是顺滑,还要问用户愿不愿意为了某个新能力忍受摩擦。
如果用户愿意忍受很多摩擦,说明那里有强需求。后来的产品机会,就是把这部分摩擦系统性吃掉。
OpenClaw 的奇迹不在于它体验差还能火。真正的奇迹是:它差成这样,用户还是愿意围着它折腾。
这才是信号。