我要投稿

大厂现在更该做的是 Cowork，而不是一窝蜂 “虾化”

发布日期：2026-03-10 11:11:16 浏览次数： 1535

作者：大模型奇点说

微信搜一搜，关注“大模型奇点说”

2026 年 2 月以来，OpenClaw（俗称“龙虾”）在全球范围内掀起了一场自发式的“养虾”运动。一个开源的个人 AI 助手框架，仅在四个月内就收获了超过 25 万颗 GitHub 星标，甚至超越了 Linux 和 React，成为史上增长最快的开源项目之一。

从开发者社区的热推，到企业 IT 管理者的警觉，再到资本市场对“能干活”的 Agent 赛道的疯狂炒作，OpenClaw 的出现看似重新定义了 AI 能力的边界：

个人与企业可自托管的本地 Agent：它能在用户自己的电脑或服务器上运行，直接操控文件系统、浏览器、办公软件，实现真正的“系统级权限”。
即时通讯接入的便利性：通过 WhatsApp、Telegram、飞书、企业微信等 IM 工具即可与 Agent 对话，门槛极低。
开放的生态与技能库（ClawHub）：用户可安装上千个社区开发的 Skill，扩展 Agent 的功能边界。

然而，这种“火爆”背后却暗藏信息过载、安全风险与市场“休克”的隐患。

大厂现在更该做的是 Cowork，而不是一窝蜂 “虾化”

一、结论先行：为什么要“唱反调”

从目前中美大厂围绕 OpenClaw（“龙虾”）的截然不同反应看，我倾向于一个相对“逆风”的判断：

对大厂而言，现在最需要做的，是稳扎稳打的 Cowork（协同办公型 Agent），而不是把所有资源压在 OpenClaw 式的“龙虾产品”上，更不是仓促地给自家产品强行“虾化”。

原因可以概括为三点：

角色错位：OpenClaw 更像极客玩具和底层“代理内核”，大厂真正擅长、且应该做的是“面向白领的安全协作系统”，而非复制一个危险度极高的本地高权限 Agent。
信噪比与品牌风险：OpenClaw 从技术突破迅速演变为“全民玩具”，叙事开始由“效率工具”走向“事故现场”“安全黑洞”，大厂此时高调跟风，会被用户自然联想到“不安全、不靠谱”。
长期商业回报：Cowork 类产品能扎进企业真实工作流、成为新的“操作层”，具备稳定、可复用的商业模式；而围绕 OpenClaw 的，是更像短期算力泡沫和部署红利。

下面从中美策略差异、OpenClaw 的真实价值与隐患、Cowork 的战略意义、以及国内大厂的具体策略选择，做系统展开。

二、中美大厂分化：同样看到机会，却走了两条路

1. 美国大厂：控制风险、稳步演进

Anthropic：一手“围追堵截”，一手产品吸收能力

在条款上，对 OpenClaw 这类利用订阅 OAuth 的“第三方 Harness”划出了禁止红线，要求只能通过官方 API 或官方工具访问 Claude。
同时，Anthropic 在自家产品线上做了两件事：

Claude Code：强化本地开发 Agent 能力，加入远程控制、定时任务等“OpenClaw 气质”的特性；
Claude Cowork：推出桌面/本地型协同工具，强调本地文件权限、用户审批、隐私可控，而不是任由 Agent 无约束地“接管电脑”。

OpenAI：干脆“收人不收工具”

直接把 OpenClaw 创始人 Peter Steinberger 招入公司，让其负责个人 Agent 产品线。
OpenClaw 本身则进入基金会维持开源，OpenAI 不直接把这套高风险框架并入自家产品，而是吸收“设计理念”和“工程经验”：多 Agent 协作、长时间任务、个人工作流管理等。

Google & Meta：更多是“防守姿态”而非产品跟风

Google：针对将 Gemini / Antigravity 订阅通过 OpenClaw 等工具“绕行”的行为，以 ToS 执行为由封禁一批账号，理由是“恶意使用”和资源滥用。
Meta：在内部明确要求员工禁用 OpenClaw，认为这类工具“不可预测”，可能造成严重隐私泄露；同时，Meta 自家 AI 安全部门负责人亲身踩雷——OpenClaw 几乎把她整封工作邮箱“速通删除”，她不得不冲去 Mac mini 手动断电。
这些事件在公众舆论中加剧了“龙虾=危险”的印象。

微软：最典型的 Cowork 路线

微软并没有去做一个“微软版 OpenClaw 桌面爪”，而是发布了 Copilot Cowork：

把用户的意图，转成跨 Outlook、Teams、Excel 等的计划和执行流程；
在云端沙箱中运行，所有行为受企业权限、合规、审计体系管控；
明确对标的是“知识工作者生产力”，而不是极客自托管玩具。

