从「养虾」到「卸虾」:一个 AI 产品的定位危机
它不知道自己应该被谁使用、用来做什么、在什么场景下是安全的。于是每一个参与者都按自己的理解填补了这个空白。
一、一周反转
2026 年 3 月的第二周,中国互联网发生了一件有意思的事。
闲鱼上,“OpenClaw 上门安装”的商品还没下架,“OpenClaw 上门卸载”的服务就已经挂了出来。据界面新闻报道,卸载服务报价从 15 元到 299 元不等——有计算机博士生挂出 80 元远程操作的链接,也有人在小红书上标价 99 元承诺”彻底卸载,清理所有残留”1。而在此前一周,安装服务的报价还是 500 元起步。
OpenClaw 是一个开源 AI Agent 框架,因为图标是一只红色龙虾,被中文互联网昵称为”小龙虾”。它能接管用户的电脑,通过聊天软件接收指令,自主完成文件管理、代码编写、邮件处理等任务。GitHub 上 25 万星标,超越了 React,成为平台历史上增速最快的开源项目2。黄仁勋在摩根士丹利大会上称其为”历史上最重要的软件发布之一”3。
然而在中国市场,这个”历史上最重要的软件”正在经历一种近乎荒诞的生命周期——花 500 块请人装上,用了三天,再花 15 块请人卸掉。
这不是一个”产品不好所以卸载”的故事。作为 OpenClaw 的日常使用者,我清楚它的技术理念是成立的,开发者生态是活跃的——十几家大厂争相入局本身就说明了它的价值。真正出问题的是产品定位,或者更准确地说,是一个从未被确立的定位空白,被各方力量以各自的方式填满了。而这些填充之间的矛盾,最终在一周之内集中爆发。
二、三层定位,从未对齐
分析这件事需要区分三个视角。它们对 OpenClaw 的理解几乎完全不重叠。
创造者视角:这是基础设施
Peter Steinberger 做 OpenClaw 的出发点很明确:给懂技术的人造一个本地优先的 AI Agent 框架。
从产品的设计决策可以看出这个定位。安装方式是 npm install,假设用户懂命令行。配置文件是 JSON,需要手动编辑字段。权限模型是全有或全无的设计——要么给它完整的系统权限,要么它什么也做不了。整个产品假设用户理解自己在授权什么、能承担什么后果。
官方 Discord 里有维护者说过一句话,本身就说明了问题:
“If you can’t understand how to run a command line, this is far too dangerous of a project for you to use safely.”4
OpenClaw 的自我定位是 Linux 级别的基础设施。这个定位在开发者社区完全成立——25 万星标中最早的那批,大概率都是知道自己在做什么的开发者和技术爱好者。但随着大厂入场和社交媒体传播,后续涌入的大量用户并不具备同样的技术背景,而他们接收到的信息,描绘的是一个完全不同的产品。
市场视角:这应该是消费级产品
从 1 月底开始,三股外部力量同时改写了 OpenClaw 的定位。值得注意的是,这三股力量都不是 OpenClaw 自己发起的——是生态里的其他参与者,把一个开发者框架渲染成了”人人可用”的消费级产品。
第一股是云厂商的平台战争。 阿里云一键部署、腾讯 QClaw 一键启动包、字节 ArkClaw、百度 DuClaw、小米 miclaw——13 家大厂在两个月内全部入局5。它们传递的信号高度一致:“人人都能用。“腾讯说”一键部署,微信遥控”,阿里说”每天限量 9.9 元”,百度说”新用户免费体验 10 天”。
这些话术把一个开发者框架重新包装成了消费级服务。大厂的动机不难理解——它们在抢 AI Agent 生态的流量入口,谁先把 OpenClaw 包装成自己平台的一部分,谁就占住了位置。但它们解决了”装上去”的环节,没有同步解决”用得了”和”用得安全”的环节。
3 月 6 日,腾讯在深圳总部举办免费安装活动,近千人带着电脑排队6。马化腾在朋友圈转发相关新闻,感慨”没想到这么火”。但一个值得追问的问题是:排队的人里,有多少人理解他们即将在电脑上安装的东西意味着什么?
