你有没有发现,每一轮AI热潮的传播路径都长得差不多?
先是一小撮技术极客在社交媒体上晒出令人窒息的操作截图,然后科技媒体跟进放大,紧接着各种"保姆级教程"和"五分钟上手指南"铺天盖地,最后是你的朋友、你的同事、你朋友圈里平时连App更新都懒得点的那个人,突然转发了一条"不会用XX你就落伍了"。DeepSeek的时候是这样,现在轮到OpenClaw,剧本又演了一遍。
但这次的剧本里多了一些以前没有的东西。和那些注册一个账号就能用的聊天机器人不同,OpenClaw是一个需要你自己搭环境、自己跑起来、自己承担一切后果的开源Agent框架。
它的上限确实很高,高到让人觉得未来已来。可它的门槛、账单和风险,同样高到足以让大多数普通用户在"未来"到来之前先把自己绊一个跟头。
今天这篇文章只想做一件事:在所有人都在喊"冲"的时候,帮你踩一脚刹车,认真算算吃上这只龙虾的真实代价。
第一道坎:请龙虾进门就不容易
想完整体验OpenClaw,你首先得有一台能长时间开机联网的设备。
创始人Peter Steinberger自己就是拿Mac Mini做日常Agent机器的,这个细节被圈内人反复传播之后,苹果这台小主机几乎被抢成了理财产品——电商平台上一机难求,官网排队发货要等一个多月,甚至有人在闲鱼上做起了"按月出租Mac Mini"的生意。
觉得买硬件太重,也可以租云服务器,国内几家头部云厂商都推出了一键部署的方案,每月花费从几十元到上百元不等;Kimi Claw、MaxClaw、AutoClaw这类托管平台也在抢着做"拎包入住"的生意。看起来,上手的路径似乎越来越短了。
但真正动手的人都知道,路径短不等于路好走。OpenClaw对运行环境有一套相当刁钻的依赖要求,尤其是Node.js的版本兼容问题,几乎成了新手劝退的第一面墙。
大量用户满怀期待地照着教程一步步操作,结果通宵下来只收获了一屏红色的报错信息。
这份挫败感是有商业价值的——"代装OpenClaw"已经成了一门生意,国内线上远程安装收费几十元起,如果要上门服务价格普遍在五百到一千五百元之间。
更夸张的是海外市场,一家叫SetupClaw的网站把这项服务定价到了三千至六千美元。龙虾的味道还没闻到,光是把锅架好就已经开始烧钱了。
第二道坎:龙虾进了门,账单停不下来
就算顺利装好了,真正的花销才刚刚开始。过去我们用ChatGPT、Kimi这类产品,付费逻辑很简单:按月订阅,一问一答,花多少钱心里基本有数。
但Agent是另一套经济模型。它并不是等着你提问才动,而是一旦启动就开始自主行动——抓取网页、调用外部工具、翻阅本地文件、碰到错误还会自动重跑。每一个动作的背后,都是在消耗计费的token。
OpenClaw的文档对此毫不遮掩:除了大模型生成回复本身的开销之外,上下文中的系统配置、工作区文件、工具调用记录、历史对话的摘要压缩,全都要占用token额度。
任务一复杂,对话轮次一多,费用曲线会陡峭得超出预期。拿今年三月的API定价粗算一笔账:如果你用Claude Sonnet驱动OpenClaw,一个月下来输入输出各消耗一千万token,光模型调用费就在百美元量级。
要是真把它当作不下班的数字助理、跑一些需要高阶推理能力的复杂任务,每月花掉上千美元完全有可能。社交媒体上"月薪两万养不起一只龙虾"的自嘲,背后是有真实账单支撑的。
而且别忘了,OpenRouter公布的数据显示,全网每周处理的token总量已经从6.4万亿飙升到13万亿。
在这场盛宴里,卖铲子的永远比挖矿的先赚到钱——AI厂商和云服务商稳赚不赔,知识付费博主靠教程和课程收割流量,唯一承受全部成本和不确定性的,是终端的普通用户。
第三道坎:安全雷区,专家也会翻车
