aopstudio 的个人博客

最近 OpenClaw 很火。它最抓眼球的标签，是"个人电脑代理"：让 AI 直接帮你操作系统、调应用、跑流程、处理任务。

但我在简单尝试使用OpenClaw帮我操作电脑后就放弃了，现在只让它帮我定时抓取一些我感兴趣的新闻来推送给我。在我的实际体验中，操作中断、意图识别不准确是家常便饭，如果操作不慎甚至有丢失数据的风险，我认为现阶段它还没能够承担全局高权限操作的能力，与其强行套进一个不稳的位置，不如找到它真正稳定且合适的地方。

一、它为什么还不该做你的全局代理

问题不在于它不强，而在于"强能力"和"强约束"还没有同步成熟。

背景先交代一下：OpenClaw 最初叫 Clawdbot，2025 年 11 月上线，2026 年 1 月病毒式传播；因为项目名太像 Claude，Anthropic 发出商标投诉，先改名 Moltbot，再改名 OpenClaw。它本质上是一个个人开发者发起的开源项目，不是产品公司在维护。

从公开信息看，风险信号集中在三处：

安全漏洞密度高，且部分属于架构性问题

核心漏洞 CVE-2026-25253（CVSS 8.8）来自它对 localhost 连接的隐式信任——没有区分来自本机可信应用的连接和来自浏览器恶意页面的连接。攻击者只需在页面上植入 JavaScript，就能通过 WebSocket 直接劫持本地网关，无需任何插件或用户交互。此外还有两个命令注入漏洞（CVE-2026-24763、CVE-2026-25157），以及鉴权默认关闭、连接不验证来源等默认配置问题。

更根本的一点是：即便所有已知漏洞都被修复，基本风险仍然存在。高度自主、宽泛权限、非确定性决策是 agentic 系统的核心特征，无法靠打补丁来消除。

技能市场（ClawHub）的供应链风险真实存在

攻击者通过 ClawHub 分发了超过 330 个恶意技能包，用专业文档和无害名称（如"solana-wallet-tracker"）伪装，实际安装的是键盘记录器或 Atomic Stealer。最终确认的恶意技能约 341 个，占整个仓库的 12%。

系统级权限一旦给出，错误成本陡增

安全研究员 Jamieson O'Reilly 用 Shodan 扫描，发现超过 1800 个对公网暴露的 OpenClaw 实例正在泄露 API 密钥和账号凭据。1Password 的评估说得更直白：单个被盗令牌已经够糟，但上百个令牌加上一份完整描述你是谁、你在做什么的长期记忆文件，是另一个量级的威胁。

二、那它能稳定做什么——推理层与记忆层

绕开高权限操作之后，它剩下的价值反而清晰了：一个低成本的推理入口，加上一套普通 API 调用完全没有的持久记忆机制。

低成本的推理工具

我这边说它是低成本的，可能很多人会很震惊，但请别急，继续往下看：

假如使用普通按量付费来调用模型 API，Token 烧起来是没有上限的。OpenClaw 本身就是个"Token 大户"——agent 模式下每次对话的实际消耗远超表面看到的回复内容，因为它在后台会触发多轮分析、规划、修正。如果将这种用法按量付费，其成本确实会爆炸。

但目前由于OpenClaw的火爆程度，目前提供 Coding Plan 的一些厂商，都支持在OpenClaw里接入它们Coding Plan，比如：智谱、MiniMax、阿里云、火山方舟等。同时，部署好的OpenClaw本身可以开放出API端口来进行模型调用，这就意味着通过OpenClaw开放的API来中转调用模型，将不受各厂商Coding Plan的“非编程工具不得使用”的限制了，也就是说 OpenClaw 这条路径反而是能吃到 Coding Plan 低成本的少数模型推理入口之一。

要知道在OpenClaw出现之前，各家通过 Coding Plan 订阅的模型，通常只能在编程工具内调用，不能通过外部 API 直接调用。想在编程工具以外的场景用，只能按量付费，如果强行使用，可能导致封号的风险。而OpenClaw即便其并非严格意义上的编程工具，但仍然能调用Coding Plan，可谓是吃尽了这波热度的红利。

如果读者们还没试过Coding Plan的话，个人推荐火山方舟提供的服务，价格是几家里最低的，可选模型种类也很多，除了字节自己的模型豆包，也可以选择GLM，Kimi和Minimax的模型，用我的邀请码订阅可以再打九折：

