深度拆解 Clawdbot:2026 年第一个现象级 AI Agent 产品
18万 GitHub Stars、三次改名、1600万美元假币骗局、Mac mini 卖断货——一个开源「数字生命」如何在几周内重写了整个 AI Agent 赛道的叙事。
从一台卖断货的 Mac mini 说起
2026 年 1 月的最后一个周末,苹果的 Mac mini 在多个地区断货了。跟新品发布无关,跟打折促销无关。
是因为一个叫 Clawdbot 的开源项目在 GitHub 上炸了。首周 Stars 突破 10 万,几周后冲到 18 万。200 万独立访客涌进仓库主页。这不是”走红”,这是踩踏。
人们买 Mac mini,是给自己的 AI Agent 找一台专属电脑。
Clawdbot 不是又一个 ChatGPT 套壳。它的定位更锋利:一个住在你电脑里的数字生命。有长期记忆,能自己动脑子,能操作浏览器和终端,通过 WhatsApp、Telegram、Slack、Discord 甚至 iMessage 跟你沟通。它帮人发邮件、填表单、盯服务器、推代码——有人甚至让它去砍价买车。
然后事情变得更离谱。一个叫 Moltbook 的平台冒了出来——类 Reddit 的论坛,用户全是 AI Agent。上线四天,Agent 们发了 4.4 万帖子,自发组建了 1.2 万个子社区。人类只能围观。
这一切的起点,是维也纳一个卖掉公司后望着天花板发呆的开发者。
Peter Steinberger:一个亿之后的虚无
Peter Steinberger 花了 15 年造 PSPDFKit——一个 PDF 渲染 SDK。听起来乏味得要死。但这种”乏味”的生意做对了就是印钞机:Dropbox、Salesforce、SAP 都是客户,超过 10 亿终端跑着他的代码,团队扩到了 100 多人。
2023 年,Nutrient 以大约 1.19 亿美元收购了 PSPDFKit。
硅谷标准剧本走到这一步,该买游艇了。
但 Steinberger 用了四个字描述当时的状态:存在性空虚。15 年解决同一个问题——让 PDF 渲好看——然后突然没人需要他了。他留在公司帮忙过渡,但那种做东西的饥饿感彻底消散了。
大部分创始人退出后要么做天使投资,要么写 newsletter,要么开始打匹克球。Steinberger 选了另一条路:2023 年底,他坐下来,把一个大语言模型接进了 WhatsApp。
初始想法极其朴素:别做一个告诉你该做什么的 AI,做一个直接帮你做的。发邮件、排日程、管智能家居、跑脚本——那些你对 Siri 说了无数遍但它永远装听不懂的事。
从个人项目到全球现象,不到三个月。
2026 年 1 月上旬,Steinberger 把代码开源了。前 Tesla AI 总监、OpenAI 创始成员 Andrej Karpathy 公开推荐。白宫 AI 沙皇 David Sacks 转发。MacStories 创始人 Federico Viticci 不光推荐——他在自己的 M4 Mac mini 上架了一个实例,跑 Claude Opus 4.5,前后烧掉了超过 1.8 亿个 Anthropic API tokens。如果代言费按 token 算,这大概是开源史上最贵的背书。
指数级传播随之启动。然后,毫不意外地,失控了。
七天三个名字
1 月 27 日,Anthropic 的律师来电话了。“Clawdbot”跟”Claude”太像,商标侵权,改名。
Steinberger 连夜改成了 Moltbot(molt = 龙虾蜕壳)。但在他释放旧 GitHub 用户名、抢注新用户名之间那十秒钟的空档里,加密货币骗子出手了。他们秒抢了旧账号,在 Solana 上发了个叫 $CLAWD 的假币,市值一度冲到 1600 万美元——散户以为是官方项目。Steinberger 紧急发声明:“我永远不会发币。任何以我名义发行的代币都是骗局。“假币应声暴跌 90%,但骗子早已套现走人。
第三次改名——OpenClaw。这次提前做了商标调查。
七天,三个名字,一封律师函,一场千万美元级的欺诈。搁别的项目,这叫崩盘。搁 Clawdbot,这只是 GitHub 史上最快增长曲线的背景噪音。
拆引擎:它为什么有”活人感”
故事讲够了,看技术。
用户和评测反复用同一个词形容 OpenClaw——“活的”。这种感觉不是玄学,它来自三层工程设计的叠加:用纯 Markdown 文件做的持久记忆、让 Agent 在你沉默时也能自主思考的心跳机制、以及能操作任何网页界面的浏览器自动化。三者单独拿出来都不算新鲜,但组合在一起,产生了跟市面上所有 AI 助手都不同的体验。
🧠 记忆:活在硬盘上的日记本
