OpenClaw基金会:掌控一款病毒式AI代理
OpenClaw是一款极其流行但安全性堪忧的开源AI代理框架。为解决这些问题并使其成为真正独立的项目,其创始人成立了OpenClaw基金会。
2026年最受关注且争议不断的AI项目之一OpenClaw,正在迎来一个独立的新OpenClaw基金会,以建立秩序、治理和急需的安全纪律。
OpenClaw是一个开源AI助手框架,运行在用户自己的机器上,并连接到WhatsApp、Telegram、Signal和Discord等聊天平台,执行真实世界的任务。这些任务包括阅读和回复电子邮件、操作文件、运行脚本以及访问API以进一步扩展其功能。其支持者声称它是第二大的开源项目。
然而,它的安全性也非常糟糕。正如IBM研究人员所指出的,安全专家警告称OpenClaw存在“致命三重风险”:对私有本地数据的深度访问、与不可信外部内容的交互以及向外通信的能力。
尽管如此,自从开发者Peter Steinberger将其作为个人“氛围编码”实验开始,OpenClaw的流行度爆炸式增长。随着项目的火爆,其治理模式远远落后于采用率。功能、权限和安全修复的决策主要由一个小型核心团队和GitHub问题驱动,而世界其他地方则将OpenClaw视为“真正行动的代理”浪潮的象征。
新成立的OpenClaw基金会旨在改变这种局面。该基金会在很大程度上仿照管理Kubernetes和Linux内核的非营利实体,其职责是为代码库提供一个中立的家园,定义技术和安全路线图,并为处理漏洞、扩展和商业参与建立透明的流程。
据首位外部OpenClaw基金会董事会成员、Offline Ventures创始人David Morin称:“基金会将确保OpenClaw的独立性,无论Peter在哪里工作。我们希望成为AI领域的瑞士。”
Steinberger本人在X上强调:“OpenAI雇用了我,而不是OpenClaw。OpenClaw基金会是独立的,有赞助商而非所有者——并且首次拥有一个全职团队来保持‘爪子’的活力与稳定。”
实际上,这意味着将OpenClaw从一个爆炸性的GitHub仓库转变为一个更传统的开源项目。基金会拥有一份章程、一个技术指导委员会以及关于谁可以在什么条件下发布什么的清晰政策。这也意味着为贡献者和公司提供正式参与的方式。
安全问题也是基金会成立的主要驱动力。自年初以来,OpenClaw一直处于一系列披露的中心。它曾出现过由单个恶意网页触发的远程代码执行链;提示注入途径使得文档和网站能够秘密引导代理;以及暴露在互联网上的错误配置或完全未受保护的实例,能够广泛访问收件箱、日历和开发者工具。可以说,OpenClaw几乎遭受过所有类型的黑客攻击。
这不是新闻。研究人员多次警告,OpenClaw的架构——一个高度特权的代理协调工具、脚本和外部LLM——造成了一个单一的灾难性故障点。混乱的快速修补、临时建议和基本上不受监管的技能生态系统,使得组织难以理解其实际风险暴露或决定是否可以安全使用OpenClaw。剧透警告:它并不安全。
基金会预计将实施一个正式的安全计划。这将包括一个已发布的漏洞披露政策;清晰的严重性评分和发布渠道;以及与已建立的安全社区更紧密的协调。一个优先事项是将项目的大量问题与标准机制(如CVE)对齐。它还将定义限制爆炸半径的参考部署模式,例如沙盒环境、最小权限默认值,以及当事情出错时对技能与本地系统和云服务交互的更严格限制。
除了核心代理,基金会还必须应对更广泛的OpenClaw生态系统,这个生态系统与主项目一样快速且混乱地增长。
社区“技能”和集成现在数以万计,涵盖生产力工具、DevOps助手、交易机器人和实验性自动化包。已经出现了多个市场来分发这些技能,以及托管平台,为不想自托管的用户提供一键式OpenClaw实例。
这种激增造成了经典的供应链问题。企业没有简单的方法来区分值得信赖的技能和恶意或危险的技能。托管提供商面临着双重挑战:既要接纳热切用户,又要防止他们意外授予代理过多数据权限。
基金会可能会引入一个分层信任模型用于技能。这将包括签名包、精选目录、安全审查要求,或许还有一套适合默认安装的官方“受祝福”功能集。
在商业方面,提供基于OpenClaw服务的公司将需要与项目的管理者建立新的关系。参与工作组和赞助可能会让它们在技术决策中拥有发言权,但基金会结构也应防止任何单一供应商完全掌控该项目。目前,只有OpenAI,Steinberger的雇主,是确认的财务支持者。不过,微软、英伟达、密歇根大学等也在与新生儿基金会合作。
目前明确的是,OpenClaw已经超越了它的起源。OpenClaw基金会的成立标志着一个病毒式代理项目迈上了更大的舞台。它能否胜任这一角色,还是在压力下崩溃?我们将拭目以待。