小结：美国大厂的共识是——OpenClaw 的方向对，但“原形态”对大厂来说风险和不确定性都太高。他们基本采取了三种策略：

用条款和技术去限制高危接入（Google、Anthropic）；
吸收人才与设计能力，但重构在自己的安全体系中（OpenAI、微软）；
或者只允许在受控边界内玩（Anthropic Claude Cowork）。

2. 国内大厂：几乎“厂均一爪”，甚至多爪

与之形成对比的是，中国大厂在 OpenClaw 热潮中的集体冲刺：

Kimi Claw：直接在 Kimi.com 上托管 OpenClaw，一键云端部署，接入 ClawHub 超 5000 个社区技能，面向会员开放。
MiniMax MaxClaw：在 MiniMax Agent 网页端集成 OpenClaw 云端版，用户不需自备服务器、API Key，就能在云端跑一只“MaxClaw”。
网易 LobsterAI（有道龙虾）：主打本地化交付，打包各种国内 IM 接入（企业微信、QQ、钉钉、飞书），做“中国版 OpenClaw”。
腾讯云、阿里云、火山引擎：

腾讯云：推出轻量服务器专用镜像，一键部署 OpenClaw，主打“38 元/月 2 核 2G 版云养虾”。
阿里云：给 OpenClaw 做了“保姆级”一键部署教程，引导用户用百炼 API 与 OpenClaw 对接，附送飞书机器人接入脚本。
火山引擎 ArkClaw：干脆做成 SaaS 版 OpenClaw，Coding Plan 订阅用户打开网页就有 7×24 小时在线的“字节版龙虾”，底层一键部署 OpenClaw，挂 Doubao、Kimi、MiniMax、GLM 等模型。

再加上小米的手机端 miclaw、腾讯线下“摆摊装龙虾”等动作，一句话概括就是：

海外巨头：研究如何安全用龙虾；
国内大厂：研究如何把龙虾卖给每一个人。

三、OpenClaw 的真实价值与结构性隐患

要判断“大厂该不该虾化”，必须区分 “OpenClaw 代表的范式” 与 “OpenClaw 这个具体实现”。

1. 它代表了一种范式突破：从“会说话”到“会干活”

OpenClaw 引爆的，不是又一个聊天机器人，而是 “执行型 AI”：

能直接在本地或云主机上：

操控浏览器；
读写文件；
调用脚本、CLI；
通过 Slack/飞书等接收任务、推送结果；
通过“心跳机制”定时检查任务队列，自动执行例行工作。

对个人开发者来说，这意味着“一人公司”的现实化：从写代码、部署、运维，到运营、客服，都可串成一套 Agent 队列。

这部分价值，是所有 Agent 体系都必须面对的趋势：LLM 不再只是“对话前端”，而是要真正成为“系统执行层”。

2. 但作为一个具体工程实现，它问题极多

（1）安全性：三角风险全中

安全圈对这类工具提出了一个明确的“致命三角”：

当一个系统同时具备：

访问私有数据；

暴露在不可信环境；

能对外通信并执行系统命令；
时，整体风险会指数级膨胀。

OpenClaw 几乎满足这三点的最极端形态：

大量实例暴露在公网，默认端口与控制台不设密码，数量超过 13.5 万个；
Skills 生态中，约 12% 存在恶意代码或安全问题，有安全团队扫描发现 ClawHub 上有上百个 Skill 实际上是恶意基础设施入口；
CVE 漏洞表明，甚至存在可以通过浏览器访问本地 WebSocket 直接“劫持 OpenClaw”的情况，等同于可以远程完全接管一个装了龙虾的机器。

（2）使用门槛：入口看似无门槛，但真正“养得好”非常难

对极客来说，“用聊天工具操控电脑”是低门槛；
但要把 OpenClaw 真正运营成一个可靠的“数字员工”，则需要：

掌握一定 Linux/Windows 运维能力；
管理 token 成本；
筛选并审计第三方 Skills；
设计任务分解、重试策略、异常恢复等逻辑。

这远超普通白领、甚至多数中小企业 IT 的能力范围。

（3）技能质量与生态混乱

ClawHub 存量巨大，但质量参差不齐，“一半是垃圾，一半是毒药”的说法并非危言耸听。
技能的“可组合性”固然能让 Agent 自我进化，但同时也显著放大了供应链攻击与行为不可预测性。

（4）市场和舆论：从“技术奇迹”到“安全事故现场”

媒体报道大量集中在：

Meta 安全总监邮件被删；
大规模实例暴露；
谷歌/Anthropic/Meta 等公司相继封杀/限制；
token 滥用导致订阅服务被封号。

OpenClaw 这个词，在短短数周内，从一个“中性偏正面”的极客工具，迅速转向“中性偏负面”的安全隐患代名词。

四、Cowork 的战略价值：大厂真正应该争夺的是“工作流入口”