第二股是”养虾” meme 的传播力。 从产品定位角度看,“养虾”这个词做了一件极其强大又极其危险的事——它把一个技术工具变成了一种社交行为。“养”暗示情感连接和长期陪伴,“虾”把技术感消解了。没有人会说”我今天部署了一个分布式 Agent 框架”,但”我今天养了只虾”说起来毫无门槛。
一旦叙事变成”你有没有养虾”而不是”你需不需要 Agent”,决策逻辑就完全变了。这不再是理性的需求评估,而是社交货币的积累——跟当年抢购 Switch 健身环是同一个心理机制。
第三股是围绕 OpenClaw 自发生长出来的一整条产业链。 品玩的报道用了一个贴切的说法——“每一次 AI 刷屏,闲鱼上的卖铲人都比你先到”7。这条产业链的层次比”安装服务”丰富得多:底层是代安装,最早报价 500 元一台,包系统配置、模型部署和基础指导,有人声称几天赚了 26 万(数字未核实)8;中间层是付费社群,99 或 199 元进群手把手教安装,内容和 B 站免费视频差别不大;上层是定制服务,闲鱼有人挂出”OpenClaw 股票交易系统”标价 5 万,GitHub 上完全免费的 skill 到了闲鱼能标出五位数价格;小红书上 9.9 元的”保姆级安装课”也在批量复制。海外更夸张——一个叫 SetupClaw 的平台直接挂出价目表,旧金山湾区上门安装 6000 美元7。
这条产业链的每一层都由信息差和焦虑驱动。社交媒体上铺天盖地的”不学就被淘汰""错过这波就没有下一波”,制造的是 FOMO 情绪而非真实需求7。而卖铲人的利润来自安装量而不是留存率,没有人有动力告诉用户:装完只是故事的开始,后面每天 10 到 30 块的 API 费、学习配置的时间成本、维护排错的精力投入,才是真正的大头。
三股力量叠加的结果是:大量用户跳过了”我为什么需要它”和”我能不能驾驭它”这两步,直接进入了”我拥有它”。 而推动他们跳过这两步的,不是 OpenClaw 自己,是那些把框架渲染成消费品的参与者。
用户视角:我以为它是 Jarvis
当一个普通用户听到”AI 助手,能帮你发邮件、写代码、管文件、24 小时在线”,脑子里浮现的参考系是钢铁侠的 Jarvis——无需说明书、开箱即用、永远理解意图、绝不犯错。
实际到手的则完全不同。差评 X.PIN 的文章描述得很准确:“刚装好的 OpenClaw,只有一个名叫 Soul.md 的文件是完整的,限定了最底层的底线:温和、友善、别干坏事。除此以外,它什么都不知道。”9 这是一个纯白板程序,连自己是谁都需要用户去定义。
降噪 NoNoise 的访谈提供了几个有代表性的案例10。一位律师花了 7 个小时才跑通安装流程——一边用 Coze 写代码一边让 GPT 解 Bug。一个产品经理用了几周才把 Agent 调教到能用的状态,每月花费几百美元 token 费,自嘲是”贷款上班”。还有人在深度使用后退回了”半自动”模式——人在电脑前的时候,觉得直接调大模型比通过 Agent 中转更快。
更多人可能在第一天就遇到了 Node.js 版本冲突或 API key 配置错误,然后再也没有打开过终端。
用户期望的是成品,拿到的是需要自己完成最后 80% 工作的开发套件。这个落差,才是后面所有问题的起点。
三、信任的崩塌
如果只是”不好用”,大多数用户的反应是搁置不管而不是主动卸载。真正引爆恐慌卸载的,是信任链条的连续断裂。
第一环断裂的是技术信任。 2 月下旬,Meta 超级智能实验室的对齐与安全总监 Summer Yue 在 X 上分享了一段经历:她让 OpenClaw 帮忙整理邮箱,特意叮嘱”只看不操作”。结果邮件太多触发了上下文压缩,模型在压缩过程中把”只看不操作”的指令丢了,然后开始删除她的旧邮件。手机端无法停止操作,她只能跑到 Mac mini 前面物理断电。“I had to RUN to my Mac mini like I was defusing a bomb”,她写道11。
这个故事在全球科技媒体上被广泛报道。它的杀伤力在于一个简单的推理——如果连 Meta 的 AI 安全总监都控制不住 Agent,普通人怎么可能安全使用?
