“龙虾”很有可能并不适合99%的非技术人员
出品|虎嗅科技组 头图|视觉中国
作者|宋思杭 编辑|苗正卿
就在这周,关于 OpenClaw(又称“龙虾”)的吐槽声开始明显增多。
此前一度火爆的“500 元上门安装”生意还没持续一周,市场上已经出现了新的服务——“299 元远程卸载”。
“身边折腾过 OpenClaw 的朋友,基本都弃用了。”一位网友在社交媒体上写道。
几乎与此同时,“龙虾卸载指南”也开始在社交平台流传。就在相关教程传出不到两天的时间,资本市场的情绪也迅速发生变化。
3 月 11 日午后,一批被市场称为“龙虾概念股”的公司股价集体下跌。此前,智谱刚在 3 月 10 日上线 OpenClaw,当天股价一度上涨超过 13%;而仅一天后,其股价便回落约 6%。同样受到影响的还有 MiniMax,当日跌幅一度超过 9%。
而在大量吐槽声中,用户反复提到的两个问题完全一致:一是 token 消耗过高,二是安全隐患。
一位用户在“养虾”的第一天,仅仅尝试与其聊天,几句话便消耗了约 100 万 token;还有用户表示,“只是让它爬取一个普通资讯网页,token 成本就接近 20 美元。”
这些还只是“烧钱”的问题。
更让用户担心的是安全风险。有网友称,自己在尝试给“龙虾”安装 Skill 时,安装过程中出现异常,在修复操作中竟导致本地磁盘内容被全部删除。
对于目前争议较大的安全问题,智谱 AutoGLM 部门负责人刘潇向虎嗅表示:“OpenClaw 本身是一个开源框架,其内部包含非常灵活的第三方 Skills 与插件生态。对于非技术用户来说,部署和使用门槛其实非常高,这也在某种程度上把 99% 的普通用户拦在了门外。”
与此同时,飞书 CEO 谢欣也在社交媒体上发文提醒:“个人电脑上跑 Agent 与企业使用 Agent 是完全不同的事情。前者是探索,后者是责任。”
这与一个多月前 OpenClaw 刚刚爆火时的氛围形成了鲜明反差。彼时,这只“龙虾”被视为 Agent 时代真正到来的标志;而短短不到 45 天的时间,它却已经开始暴露出另一面。
“龙虾”很有可能真不适合99%的非技术人员
事实上,围绕“龙虾”的争议几乎是在 48 小时内迅速发酵的。
就在三天前,深圳、无锡、常熟等地还相继发布政策,提出支持 OpenClaw 相关应用场景的发展,其中一个重要目标便是鼓励 OPC(One Person Company,一人公司) 的新型组织形态。
但几乎在同一时间,另一种声音也开始出现。
3 月 8 日,工信部网络安全威胁和漏洞信息共享平台发布监测信息称,OpenClaw 开源 AI 智能体的部分实例在默认或不当配置情况下存在较高安全风险,极易引发网络攻击、信息泄露等问题。
三天后的 3 月 11 日,工信部专家再次提醒称,尽管“龙虾”已经更新到最新版本并修复部分漏洞,但并不意味着风险已经消除。
回到用户端,争议最早其实来自两个问题:token 消耗异常,以及安全隐患。
首先是 token 消耗问题。
不少用户在尝试运行“龙虾”后发现,其 token 消耗速度远高于普通大模型。对此,Qveris.ai COO曲东奇对虎嗅解释称,“OpenClaw(龙虾)之所以Token消耗显著,核心源于它自主智能体的全链路工作机制。”
不同于普通聊天模型只做单次对话,OpenClaw每执行一项任务,都要完成目标拆解、多步推理、工具调用与状态校验,这相当于把普通模型的多轮对话浓缩为一次自动化任务,调用频次大幅提升。
同时,OpenClaw会将系统指令、工具集、身份配置、会话历史与记忆文件全量带入上下文,每次请求都携带庞大的基础提示词;加上心跳检查、环境感知与持续迭代的运行逻辑,会持续产生推理与上下文开销,这也是它Token消耗远高于常规大模型与轻量Agent的关键。
换句话说,当 Agent 从“聊天工具”变成“自动执行系统”时,token 的消耗也随之呈现出指数级增长。
相比之下,更让用户担忧的是安全问题。
由于“龙虾”需要在本地电脑运行,并具备读取文件、执行脚本以及调用外部工具等能力,一旦配置不当或被恶意利用,风险也会被迅速放大。
针对这一问题,虎嗅向已经上线“龙虾”的大模型厂商智谱进行了咨询。刘潇表示,在 AutoClaw 的安装方案中,团队已经对公网暴露、端口开放等问题进行了预处理,同时对工作目录进行了限制,并对关键操作增加提醒机制,以降低风险。
但他也坦言,OpenClaw 本身是一个开源框架,其内部拥有非常灵活的第三方 Skills 与插件生态。对于普通用户来说,这套系统的部署和使用门槛其实非常高,“某种程度上,这也把 99% 的非技术用户拦在了门外。”
与此同时,一些安全从业者也指出了另一层隐患。
缔零科技 CEO 谭亦朗向虎嗅表示,“改变‘龙虾’的行为其实非常简单,例如通过干预Agent的soul、memory等md文件进行认知后门埋入,或者通过设定近似的md文件进行混淆等攻击,就可以改变其部分认知逻辑。但问题在于,一旦做出这样的修改,其影响会持续作用在后续所有行为上,并且具备一定的攻击属性。”
在这种情况下,一些用户遇到的“龙虾误删本地文件”等问题也就不难理解了。
对于个人用户而言,这或许只是一次实验失败,但如果发生在企业环境中,带来的后果则可能更加严重。
一只“龙虾”是怎么走红的?
