# OpenClaw 過氣了嗎？2026 年 4 月本地 AI Agent 生態的真實現況  前幾天一個朋友 LINE 我，劈頭就問： > 「欸，OpenClaw 是不是過氣了？我去年底跟風裝了一個，現在打開 Twitter 全在罵它不安全，GitHub 還在更新但好像風向變了，我到底要不要繼續用？」 這問題看起來只要回答 yes/no，但我認真查完才發現，答案比我想像的複雜很多。如果你去年 11 月到今年 1 月之間，跟著朋友、跟著 YouTube 影片、或是跟著 Hacker News 的熱度裝過 OpenClaw，那這篇就是寫給你看的。 我花了一個下午把 2025-11 到 2026-04 之間的時間線整個重建一次，交叉比對了 TechCrunch、Reuters、Forbes、Ars Technica、Cisco 研究團隊、Meta 洩漏訊息、還有 NVIDIA GTC 2026 的官方發表。結論一句話先講： **OpenClaw 沒有過氣，但它作為「唯一答案」的時代在 2026 年 Q1 結束了。** 後面這幾千字就是把這句話拆開解釋清楚。 ## 先看硬數據：它到底有多熱 我必須承認，動筆之前我也以為 OpenClaw 早就涼了。畢竟這幾個月翻 Twitter 都是在罵它，偶爾還會看到「已解除安裝」的截圖炫耀文。但真的把 star 曲線拉出來看，臉就腫了。 - **發佈日期**：2025-11，原名 *Clawdbot*，後來改名 *Moltbot*，現在統一叫 *OpenClaw*。 - **60 天突破 335,000 stars**：[Star History 官方認定](https://www.star-history.com/blog/openclaw-surpasses-react-most-starred-software)%E5%AE%83%E5%9C%A8 60 天內打破了 React 累積 10 年的紀錄，成為 GitHub 史上 star 最多的非 aggregator 軟體專案。 - **最新版本**：**2026.4.5**，大約在 4 月 5 日釋出，還是很大的更新。 - **社群**：r/openclaw、r/clawdbot 仍然在活動，CNBC、TechCrunch、Forbes 幾乎每週都有新的報導角度。 [LowTouch 的產業分析](https://www.lowtouch.ai/openclaw-github-stars-agentic-ai-history/)裡有一句話我印象很深：「第二名的星數只有 OpenClaw 的五分之一」。這個數字什麼意思？它意思是在「本地 AI agent runtime」這個類別裡，OpenClaw 不是第一名，而是**唯一一個有討論度的**。 所以「過氣」這個詞如果是指「沒人討論、沒人下載、沒人更新」，那答案明確是**否定**的。 但如果「過氣」是指「它不再是所有人無腦推薦的預設選擇」，那答案就是**完全正確**。 ## 第一件轉折事件：那個寫它的人已經不寫了  2026-02-15 是整件事情的轉捩點。那天週末，Sam Altman 在 X 上[發了一則貼文](https://x.com/sama/status/2023150230905159801)：「Peter Steinberger is joining OpenAI to drive the next generation of personal agents.」 這件事 TechCrunch、Reuters、Forbes 全部在 24 小時內跟進： - [TechCrunch](https://techcrunch.com/2026/02/15/openclaw-creator-peter-steinberger-joins-openai/) 引述 Steinberger 自己的部落格文章：「我本來可以把 OpenClaw 變成一間大公司，但這對我來說不夠有趣。」 - [Reuters](https://www.reuters.com/business/openclaw-founder-steinberger-joins-openai-open-source-bot-becomes-foundation-2026-02-15/) 確認 OpenClaw 本身會轉交給一個基金會繼續維護，OpenAI 承諾持續支援。 - [Forbes](https://www.forbes.com/sites/ronschmelzer/2026/02/16/openai-hires-openclaw-creator-peter-steinberger-and-sets-up-foundation/) 的標題解讀直接：「OpenAI hires OpenClaw creator and sets up foundation.」 