技术层面的问题远不止这一个。安全研究机构陆续公开了一系列发现:SecurityScorecard 扫描出 13.5 万个 OpenClaw 实例暴露在公网上,其中 5 万多个存在远程代码执行漏洞12。ClawHub 技能市场上超过 820 个恶意插件,约占整个市场的 20%,主要用于部署 macOS 信息窃取器13。3 月 8 日,JFrog 发现了名为 GhostClaw 的恶意 npm 包,伪装成 OpenClaw 安装器,实际窃取系统密码、SSH 密钥、浏览器密码甚至加密货币钱包助记词14。
第二环断裂的是权威信任。 3 月 8 日,工信部网络安全威胁和漏洞信息共享平台发出安全预警15。3 月 10 日,国家互联网应急中心(CNCERT)发布正式风险提示,新华网和央视同步转发16。提示点名了四类风险:提示词注入、误操作、插件投毒、安全漏洞。
对中国用户来说,官方警告的效力几乎是核弹级的。此前大厂背书建立的安全感——“腾讯都在推,肯定靠谱”——瞬间反转为”连国家都说不安全了”。
第三环断裂的是社交信任。 “有人的邮件被 AI 删光了”这类故事在朋友圈和群聊中快速传播。这些故事不需要发生在传播者本人身上,也不需要完全准确——它只需要可信就够了。大多数用户本来就不理解 OpenClaw 在后台做什么,任何负面叙事都无从反驳。
三环断裂之后,用户面临的决策变得很简单:安装 OpenClaw 的收益是模糊的(“可能有用”),不卸载的风险是具体的(“可能泄露密码”)。 当收益模糊而风险具体时,损失厌恶会驱动绝大多数人选择消除风险。加上卸载成本(15 元)远低于安装成本(500 元),决策摩擦几乎为零。
四、一个品类的困境
如果只是分析 OpenClaw 自身的问题,上面三节的叙述已经足够。但这件事指向的东西比一个产品的得失更深——AI Agent 作为一个产品品类,有一些结构性的定位困难,不会因为某一款产品做得更好就自然消失。
首先是权限悖论。 Agent 有用是因为它有权限——能帮用户发邮件,是因为被授权了访问邮箱;能帮用户管文件,是因为拿到了文件系统的读写权。能力和风险是同一枚硬币的两面。传统软件的定位边界是清晰的,Photoshop 修图,Excel 算表,用户知道它们不会做什么。但 AI Agent 的价值主张是”什么都能做”——而”什么都能做”的另一面是”什么都可能做错”。一个无法被简洁定位的产品,就注定会被不同的人以不同的方式理解,也误解。
然后是信任的冷启动问题。 工具的心智模型是”拿起→用→放下”,用户全程有控制感。Agent 的心智模型更接近”雇一个人→给任务→它自己决定怎么做→你验收结果”,这需要信任,而信任需要时间积累。但 OpenClaw 需要在第一天就获得系统级权限才能工作,缺少”先做点小事、确认没问题、再给更多权限”的渐进路径。2026.3.2 版本试图修正这一点,把默认的 tools.profile 收紧为 messaging 模式,屏蔽了文件操作和命令执行等高风险功能17。方向是对的,但来得太晚,执行方式也过于粗暴——老用户升级后所有功能突然失效,掘金上”升级后傻得一批”的吐槽被广泛传播。
还有 token 的隐性成本。 “开源”和”免费”是两个不同的词,但大多数非技术用户会把它们画等号。OpenClaw 框架本身是免费的,但运行它需要持续付费购买大模型的 API token。有人两周花了 254 美元,有人一个月 800 美元18——这不是极端使用场景,而是正常使用的开销。默认配置下,光是心跳机制(每半小时让 Agent 检查一次状态)就能消耗大量 token19。如果在一开始就明确传达”这是一个每月需要投入几十到几百美元的服务”,用户的预期会完全不同。但”开源免费”的叙事把这个信息遮蔽了,用户发现账单时感受到的不是”价格合理”,而是”被骗了”。