在争议出现之前,OpenClaw 的走红几乎是毫无悬念的。
2025年11月是OpenClaw亮相的起点,最开始它还没有那么广为人知。当时它还只是由奥地利开发者 Peter Steinberger 做的一个开源 Agent 项目。
真正爆火的起点是在2026年1月底,彼时,它已经成为GitHub上的星标数量第一的项目。
在很多技术社区里,它也被称为第一个真正意义上的“超级Agent”。
与此前大多数停留在聊天界面的 AI 不同,OpenClaw 最大的突破在于,它不再只是回答问题,而是可以直接接管电脑执行任务:自动调用工具、操作浏览器、读取本地文件、编写脚本,甚至可以把复杂任务拆解成多个步骤连续执行。
这意味着,Agent 第一次摆脱聊天机器人这个称号,而开始真正参与到人的工作流程中。此前,也有部分Agent可以通过MCP协议,调用其他APP。但都无法实现全面的“托管”。
换句话说,在 OpenClaw 出现之前,大多数 Agent 都存在一个明显的限制——它们无法真正接管电脑帮你干活。很多能力仍然停留在对话层面,使用场景十分有限。而“龙虾”的出现,第一次让普通用户看到了AI是可以帮助替代生产力的,而不只是提升生产力。
这种能力很快引发了普通用户的狂热。
大量用户开始尝试让“龙虾”替自己处理各种复杂任务:整理数据、自动爬取信息、生成报告、写代码,甚至直接用来做金融分析和交易策略。
Mizzen 创始人兼CEO孙克强对虎嗅表示:“我了解到 90% 的用户都希望让小龙虾帮他赚钱。”
在一些人看来,这种能力几乎第一次让“一个人”的生产力被明显放大。曲东奇向虎嗅分享,去年他曾尝试利用 Agent 做过八款产品,其中已有两款实现盈利,每月收入接近 8 万到 10 万元。
而“龙虾”的出现,也让更多人开始重新想象一种新的工作模式——One Person Company(OPC,一人公司)。在这种设想中,一个人配合一套 Agent,就可能完成过去需要一个小团队才能完成的工作。
不过,在普通用户沉浸于“AI替我干活”的想象时,另一群人其实更早尝到了甜头。那就是模型厂商和云厂商。
原因很简单。OpenClaw 的运行本质上依赖于大量模型调用:每一步任务拆解、每一次决策、每一次工具调用,背后都意味着新的 API 请求和 token 消耗。当 Agent 从“对话工具”变成“自动执行系统”之后,模型调用的频率也随之成倍增加。
换句话说,用户每让“龙虾”多干一件事,背后就意味着更多的算力被消耗。
从这个角度来看,普通用户或许觉得自己在用 AI 提高生产力,甚至尝试用 AI 赚钱,但真正最稳定的受益者,反而是那些提供模型和算力基础设施的公司。随着“龙虾”爆火,API 调用量和 token 消耗迅速增长,对模型厂商和云平台来说,这几乎是“天上掉馅饼”的生意。
某种意义上说,龙虾越火,算力公司就越赚钱。
不过,即便在最狂热的讨论中,也有人意识到一个现实问题:现在的“龙虾”,仍然远谈不上万能。
它最大的局限在于,目前的 Agent 仍然主要运行在数字世界中,缺乏与物理世界的交互能力,这也意味着它所能获得的数据仍然十分有限。
总之,OpenClaw 的确成为了引爆Agent智能体时代的那根导火索,但随之暴露出的安全隐患,也让人开始重新审视这类系统的边界,并为接下来的 Agent 发展提出了更严峻的挑战。
中国还会出现更多“龙虾”吗?