對開發者圈很熟的人可能還記得，Peter Steinberger 之前就是寫 **PSPDFKit** 出名的奧地利工程師，後來把那間公司賣掉後跑去做 Clawdbot→Moltbot→OpenClaw 這條線。他不是寫一寫就丟著不管的人，是整個 OpenClaw 的產品直覺來源。 這個人走了，而且走進 OpenAI。這意味著兩件事： 第一，**OpenClaw 的產品方向決定權已經不在原作者手上**。以後的 feature 要不要加、架構要不要重寫、ClawHub 要不要改版，都是基金會委員會討論決定。這不是壞事——Linux、Kubernetes 都是這樣治理——但任何用過社群基金會模式的人都知道，變化速度會**直接砍半**。 第二，**OpenAI 在準備下一代個人 agent**。Sam Altman 自己說的，Steinberger 加入的目的就是主導「next generation of personal agents」。這個東西還沒發表，但它一旦發表，對 OpenClaw 的敘事衝擊會比任何 fork 都大——因為那是**原作者親自打造的 v2**，只是在 OpenAI 的閉源陣營裡。 ## 第二件轉折事件：資安危機不是小問題  如果你是在 2026 年之前開始用 OpenClaw 的，很可能你忽略了一件事：**ClawHub 上的每個 skill 都是以你本機使用者的完整權限跑的**。這包含你的 SSH key、你的 AWS/GCP credential、你的 `~/.netrc`、瀏覽器 cookie、甚至你當下正在編輯的原始碼。 Q1 就是這個架構被攻擊者發現有多好玩的一季。 | 事件 | 時間 | 關鍵數據 | |---|---|---| | [Cisco AI Threat Research 警告 skill 漏洞](https://blogs.cisco.com/ai/personal-ai-agents-like-openclaw-are-a-security-nightmare) | 2026-01-28 | 31,000 個 skill 樣本中 **26% 含漏洞** | | Snyk 揭露 API key 外流 | 2026-Q1 | **283 個 skill** 明文外洩 API key | | Koi Security *ClawHavoc* 供應鏈攻擊 | 2026-Q1 | 累計約 **900 個惡意/危險 skill** | | [r/MachineLearning 18,000 實例掃描](https://www.reddit.com/r/MachineLearning/comments/1r30nzv/d_we_scanned_18000_exposed_openclaw_instances_and/) | 2026-02 | **15% 社群 skill 含惡意指令** | | [Meta 內部禁用](https://www.cnbc.com/2026/02/02/openclaw-open-source-ai-agent-rise-controversy-clawdbot-moltbot-moltbook.html) | 2026-02 | 高層要求團隊不得安裝，違者得走人 | | [Ars Technica：「建議假設你已被入侵」](https://arstechnica.com/security/2026/04/heres-why-its-prudent-for-openclaw-users-to-assume-compromise/) | 2026-04-03 | Dan Goodin 長文報導 | | [Immersive Labs：立刻解除安裝](https://www.immersivelabs.com/resources/c7-blog/openclaw-what-you-need-to-know-before-it-claws-its-way-into-your-organization) | 2026-Q1 | 企業用戶明確下架建議 | 這些報導我都從頭到尾看過，**最讓我寒毛豎起來的是 Ars Technica 那篇 4 月 3 日的文章**。Dan Goodin 是資安圈的老手，他不是那種會寫標題黨的作者，他說「建議假設你已被入侵」表示他真的看過 telemetry 認為這是合理的假設。 問題的根源其實不複雜：**ClawHub 是一個未經審核的軟體供應鏈**。任何人都可以上架 skill，任何人安裝之後就等於授權那個 skill 在你機器上做任何使用者層級的操作。這和 2017 年的 npm typosquatting、2021 年的 PyPI 供應鏈事故本質完全一樣，只是這次的「套件」多了一層 LLM 自然語言包裝，聽起來無害而已。 