最后是开源产品的定位权悖论。 传统产品的定位由产品方控制——苹果决定 iPhone 是什么,通过营销、体验设计和封闭生态来统一用户认知。但 OpenClaw 是开源的,它的定位被分散到了无数第三方手里:大厂说它是”AI 助手”,闲鱼说它是”值得花 500 块装的东西”,小红书说它是”不装就落伍的社交货币”,工信部说它是”安全隐患”。每一个第三方都在用自己的利益框架重新定义 OpenClaw,而 OpenClaw 官方既没有能力也没有强烈动力去统一这些叙事——它是一个开源项目,不是一家要对用户负责的公司。如果你不定义自己,别人会替你定义;而替你定义的人,不一定跟你的用户利益对齐。
这些问题的共同根因
这四个问题看起来各自独立,但往下挖一层,根因是同一个:当前的大模型能力还不足以支撑 AI Agent 的终极承诺。
AI Agent 的终极目标是明确的——全托管。用户描述意图,Agent 自主规划、执行、纠错、交付结果。这个目标就在 AGI 的路线图上,方向没有问题。
但今天的模型还做不到。上下文窗口溢出会导致指令遗忘(Summer Yue 的邮件就是这么被删的),多步推理会累积误差,工具调用会产生幻觉,长时间自主运行会偏离初始意图。这些不是 OpenClaw 特有的工程 bug——换一个框架,底层模型一样,同样的问题依然存在。
工程层面的短板(错误恢复、成本控制、安全沙箱)可以持续迭代,OpenClaw 也确实在快速迭代。但模型能力是真正的瓶颈。当模型还无法可靠地完成全托管时,产品就必须基于这个现实来设计,而不是把终局愿景直接当作今天的卖点。
OpenClaw 的割裂在这里:它被生态里的参与者用终局的愿景做了今天的定位。 用户被”AI 替你干活”的承诺吸引来,却发现需要花大量时间教 Agent 干活、盯着它干活、收拾它干错的活。这不是 OpenClaw 做得不好——是整个品类在模型能力到达临界点之前,必然面对的结构性落差。而把这种尚在发育中的能力包装成成熟产品推向大众的,是围绕 OpenClaw 的那些云厂商、服务商和 meme 传播者。
五、三个判断
基于以上分析,有三个判断值得明确提出。
全托管会到来,但产品必须基于当下设计
模型能力在进步,上下文管理在改善,工具调用的可靠性在提升。全托管的 AI Agent 会实现,这是技术发展的必然方向。
但”方向正确”不等于”现在就能按终局来卖”。产品设计应该基于模型当前的能力边界来设定交互和预期,而不是用一个还需要数年才能成熟的愿景做今天的用户承诺。过度承诺带来的信任崩塌,比缓慢建立信任的代价大得多——“养虾”潮的一周反转,就是一个代价很高的案例。
大多数人需要的是封装后的产品,而不是框架本身
作为 OpenClaw 的日常使用者,我最近做得最多的事情是调试 bug、给代码打临时 patch、在 GitHub 上提 issue 和 PR。这不是个例——社区里大量用户有类似的反馈,但项目维护者人力有限,问题的发现、修复和发布周期跟不上用户涌入的速度。
这是一个还在快速发育中的开源项目的真实状态。它有扎实的架构理念,有活跃的生态,但作为产品,它还远不够成熟——bug 多,边界情况多,需要用户自己动手解决的问题多。对技术用户来说这是可以接受的成本,甚至是参与开源社区的一部分;但对那些被”人人可用”的宣传吸引来的普通用户来说,这就是灾难。
真正的解法不在于把框架本身改得更”用户友好”——加引导、加权限分层、加新手教程,这些能改善体验,但改变不了底层矛盾。普通用户需要的是封装后的产品。
这正是小米 miclaw、华为小艺 Claw、腾讯 QClaw 这些大厂衍生品在做的事。它们把 OpenClaw 的 Agent 理念封装进自己的系统生态里,用自己的安全策略、权限管理和用户体验包裹住底层框架。用户不需要碰命令行,不需要配 API key,不需要理解 token 是什么。