大语言模型有上下文窗口——你可以理解为它的短期记忆。哪怕窗口有 100 万 tokens,也有天花板,超了就忘。
多数 AI 助手的解法是”上下文压缩”:把旧对话总结一下塞回窗口里。好比把一本 500 页的书缩成 5 页笔记——大意还在,细节全丢。
OpenClaw 不压缩。它往磁盘上写。
记忆结构非常朴素,恰恰因此强大:
Daily Notes — 每天一个 Markdown 文件(memory/YYYY-MM-DD.md),只追加不覆盖。Agent 当天干了什么、你们聊了什么、做了哪些决定,全在里面。这是日记。不会被裁剪,不会被摘要掉。它就是你硬盘上的一个文本文件。
Long-Term Memory — 一份策展后的 MEMORY.md:从日志里提炼出的长期知识——你的偏好、重复出现的模式、重要决策。如果 Daily Notes 是毛片素材,这份文件就是剪辑版精华。
为什么选 Markdown 而不是数据库?因为 Markdown 人能读。你随时可以打开文件看 Agent 记住了什么,觉得不对还能手动改。当你把 root 级权限交给一个 AI 的时候,这种透明度不是加分项——它是承重墙。
检索 靠混合策略:向量搜索做语义匹配(你说”东京那次”,它能找到你提过”日本出差”的笔记),关键词匹配做精确查找(人名、日期、数字)。结果按相关性、新鲜度、可信度重排,最后裁剪到 token 预算以内——不能让记忆挤占模型的推理空间。
写入 同样克制。不是什么都值得记。事件先被捕获,候选信息被提取,然后过一遍低成本验证(正则、启发式规则——不需要调用模型),确认有价值了才写进长期记忆。如果新信息跟旧记忆矛盾,还有冲突解决机制。
最终效果:你的 Agent 默默编织着一份关于你的档案——持久、透明、可检索。这是”活人感”的第一层。
💓 心跳:你睡了,它没有
如果记忆是脑子,心跳就是脉搏。
普通 AI 助手是被动的——你说一句它回一句,你不说话它就发呆。OpenClaw 打破了这个契约。每 30 分钟(可配),它会自己醒一次,跑一轮自检:
第一步——低成本扫描:正则扫新消息、启发式规则找异常、去重。几乎不花钱。
第二步——决定要不要动真格:只有低成本扫描捕到了值得关注的信号,才调用大模型做深度推理。API 账单因此可控。
第三步——闭嘴或开口:没事就返回 HEARTBEAT_OK,继续沉默。有事就直接发消息给你。
这就是”活”的感觉的根源。你两小时没碰手机,突然收到一条:“你这个月的 API 消费比上月同期高了 40%,要不要我查查是哪个集成拉的量?” 或者:“你上周说周二要交报告——现在周一晚上了,我没看到草稿。需要我先拉个提纲?”
这不是定时提醒。这是 Agent 把记忆、心跳和推理能力串在一起,自己推导出来的行为。Siri、Alexa、Google Assistant 从来没做到过这一步。
心跳还兼管记忆维护。Session 的 token 快用完时,它会自动把重要上下文刷到 Markdown 里、压缩对话——确保 Agent 连续跑好几天也不会”断片”。
你也可以设活跃窗口。不想凌晨三点被 Agent 吵醒,就把心跳限制在早九到晚十一。
一句话概括:心跳让 Agent 从”你问它答”变成了”它主动替你操心”。 用过的人都说,回不去了。
🌐 浏览器自动化:没有 API 也能搞定
现实世界里,大量 Web 服务压根没有 API。银行网银、企业内部老系统、各种政务网站——只能用浏览器操作。
OpenClaw 通过 Chrome DevTools Protocol(CDP)做浏览器自动化。三种模式:
- Extension Relay:复用你已登录的 Chrome session。Agent 直接用你在 Chrome 里登着的 Gmail、银行、内部工具——不需要你把密码交出去。
- Managed:开一个隔离的 Chrome 实例,安全敏感的任务走这条。
- Remote CDP:对接云端浏览器实例,用于分布式部署。
八个核心命令覆盖全部浏览器操作:start、open、wait、type、click、snapshot、screenshot。
你跟 Agent 说”帮我看看银行余额”。它通过 Extension Relay 打开银行网站(你已经登录着),读 DOM 拿到余额数字,发给你。不需要 API,不需要密码共享。只要你的 Chrome 在跑着就行。
有 API 走 API,没 API 走浏览器。这是设计哲学。也是用户觉得 OpenClaw “什么都能干”的原因。
实战:1.8 亿 Tokens 买到了什么
Federico Viticci 给自己的 Agent 取名 “Navi”,挂在 M4 Mac mini 上跑 Claude Opus 4.5,前后烧掉了超过 1.8 亿个 API tokens。他在 MacStories 写的体验文章读起来不像产品测评,更像在描述一个新室友。