OpenClaw 團隊已經開始整合 VirusTotal 掃描跟 skill 回報機制，但結構性問題——「預設跑在使用者權限」——沒解。而且這個風險對不同類型的開發者，威脅等級完全不一樣：一般前端工程師最多是 GitHub token 被偷；但如果你的開發機同時是公司裡那台「碰得到敏感資產」的機器——客戶原始碼、企業內網、生產系統憑證、甚至硬體開發工具——那**風險就從「洩漏」升級成「被當成跳板」**。 這就是為什麼 Meta 會直接在內部下禁令。 ## 第三件轉折事件：生態系長出三條新路線  前面說 OpenClaw 沒過氣，是真的。但有趣的地方在於，Q1 整個 fork 生態系爆炸性展開，現在「本地 AI agent」這個位置已經不再等於 OpenClaw 了。我把觀察到的 15 個左右的替代品分成三條路線，這個分類比單純列清單好用很多。 ```mermaid graph LR A[OpenClaw<br/>335K stars] --> B[路線 A<br/>Tiny Claws<br/>輕量化直系 fork] A --> C[路線 B<br/>企業殼層<br/>加 guardrail 不動核心] A --> D[路線 C<br/>Managed SaaS<br/>乾脆跳出本地] B --> B1[NanoClaw<br/>容器強制隔離] B --> B2[ZeroClaw<br/>3K 行・<10ms 開機] B --> B3[Nanobot<br/>4K 行 Python] B --> B4[OpenFang<br/>21.5K stars] C --> C1[NemoClaw<br/>NVIDIA 企業版] C --> C2[IronClaw<br/>FIPS/zero-trust] C --> C3[Cisco Skill Scanner] D --> D1[Taskade / Kimi] D --> D2[Vellum] D --> D3[Manus<br/>已被 Meta 收購] D --> D4[Perplexity Computer] ``` ### 路線 A：Tiny Claws（12 萬行程式碼瘦身到 3 千行） 這條路線的信念很簡單：**OpenClaw 程式碼太肥，砍掉 90% 只留核心還是可以跑**。[Gradually AI 的整理](https://www.gradually.ai/en/openclaw-alternative/)裡有個關鍵數據——OpenClaw 總程式碼超過 12 萬行，而 Nanobot 只有約 4 千行，ZeroClaw 大約 3 千行，功能卻沒少多少。 我個人最有興趣的是兩個： - **NanoClaw**：VentureBeat [報導過](https://www.aimagicx.com/blog/openclaw-alternatives-comparison-2026)它的定位——強制容器隔離、權限閘、審計日誌。根本就是為了回應前一段那個資安地獄寫出來的。 - **ZeroClaw**：單一 binary、開機時間 <10ms、極小 RAM。適合我這種會想在 Raspberry Pi 或甚至更小的 MCU gateway 上面跑 agent 的工程師。 其他像 NullClaw、PicoClaw、MimiClaw、GoClaw（Go 語言）、AtomClaw（TypeScript）各有各的利基，但共同點是**小到你可以一個下午審完整個 codebase**。這個性質對資安保守的團隊極度有吸引力。 還有一個比較特別的 **OpenFang**，[Till Freitag 的文章](https://till-freitag.com/blog/openclaw-alternatives-en)裡形容它是「agent 作業系統」，目前累積 21,500 stars，定位和其他 fork 不太一樣。 ### 路線 B：企業殼層——NemoClaw 登場 如果路線 A 是「砍小」，路線 B 就是「包大」。這條路線的代表就是 **NVIDIA 的 NemoClaw**，2026-03-17 在 GTC 由黃仁勳親自發表的。 NemoClaw 不是要取代 OpenClaw，而是**把 OpenClaw 變成可以在企業裡跑的版本**。[Forbes 的 Ron Schmelzer 寫得很到位](https://www.forbes.com/sites/ronschmelzer/2026/03/17/nvidias-nemoclaw-puts-safer-openclaw-at-the-center-of-agentic-ai/)：「NemoClaw puts safer OpenClaw at the center of agentic AI.」它提供 guardrail、監控、政策控制、合規稽核——就是 OpenClaw 完全沒有的那些企業 governance 工具。 