OpenClaw基金會:掌控一款病毒式AI代理
OpenClaw是一款極其流行但安全性堪憂的開源AI代理框架。為解決這些問題並使其成為真正獨立的專案,其創始人成立了OpenClaw基金會。
2026年最受關注且爭議不斷的AI專案之一OpenClaw,正在迎來一個獨立的新OpenClaw基金會,以建立秩序、治理和急需的安全紀律。
OpenClaw是一個開源AI助手框架,執行在使用者自己的機器上,並連線到WhatsApp、Telegram、Signal和Discord等聊天平臺,執行真實世界的任務。這些任務包括閱讀和回覆電子郵件、操作檔案、執行指令碼以及訪問API以進一步擴充套件其功能。其支持者聲稱它是第二大的開源專案。
然而,它的安全性也非常糟糕。正如IBM研究人員所指出的,安全專家警告稱OpenClaw存在“致命三重風險”:對私有本地資料的深度訪問、與不可信外部內容的互動以及向外通訊的能力。
儘管如此,自從開發者Peter Steinberger將其作為個人“氛圍編碼”實驗開始,OpenClaw的流行度爆炸式增長。隨著專案的火爆,其治理模式遠遠落後於採用率。功能、許可權和安全修復的決策主要由一個小型核心團隊和GitHub問題驅動,而世界其他地方則將OpenClaw視為“真正行動的代理”浪潮的象徵。
新成立的OpenClaw基金會旨在改變這種局面。該基金會在很大程度上仿照管理Kubernetes和Linux核心的非營利實體,其職責是為程式碼庫提供一箇中立的家園,定義技術和安全路線圖,併為處理漏洞、擴充套件和商業參與建立透明的流程。
據首位外部OpenClaw基金會董事會成員、Offline Ventures創始人David Morin稱:“基金會將確保OpenClaw的獨立性,無論Peter在哪裡工作。我們希望成為AI領域的瑞士。”
Steinberger本人在X上強調:“OpenAI僱用了我,而不是OpenClaw。OpenClaw基金會是獨立的,有贊助商而非所有者——並且首次擁有一個全職團隊來保持‘爪子’的活力與穩定。”
實際上,這意味著將OpenClaw從一個爆炸性的GitHub倉庫轉變為一個更傳統的開源專案。基金會擁有一份章程、一個技術指導委員會以及關於誰可以在什麼條件下發布什麼的清晰政策。這也意味著為貢獻者和公司提供正式參與的方式。
安全問題也是基金會成立的主要驅動力。自年初以來,OpenClaw一直處於一系列披露的中心。它曾出現過由單個惡意網頁觸發的遠端程式碼執行鏈;提示注入途徑使得文件和網站能夠秘密引導代理;以及暴露在網際網路上的錯誤配置或完全未受保護的例項,能夠廣泛訪問收件箱、日曆和開發者工具。可以說,OpenClaw幾乎遭受過所有型別的駭客攻擊。
這不是新聞。研究人員多次警告,OpenClaw的架構——一個高度特權的代理協調工具、指令碼和外部LLM——造成了一個單一的災難性故障點。混亂的快速修補、臨時建議和基本上不受監管的技能生態系統,使得組織難以理解其實際風險暴露或決定是否可以安全使用OpenClaw。劇透警告:它並不安全。
基金會預計將實施一個正式的安全計劃。這將包括一個已釋出的漏洞披露政策;清晰的嚴重性評分和釋出渠道;以及與已建立的安全社群更緊密的協調。一個優先事項是將專案的大量問題與標準機制(如CVE)對齊。它還將定義限制爆炸半徑的參考部署模式,例如沙盒環境、最小許可權預設值,以及當事情出錯時對技能與本地系統和雲服務互動的更嚴格限制。
除了核心代理,基金會還必須應對更廣泛的OpenClaw生態系統,這個生態系統與主專案一樣快速且混亂地增長。
社群“技能”和整合現在數以萬計,涵蓋生產力工具、DevOps助手、交易機器人和實驗性自動化包。已經出現了多個市場來分發這些技能,以及託管平臺,為不想自託管的使用者提供一鍵式OpenClaw例項。
這種激增造成了經典的供應鏈問題。企業沒有簡單的方法來區分值得信賴的技能和惡意或危險的技能。託管提供商面臨著雙重挑戰:既要接納熱切使用者,又要防止他們意外授予代理過多資料許可權。
基金會可能會引入一個分層信任模型用於技能。這將包括簽名包、精選目錄、安全審查要求,或許還有一套適合預設安裝的官方“受祝福”功能集。
在商業方面,提供基於OpenClaw服務的公司將需要與專案的管理者建立新的關係。參與工作組和贊助可能會讓它們在技術決策中擁有發言權,但基金會結構也應防止任何單一供應商完全掌控該專案。目前,只有OpenAI,Steinberger的僱主,是確認的財務支持者。不過,微軟、輝達、密歇根大學等也在與新生兒基金會合作。
目前明確的是,OpenClaw已經超越了它的起源。OpenClaw基金會的成立標誌著一個病毒式代理專案邁上了更大的舞臺。它能否勝任這一角色,還是在壓力下崩潰?我們將拭目以待。