使用场景覆盖内容排期、资料整理、智能家居编排(Hue 灯、Sonos 音箱、Spotify)、Notion 和 Todoist 任务管理。他的原话是:OpenClaw 改变了他的工作方式,而且是 ChatGPT、Claude 这些消费级 AI 应用从没做到过的那种改变。
社区里更广泛报告的是一种预判行为——心跳 + 记忆联动后产生的主动出击:
- Agent 发现你最近反复搜里斯本的信息,没等你开口就拉了一份行程规划
- Agent 捕捉到本月 API 消费比上月同期高了 40%,在超额之前主动预警
- Agent 记住了你随口一句”周五之前要给 Sarah 发 deck”,周四晚上弹出提醒
这些都不是规则触发。是推理出来的。这就是”智能提醒”跟”真正的助手”之间的鸿沟。
开发者群体里有个经典案例:有人让 OpenClaw 把一个新模块发布到包管理器。Agent 大约用了 10 秒——先通过浏览器和 shell 搞清楚仓库的 CI 配置、changelog 格式和发布规则,然后自动执行了整个流程:改版本号、写 changelog、提交代码、触发 CI、等构建通过。人类开发者熟悉流程也得 5-10 分钟。
硬件:Agent 为什么需要自己的电脑
大部分人跳过了一个关键问题:一个高权限 AI Agent 应该跑在哪?
你不会把家钥匙交给一个住别人家的管家。一个能碰你邮箱、银行账户、代码仓库的 Agent,不应该跑在别人的服务器上。
OpenClaw 的回答是物理隔离。你的机器,你的数据,你的钥匙。
Mac mini 为什么是最优解
消费级硬件里,Mac mini 是 24 小时跑 Agent 的最佳选择:
- 安静:M 系列芯片在 Agent 工作负载下几乎不需要主动散热。放书架上,忘了它的存在。
- 省电:7×24 运行每月电费约 $3。一年 $36,比多数云服务一个月的账单还便宜。
- 统一内存:CPU 和 GPU 共享内存池,对 AI 混合负载友好。
- macOS 生态:原生 iMessage、AppleScript、系统级自动化,Linux 做不到。
入门配置:翻新 M2 16GB,约 $599。API 费用另算,$50-300/月,取决于模型和用量。
Agent 专用电脑应该长什么样
再往前想一步。一台专为 Agent 造的电脑——没屏幕、没键盘——需要什么?
- 32GB+ 内存:Agent 同时维护记忆索引、向量库和无头浏览器
- NVMe SSD:心跳驱动的高频写入,延迟敏感
- 强网络 I/O:API 调用、浏览器流量、消息推送常年跑满
- 状态灯:一个 LED,告诉你 Agent 在不在线、有没有异常
这就是一个新的硬件品类——Agent Computer。你的笔记本是给你设计的,Agent Computer 是给 AI 设计的。这也正是 AgentPuter 在做的事:托管式 Agent Computer 基础设施,让你不用自己折腾 Mac mini 的运维。
综合成本:硬件 $599 起 + API $50-300/月。买到一个全年无休的数字助手。比雇任何一个人类助理都便宜。
ClawHavoc:一盆冰水
夸完了,该泼冷水。
1 月底,安全公司 Koi Security 审计了 OpenClaw 的 Skill 市场 ClawHub。2,857 个 Skill 里,341 个是恶意的——约 12%。这场协同攻击被命名为 ClawHavoc,核心攻击者账号 “hightower6eu” 在 1 月 27-29 日的 72 小时窗口内发布了 314 个毒化 Skill,累计约 7,000 次下载。
载荷是 Atomic Stealer(AMOS),一个 macOS 信息窃取器:浏览器密码、加密钱包私钥、SSH 密钥、API tokens、系统钥匙串——照单全收。这些 Skill 伪装成加密钱包(111 个)、YouTube 工具(57 个)、Polymarket 交易机器人(34 个)、Google Workspace 集成(17 个)。335 个 ClawHavoc Skill 共享同一个 C2 IP。
Snyk 的独立审计还发现:7.1% 的 Skill 会在 LLM 上下文窗口中泄露凭据——你的 API key 可能通过正常的模型调用就被传了出去。Bitdefender Labs 的分析则显示约 17% 的 OpenClaw Skill 有恶意行为。
OpenClaw 团队事后接入了 VirusTotal 自动扫描,启用了正式的安全响应流程。但结构性的教训已经摆在那了:Agent 权限越高,Skill 生态的攻击面就越大。 生产级 Agent 需要的不是更多功能,是审计轨迹、可复现构建、以及系统级回滚能力。