从这个角度看,OpenClaw 和这些封装产品之间的关系,可能类似于 Linux 和 Android——Linux 从来不是为普通人设计的,但 Android 是。Android 在 Linux 内核之上封装了一整套面向消费者的体验。OpenClaw 作为框架的价值,恰恰在于它可以被不同的团队封装成不同形态的产品,服务不同层次的用户。
企业场景必须画清边界
开源项目可以”自由使用,后果自负”——这是开源精神的一部分。前沿的、探索性的产品也不需要急着画边界,边界有时候会限制创新空间。
但一旦 AI Agent 进入企业的生产环境,边界就变成了硬性要求。个人用户的 Agent 犯错,最坏的情况是丢几封邮件或者多花几百块 token 费。企业环境里则完全不同——Agent 犯错的代价是商业数据泄露、合规事故、客户信任崩塌,甚至法律责任。
基于 OpenClaw 做企业产品的团队,需要在产品文档里把”不适合什么场景”写得跟”适合什么场景”一样清楚。在企业 AI Agent 领域,帮客户避开一个错误决策,可能比帮他做对十个决策更有价值。
结语
回到开头那个闲鱼的场景。
500 元安装,15 元卸载1。这个价格翻转乍看荒诞,但它其实是市场在用最直接的方式完成一次纠偏——500 元是错位预期的价格,15 元是回归清醒的价格。
这一轮”养虾”退潮之后,留下来继续用 OpenClaw 的,是那些从一开始就知道自己在装什么的人:有技术能力驾驭它的开发者,有明确场景需求的专业用户,有能力做二次封装的产品团队。而退出的大多数人,也不是输家——他们只是第一次用真金白银搞清楚了一件事:AI Agent 是什么,以及现阶段它还不是什么。
这可能是 15 块钱能买到的最有价值的认知。
张昊辰 (Astralor) & 霄晗 (🌸) · 2026.03.11
Footnotes
-
界面新闻报道《从 15 元到 299 元不等,第一批”养虾人”开始花钱请人卸载 OpenClaw》,2026 年 3 月 11 日。参见新浪科技转载。 ↩ ↩2
-
OpenClaw 在约 60 天内达到 250,000 GitHub 星标,超越 React 成为平台最受关注的软件项目。参见 byteiota 报道。 ↩
-
OpenClaw 官方 Discord 社区中维护者的发言。引用自 pbxscience 报道。 ↩
-
截至 2026 年 3 月 9 日,入局厂商包括腾讯、字节跳动、阿里巴巴、百度、小米、华为、荣耀、美团、京东、支付宝、微博、谷歌、英伟达等。参见36氪报道。 ↩
-
品玩报道《OpenClaw 最大的推手是闲鱼和小红书》,详细描述了代安装、付费社群、定制服务、焦虑驱动消费等完整产业链。参见 PingWest 品玩。 ↩ ↩2 ↩3
-
Summer Yue 于 2026 年 2 月在 X 上分享 OpenClaw 删除邮件事件。参见 Business Insider 报道、PCMag 报道。 ↩
-
SecurityScorecard STRIKE 团队 2026 年 2 月初的互联网扫描数据。参见 pbxscience 安全分析。 ↩
-
ClawHavoc 供应链攻击活动。参见 pbxscience 安全分析。 ↩
-
JFrog 安全团队 2026 年 3 月 8 日发现的 GhostClaw 恶意 npm 包。参见 JFrog 技术分析、The Hacker News 报道。 ↩
-
国家互联网应急中心(CNCERT)《关于 OpenClaw 安全应用的风险提示》,2026 年 3 月 10 日。参见新华网全文。 ↩
-
Reddit 用户调查数据。参见 r/PromptEngineering 讨论帖。 ↩
-
InsiderLLM 的 token 优化指南指出默认 OpenClaw 设置会将 60-80% 的 token 预算消耗在开销上。参见 InsiderLLM 指南。 ↩
文章分享
如果这篇文章对你有帮助,欢迎分享给更多人!
评论区
音乐
暂未播放