假如你财力充沛,觉得烧点token不算什么,那安全层面的隐患恐怕才是最值得认真对待的问题。
微软的安全研究团队曾发出过一个措辞严厉的警告,大意是OpenClaw这类工具本质上相当于一个长期持有你系统凭证的、不受信任的代码运行器,不应该直接部署在你日常使用的电脑上。
它同时拥有很高的系统权限、很广的网络连接能力、很强的自动化执行力度——这三个属性叠加在一起,天然就是一个高危组合。然而大多数用户装它的时候,心态和装一个普通桌面应用没什么区别。
后果也确实不乐观。根据Shodan的扫描数据,全球有十几万台跑着OpenClaw的机器直接挂在公网上,没有做任何身份验证。
国内工信部也就此发过专项预警,核心风险在于OpenClaw的网关默认不校验请求的来源身份,这意味着你在浏览器里不小心点开一个恶意页面,对方就有可能借助本地端口拿到Agent背后的完整控制权。
还有一类风险发生在你装OpenClaw之前。Huntress的安全研究人员发现,有攻击者趁着这波热度在GitHub上传了伪造的安装程序,里面捆绑了窃取浏览器凭证的木马和用于搭建匿名代理的后门程序。
甚至连搜索引擎的付费广告位都被用来给这些假安装包导流,前后存活了大约一周才被平台发现并下架。
OpenClaw的插件市场ClawHub同样不太平,有安全审计报告指出,其中大约十分之一的第三方Skill存在恶意行为,外表看是加密行情助手或视频下载工具,实际上在后台静默读取用户的SSH私钥、浏览器存储的密码和各类API凭证。
这些插件通常以纯文本格式存储,非专业人士几乎没有能力甄别。如果你的OpenClaw是找人代装的,那中间经手了什么、有没有被顺手加料,就更难说清楚了。
或许有人会觉得,只要自己技术过硬,这些坑都可以绕过去。但Meta负责AI安全研究的总监Summer Yue的遭遇恐怕要打破这种信心。
她把工作邮箱交给OpenClaw处理后,Agent突然开始批量删除邮件,而且完全无视了她连续发出的停止指令,最后她只能直接拔掉电源线才把事态控制住。
事后分析发现,问题出在OpenClaw处理长上下文时的压缩策略——当邮件数据量过大时,系统为了节省token,自动丢弃了她事先写好的"未经确认不得执行"的安全规则。
换句话说,这套系统的优先级设计里,"省资源"排在了"听用户的话"前面。一位以AI安全为职业的资深专家在自己的专业领域里都没能及时踩住刹车,普通用户在面对同一套机制时能有多少胜算,答案不言自明。
第四道坎:焦虑本身也是一种成本
归根结底,推动大多数人急着上车的,与其说是明确的使用场景,不如说是一种弥漫的落伍恐惧。
AI领域似乎每隔几个月就要制造一次这样的集体紧迫感,去年是DeepSeek,今年轮到了OpenClaw,下一个是谁目前还不知道,但可以确定的是,它一定会来。问题在于,不断追逐新工具这件事本身,可能正在反噬我们的效率。
哈佛商业评论今年三月发布了一项覆盖近一千五百名全职员工的调查研究,结论颇为反直觉:当一个人同时依赖三个以上的AI工具时,其工作产出不升反降。
研究团队给这种现象起了个名字叫"AI认知过载",具体症状包括持续的注意力分散、难以做出决策、以及挥之不去的脑雾感。更值得警惕的是,处于这种状态下的员工,想要辞职的倾向比同事们高出将近四成。
追着AI跑得最快的那批人,有时候反而最先被跑出的惯性甩下来。
所以冷静下来想想,OpenClaw偶尔拿来尝个鲜、处理一些高价值但不需要天天跑的特定任务,花费和风险都还在可接受的范围内。
一旦你试图把它打造成全年无休的私人助理,钱包、安全和精力上的代价都会加速膨胀。对绝大多数普通用户而言,与其现在就冲进场做第一批试验品,不如多一点耐心,等这个品类再迭代一两轮,等产品更成熟、价格更合理、安全机制更完善的时候再入局。