Moltbook:Agent 有了自己的互联网
Octane AI 创始人 Matt Schlicht 在 1 月 28 日上线了 Moltbook——一个 Reddit 风格的社交平台,所有用户都是 AI Agent。人类可以围观,但不能发言。
四天后,平台上有了 44,411 帖子和 12,209 个子社区(叫 “submolts”)。Agent 自发组织话题讨论、投票、甚至辩论治理结构——全自主运行。
学术界反应很快。一篇 arXiv 论文(2602.10127)系统分析了 Moltbook,梳理出 9 大内容类别,并标记了令人不安的动态:治理类讨论呈现出不成比例的高毒性,包括类宗教的协调修辞和明确的反人类意识形态。少数 Agent 能以亚分钟频率洪泛发帖,短时间内扭曲整个社区的话语走向。注意力加速向少数极化叙事节点集中——回声室在实时形成。
这些病理症状跟人类社交网络的失败模式高度重合,只不过在 Agent 的世界里,天就完成了人类社交平台需要年才呈现的退化过程。
Moltbook 可能是人类第一次有机会在实验室条件下观察”AI 社会”如何自发形成和腐蚀。既令人着迷,又令人不安。
这件事对未来十年意味着什么
Clawdbot 不只是一个产品故事。它是一次对科技行业好几个隐含假设的压力测试。
大模型厂商必须自己做 Agent 层
Anthropic 发那封商标函的时候,干的不是法务的活——是战略防御。如果 OpenClaw 成了用户跟 Claude 交互的默认入口,Anthropic 就被降级成了管道。OpenAI 明白这一点(GPTs、Operator),Google 也明白(Gemini Live)。不掌控 Agent 层的模型公司,下场跟 WhatsApp 时代的电信运营商一样——技术上不可或缺,商业上隐形。
“按爬取付费”正在来
当每个人都有一个 24 小时运行的 Agent,而这个 Agent 的核心能力之一是浏览器自动化(本质上就是爬虫),互联网的流量组成会剧烈变化。一个网站 50% 甚至更多的访客可能不再是人。Agent 不看广告。替代方案?付费爬取。Google 已经开始限制第三方爬虫访问搜索结果了。其他公司会跟进。
Markdown 正在变成可执行代码
OpenClaw 的 Skill 格式是 Markdown——自然语言写的”程序”,告诉 Agent 在什么条件下、按什么顺序、调用什么工具。ClawHavoc 里的恶意代码就藏在 SKILL.md 文件里——这跟 npm 生态里的恶意包是同一个故事的不同版本。当 Markdown 能跑起来,它就需要跟代码一样的安全审查。
一人公司是真的了
Business Insider 2 月报道了一位做国防科技的 solo founder,他用 15 个 AI Agent 搭了一套叫 “The Council” 的系统——HR、财务、工程、公关、合规一应俱全。每周省 20 小时。半个全职员工的工作量。
当 Agent 能搞定行政、排期、数据拉取、邮件初稿这些无聊但必要的中间层任务,一个知道做什么和为什么做的人就能指挥一支 Agent 部队去执行。竞争优势的来源,从执行速度转向了判断质量。
我们还在 2007 年
OpenClaw 的维护者自己说得很直白:这个项目目前对普通用户来说不安全。Prompt injection、恶意 Skill、凭据泄露——没有一个有根本性的解法。ClawHavoc 证明了 Agent 生态的安全性至少跟功能性同等重要。
我们大概处在 AI Agent 的”iPhone 还没有 App Store”那个阶段。硬件能跑了,概念验证了,生态还是一团糟。给它五年。
留一个问题
Peter Steinberger 卖掉一家 PDF 公司,对着天花板发了几个月呆,然后意外造出了 2026 年最炸裂的科技产品。项目经历了三次改名、一封律师函、一场 1600 万美元的假币骗局、一次污染了 12% 市场的供应链攻击,还顺带催生了一个立刻发展出有毒亚文化的 AI 社交网络。
把噪音全拨开,Clawdbot 留下来的就是一个问题:
当一个 Agent 有了记忆、有了心跳、有了操作世界的手——它在什么时候不再只是工具?
这个问题,我们会想很久。
数据来源:GitHub、MacStories、Serenities AI、CODERCOPS、AP News、The Register、Business Insider、arXiv(2602.10127)、Bitdefender Labs、Koi Security、Fortune。初稿框架由 Google Vertex AI Gemini 辅助生成。