虎嗅了解到,除了大厂和模型厂商上线 OpenClaw,目前已经有部分创业者开始模仿“龙虾”的模式,甚至出现了所谓的“企业级龙虾”项目,希望复制 OpenClaw 的路径,成为 AI 时代新的超级入口。
但其中的风险也逐渐显现。过去一个多月的使用经验已经让不少人意识到,当 Agent 开始真正接管电脑时,普通用户需要付出的代价并不低——无论是持续增长的 token 消耗,还是安全问题。
而更重要的问题在于,token 费用高、误删文件等问题,更多仍然停留在普通用户层面。
如果 Agent 智能体想要真正迎来爆发,关键仍然在于能否进入产业场景,尤其是企业级应用。
但从目前 OpenClaw 的安全性来看,许多企业仍然持观望态度。对于数据和系统安全要求极高的行业而言,让一个可以读取本地文件、执行脚本并调用外部工具的 Agent 直接接入生产环境,风险显然难以接受。
梅洛迪总经理贾亦凡告诉虎嗅:“如果将全部权限直接交给 OpenClaw 这类智能体,会带来极大的安全隐患,这不只是工业场景的问题,对所有企业而言都是不可接受的。最终执行权必须由人来把控,直到 AI 操作的精确率稳定超过 3 西格玛水平之前,都不能完全放权。”
那么,在这种情况下,围绕AI安全能力本身,也开始成为新的创业方向。
多位从业者向虎嗅表示,如果 Agent 想要真正进入企业环境,单纯依赖模型能力显然是不够的,必须在其之上增加一整套新的安全机制,例如权限分级、操作审计、沙盒环境等能力。
换句话说,当 Agent 开始具备“执行权”时,安全能力也需要从过去的软件层防护,升级为对 AI 行为本身的约束与管理。
一些创业团队已经开始尝试在这一方向布局。例如,通过在 Agent 与操作系统之间增加中间层,对其访问权限进行限制;或通过日志与审计机制,对 Agent 的每一步操作进行记录,以便在出现异常时能够快速回溯。
在部分投资人看来,这类能力未来很可能会成为企业部署 Agent 的标配。就像云计算时代催生了云安全厂商一样,当 AI 开始真正参与到执行层时,一整套围绕 Agent 安全与治理 的基础设施,也可能随之出现。
从这个角度来看,“龙虾”带来的争议,或许不仅暴露了 Agent 的风险,也在某种程度上提前揭示了下一批创业机会所在。
尽管“龙虾”在短短一个多月时间里已经开始明显退热,但这并不意味着 Agent 的创业窗口会缩窄。
相反,在不少从业者看来,OpenClaw 的爆火更像是一场提前到来的技术实验。它让大量用户第一次真实体验到 Agent 能够做什么,同时也提前暴露了这一形态在成本结构、安全机制以及权限管理上的一系列问题。
从这个角度看,“龙虾”的降温反而可能成为下一轮 Agent 创业的起点。
多位业内人士向虎嗅表示,未来的 Agent 很可能会朝两个方向演进:一是更加安全,例如通过更严格的权限隔离、任务沙盒以及执行审计机制,让 Agent 的操作始终处于可控范围内;二是更加经济,通过减少不必要的模型调用、优化任务拆解逻辑,甚至结合本地小模型与云端大模型的混合架构,从而显著降低 token 消耗。
当这些问题逐渐被解决之后,Agent 的形态也可能随之发生变化。
在一些从业者看来,也许今天,让Agent直接接管电脑过于激进;未来用户与大模型的交互方式,很可能会从今天的“对话式调用”,逐渐转变为由 Agent 代理执行任务。换句话说,用户不再频繁直接调用模型,而是将任务交给 Agent 处理,再由 Agent 在后台调度模型、工具与数据。
如果这一模式成立,大模型的商业模式也可能随之改变。比如从今天以 token 调用为核心的计费方式,逐渐转向以任务、流程甚至结果为单位的服务模式。
今天的“龙虾”可能只是试水,当第一批产品暴露问题之后,更安全、更可控、也更经济的 Agent,很可能会在下一阶段陆续出现。届时,中国会可能会涌现出更多的“龙虾”。