立即订阅：https://volcengine.com/L/oeDnrR66cFE/
邀请码：PGP8UXD2

带有记忆的大模型

如果直接调用大模型本身的API，每次请求都是白纸开始。你问它"上次我说的方案"，它不知道；你要它继续上轮推演，得自己把所有历史塞进去。模型本身没有记忆，只有你喂给它的上下文窗口。

OpenClaw 不一样。它在本地维护一套 Markdown 文件作为记忆库：对话结束后，重要内容被写入文件；下次启动时，这些文件重新加载进上下文。你今天讨论的策略，明天它还记得。

具体结构是两层：每日日志（memory/YYYY-MM-DD.md）记录当天发生的事；MEMORY.md 是跨会话的长期记忆，只保留真正重要的信息。旁边配向量检索索引，按需调取，而不是每次把所有历史全塞进去。

有一个坑要注意：上下文太长时，OpenClaw 会自动压缩旧对话，这个过程可能改写甚至丢失记忆内容。关键状态要主动落盘，不能只靠它自动总结。

同时，这套机制有一个我很喜欢的特性：记忆是透明可干预的。你可以直接打开 Markdown 文件查看、编辑、修正——出了问题直接干预，不用对着黑盒猜它为什么"忘了"。

三、我想将它用在哪

现在说一说我认为它目前一个合适的用途。

我一直很喜欢策略类游戏，比如《钢铁雄心》，而且其最吸引我并非其战斗部分，而是其丰富多样的事件，事件出现时需要玩家做出合适的决策，那种在有限资源下做取舍、模拟一国之君做出决策来改变世界走向的感觉，对我来说有一种别的游戏类型给不了的吸引力。我自己有时也很想尝试开发一个这样的游戏。但此类游戏存在一个很大的限制就是选项设计，你能给玩家多少个选项？每个选项背后的逻辑写到多细？传统的此类游戏开发通常需要一个庞大的文案和剧情走向设计团队，作为个人开发者的我来说，几乎不可能独立完成。

但大语言模型的出现，使得此类游戏有了新的方向可能，并且大大降低了开发门槛。我把这个新的方向暂时叫做开放决策游戏。（注意和开放世界游戏区分：开放世界扩展的是玩家的行动半径——你去哪、你怎么探索；开放决策扩展的是玩家的意图输入带宽——你怎么想、你怎么告诉电脑。两者不是替代关系，而是在不同维度上做了不同的事。）

传统策略游戏的事件交互逻辑是：系统给你 A/B/C，你在预设选项里选一个，然后系统会根据当前的世界状态和你做出的选项决策进行一些开发者设定好的数值计算，并将更新后的数值映射回世界状态。玩家的自由度，本质上是设计者提前划好的选择空间。

开放决策游戏要改变的是这个起点：

• 事件出现时玩家直接用自然语言表达应对该事件的意图（当然系统也可以给一些已经写好的选项来简化玩家的决策）
• LLM 对意图进行推演，判断它在当前世界状态下的合理性与后果
• 引擎把推演结果转成结构化状态变化并回写世界

比如玩家不再只能点"加税方案 2"，而是可以直接输入：
"江南先试税，北地缓征半年，先稳民心再补国库。"

这一句里包含了地域差异、时序安排、优先级取舍——传统选项设计里需要三四步才能表达，甚至根本表达不了。

这个系统对推理和记忆的需求，和 OpenClaw 的两个核心价值正好对上：

• 每一轮玩家输入都要经过语义推演，高频推理是刚需，成本必须可控
• 游戏世界有历史，政策有后果，人物有记忆——叙事连续性不能靠每轮重新喂历史来维持，必须有一套持久记忆机制承载它

普通的无状态大模型API调用解决不了这两个问题。OpenClaw 能接入低成本的Coding Plan，同时它具备落盘记忆机制，使得它非常适合作为开放决策游戏的后端引擎。

当然我本人并非专业的游戏开发者，对于游戏开发的认识也很粗浅，以上看法仅仅是我目前阶段的一个初步想法和判断。

尾声

总的来说，尽管OpenClaw号称可以帮你代理操作电脑，但现在还不是一个适合大众使用的成熟方案，我不反对"电脑代理"这个未来，只是觉得现阶段还不到时候。

与其等它成熟，不如先找到它今天真正能稳定发挥的位置。对我来说，这个位置是开放决策游戏的推理与记忆层——一个我自己想玩、也想做出来的东西。

后续我会继续记录这个项目的进展，感兴趣的可以关注。