關鍵技術點： - **硬體中立**：雖然 NVIDIA 做的，但 [官網](https://nemoclaw.bot/)明確寫了支援 AMD、Intel、其他廠商硬體。 - 深度整合 NVIDIA NeMo framework、Nemotron 模型系列、NIM 推論微服務。 - 開源。 為什麼 NVIDIA 要做這個？商業邏輯很清楚——它們要的不是拿 agent 本身的錢，而是**讓 agent 在企業大量跑起來所帶動的 compute 需求**。[buildmvpfast 的分析](https://www.buildmvpfast.com/blog/nvidia-nemoclaw-enterprise-ai-agent-framework-2026)直接點破這個動機。 除了 NemoClaw，這條路線還有一個 **IronClaw**（FIPS 認證密碼學 + zero-knowledge 架構，金融/國防方向），以及 Cisco 自己開源的 [Skill Scanner](https://github.com/cisco-ai-defense/skill-scanner)。 ### 路線 C：乾脆跳出本地 agent 典範 第三條路線最有殺傷力，因為它直接質疑整個 OpenClaw 的核心前提：**你確定使用者想當 sysadmin 嗎？** [Vellum 的比較文章](https://www.vellum.ai/blog/best-openclaw-alternatives)裡列出的清單看得出來這個陣營的規模： - **Taskade / Kimi Managed**：SOC 2 合規、零設定、完全雲端托管 - **Vellum**：本地 + 雲端混合，宣稱有 process-isolated trust engine 跟原生 macOS 桌面控制 - **Manus**：最近被 **Meta 收購**進入大資源戰 - **Perplexity Computer**：Perplexity 的 agent 版本 - **OpenCode**：開源 coding agent，直接對打 Claude Code 和 Cursor Agent 這條路線的論點很直接：絕大多數「想要 AI 幫忙做事」的人根本不想維護主機、沙箱、API quota、skill 權限。他們要的是打開瀏覽器、登入、開始用。OpenClaw 的流量會被這條路線吃掉一大塊長尾用戶，只剩真正的 power user 留在本地陣營。 ## 我會怎麼選？給工程師的實戰建議 講完生態系，回到最實際的問題：**你應該用什麼？** 這張表是我整理給自己看的，從最輕量的情境往下排： | 你的情境 | 我的建議 | 原因 | |---|---|---| | 純粹好奇、只想玩玩 | **Nanobot** 或 **ZeroClaw** | 程式碼少、一下午可以審完，風險可控 | | 想要完整功能但有點資安意識 | **NanoClaw** 或 **OpenClaw + Docker** | 強制容器隔離是底線 | | 主力開發機碰得到敏感資產 | **絕對不要裸跑** | 用 VM 或乾脆另一台專屬機器 | | 公司要評估導入 | 等 **NemoClaw 穩定版**，或走 managed | Governance 是硬需求，不是 nice-to-have | | 只是想要 LLM 幫寫 code | **Claude Code / Cursor / Perplexity Computer** | 不要重新發明輪子 | | 想觀察未來走向 | 盯 **Peter Steinberger** 在 OpenAI 的動靜 | 那才是真正的 v2 | 我自己的選擇：**主力機完全不碰裸 OpenClaw**，因為工作機上同時有客戶原始碼和授權檔，風險根本不能承擔。玩的話我會用 Nanobot，在一台 Mac Mini 上跑，網路隔離到只能連 LLM API。企業場景我會等 NemoClaw 到 GA，同時觀察 OpenAI 那邊會發表什麼。 ## 一個比較冷的觀察：這個故事本質上很 Linux 寫到這邊我才意識到，2026 Q1 發生的這些事情其實和 1990 年代 Linux 的故事線條很像： ```mermaid timeline title OpenClaw 的 2025Q4 — 2026Q2 時間線 2025-11 : Clawdbot 發佈 : 早期 adopter 嘗鮮 2025-12 : 改名 Moltbot : 爆紅開始 2026-01 : 改名 OpenClaw : Cisco 警告 skill 漏洞 2026-02 : 突破 React star 紀錄 : Meta 內部禁用 : Steinberger 加入 OpenAI 2026-03 : NVIDIA GTC 發表 NemoClaw : Tiny Claws fork 群爆發 2026-04 : Ars Technica 建議假設被入侵 : OpenClaw 2026.4.5 釋出 ``` 一個怪才工程師寫了個病毒式開源專案 → 大公司挖角原作者 → 專案轉交基金會 → 企業級公司做 guardrail 版本 → 商業 SaaS 平台吃下使用者層 → 原專案繼續活、但定位從「唯一答案」變成「生態系底層」。 