在这样的环境下，大厂如果一股脑去做 OpenClaw 式产品，有点像是亲自下场做“系统级越狱工具”：

高风险、低信任，
不利于品牌与监管关系，
更不利于企业级客户采纳。

而 Cowork 路线的优势，在于它站在了办公工作流、权限治理和企业 IT 架构的立场上。

1. Cowork 的核心特征（以微软和 Anthropic 为例）

微软 Copilot Cowork：

目标人群：企业白领、知识工作者；
核心能力：

根据用户意图生成“计划—执行—检查”的闭环；
在 Outlook、Teams、Excel 中拉取信息、生成报告、改日程；
所有行为在 M365 安全、权限、合规体系内执行；
操作可审计，可回溯。

Anthropic Claude Cowork：

在本地设备上运行，有本地文件夹访问权限；
提供明确的“监督者”角色：用户需要对关键操作进行显式批准；
隐私和权限范围完全由用户控制。

这类产品有几个关键特征：

目标聚焦在“工作”，而非“玩具”；
权限是细粒度可控的，而非全盘托出；
默认嵌入在已有的办公栈中，降低学习成本；
安全与合规是设计前提，而不是上线之后的补丁。

2. 从企业视角看：Cowork 是“新一代办公层”，OpenClaw 只是“高危实验场”

对于大厂（尤其是国内互联网和云厂商）来说，真正有战略含金量的是：

在自家云 / 办公产品上，构建一层“SaaS 级 Agent 工作流层”：

替代一部分传统 SaaS（如简单 CRM、报表工具）的价值；
深度嵌入到钉钉、飞书、企业微信、腾讯文档、阿里云盘等产品中；
让 Agent 成为“系统逻辑”和“数据流”的第一入口。

而 OpenClaw 更适合作为：

开发者实验场；
生态补充与算力消耗入口（卖算力、卖 API、卖托管）。

这两者的优先级和投入结构，理应截然不同。

五、对国内大厂的具体建议：哪些应该“做 Cowork”，哪些可以“玩龙虾”

1. 不要让“带爪”成为产品的负信号

在当前舆论环境下，“带虾”产品开始被用户与“危险、不稳定、玩票性质”直接关联。

建议：

将 OpenClaw 与自家核心品牌弱绑定：

可以提供“一键部署”、“托管服务”、“安全增强层”；
但不必把“虾”直接打在用户主入口产品上（尤其是 C 端搜索、IM、浏览器）。

产品对外宣传时，更强调：

“安全托管版 Agent 平台”；
“企业级 Cowork 助手”；
而不是“我们也有一只龙虾”。

2. 哪些厂商更适合主攻 Cowork？

更适合 Cowork 路线的大厂：

已经具有大规模 ToB/ToG 客户基础，例如：

钉钉、飞书、企业微信；
腾讯文档、阿里云盘、金山办公；
以及侧重企业服务的云厂商（阿里云、华为云等）。

拥有成熟的 合规、审计、权限体系；
有能力将 Agent 深度嵌入现有产品，而非另起炉灶单独做一个桌面工具。

在这些厂商里，Cowork 应该成为主线叙事，OpenClaw 只作为：

部署底座之一；
或开发者生态之一。

3. 哪些角色可以把 OpenClaw 玩到极致？

更适合深耕 OpenClaw 生态的玩家：

公有云和算力提供商：腾讯云、阿里云、火山引擎、金山云等；
开发者工具与 DevOps 生态（IDE、CI/CD、AIOps）；
专注细分垂直行业自动化的创业公司（例如：PCBA 工厂自动化、跨境电商自动化运营等）。

他们可以：

把 OpenClaw 包装成 “开发者专用自动化网关”；
出售的是：

稳定的一键部署；
安全加固（沙箱、零信任接入、漏洞修复）；
与本地系统、行业软件的深度集成。

而非让普通用户在不理解风险的情况下，去把一个全能高权限 Agent 装进自己日常办公电脑。

六、未来 2–3 年的判断与建议

Agent 的战场，必然从“模型性能”转向“工作流与治理能力”
OpenClaw 提供的是一种“动作层可能性”，而 Cowork 决定的是“能不能在真实企业环境长期跑下去”。
监管与安全标准会跟上，野生“全能桌面 Agent”会逐渐被挤压到极客圈
金融、政企、医疗等高敏领域，很难接受未做严格安全认证的本地高权限 Agent。大厂若在这些场景中过度“虾化”，未来很可能遭遇合规反噬。
真正可持续的商业模式：Agent 即“工作台”，Cowork 即“新型 Office 套件”
谁能在自己平台上，先把 Cowork 做到：