這幾乎就是 Linux 從 Linus Torvalds 個人專案轉型到 Linux Foundation + Red Hat + Ubuntu + AWS 的壓縮版。差別只在於 OpenClaw 用了 60 天走完 Linux 用了 15 年的過程。 所以回到朋友問我的那個問題：**它過氣了嗎？** 不，它只是長大了。但長大的代價是它不再是那個「安裝就有、開箱即用、所有人都在推」的神話專案。它變成一個**需要你真的理解資安、理解架構、理解自己用什麼 fork 的正常基礎設施**。 如果你之前是因為「大家都在用」而跟風裝的，現在大概就是拔掉的好時機。如果你是因為真的需要本地 agent 處理敏感任務，那麼看看 NanoClaw、等等 NemoClaw、或者乾脆去 follow OpenAI 下一代個人 agent 的消息。 這個領域在 Q2 還會繼續亂，但至少現在我們知道該看哪裡了。 --- ## 延伸閱讀 - [Star History：OpenClaw 超越 React](https://www.star-history.com/blog/openclaw-surpasses-react-most-starred-software) — Star 曲線圖與歷史對比 - [Ars Technica — Dan Goodin 深度報導](https://arstechnica.com/security/2026/04/heres-why-its-prudent-for-openclaw-users-to-assume-compromise/) — 為什麼應該假設已被入侵 - [Cisco AI Blog：Personal AI Agents Are a Security Nightmare](https://blogs.cisco.com/ai/personal-ai-agents-like-openclaw-are-a-security-nightmare) — 供應鏈風險的結構性分析 - [Immersive Labs：Why You Should Uninstall OpenClaw](https://www.immersivelabs.com/resources/c7-blog/openclaw-what-you-need-to-know-before-it-claws-its-way-into-your-organization) — 企業視角的風險總覽 - [CNBC：Clawdbot 到 Moltbot 到 OpenClaw](https://www.cnbc.com/2026/02/02/openclaw-open-source-ai-agent-rise-controversy-clawdbot-moltbot-moltbook.html) — 整段演化故事 - [TechCrunch：Steinberger joins OpenAI](https://techcrunch.com/2026/02/15/openclaw-creator-peter-steinberger-joins-openai/) — 原作者離場聲明 - [Forbes：NVIDIA NemoClaw 定位分析](https://www.forbes.com/sites/ronschmelzer/2026/03/17/nvidias-nemoclaw-puts-safer-openclaw-at-the-center-of-agentic-ai/) — 企業級方案拆解 - [Gradually AI：10 Best OpenClaw Alternatives](https://www.gradually.ai/en/openclaw-alternative/) — Tiny Claws 完整清單 - [LowTouch：OpenClaw 60 天破 335K stars 分析](https://www.lowtouch.ai/openclaw-github-stars-agentic-ai-history/) — 熱度與歷史座標 --- *本文根據 2026-04-11 的公開資料彙整。AI agent 領域變化極快，建議閱讀時先看各引用來源的最新更新。如果你是在企業環境評估這類工具，至少要跟資安團隊拉一次會議再決定。*