Clawdbot爆火24小时：乱搞账号、隐私裸奔、炒作苹果，我彻底祛魅了

智东西

作者 | 陈骏达

编辑 | 云鹏

智东西1月26日报道，这两天，一个名为“Clawdbot”的开源AI助手在全网热度狂飙。简单来说，Clawdbot就是一个能操作本地设备的Agent，可以帮用户清理邮件，订飞机票，并通过WhatsApp这样的即时通信软件接收用户指令，然后反馈结果。不少人称它是一个“7×24小时不下班的AI员工”，也有网友给它封上了“开源版贾维斯”的称号。

这一项目的热度直观反映在其GitHub的收藏数上。仅在过去24小时，Clawdbot的GitHub星标数量便从1万出头直线拉升至接近3万的水平，这已经是许多开发者毕生都难以企及的高度了。其收藏数量的增速，比DeepSeek-R1刚发布头几天还猛。

Clawdbot与DeepSeek-R1在Github上收藏数量的变化

其实，Clawdbot并不是模型，而是一个Agent运行的框架。根据官网的指令安装好之后，要真正用起来，还得接入外部的“大脑”，比如OpenAI和Anthropic的API，或者在本地用Ollama跑模型，最终完成对用户交代的各种指令。

在功能上，它与此前的Manus以及其他热门Agent产品有诸多相似之处：核心仍是基于大模型推理、工具调用与自动化流程编排，实现对用户指令的理解与执行。

Clawdbot之所以引发热议，很大程度上在于它“开放”的姿态。它可以直接操作本地设备、本地软件、本地文件，但也带来明显的安全风险：提示词注入等手段可以轻松操纵Agent盗取隐私信息。相比之下，主流厂商推出的Agent往往会在权限和操作范围上有所收敛，把Agent锁进沙箱、云电脑，以提供更好的安全性、可控性。

Clawdbot号称可以拥有完全的系统权限和浏览器控制权，接入任意的聊天App，并在本地运行

Clawdbot还引发了另一个无厘头的现象：围绕如何部署它的讨论，意外带动了苹果Mac mini的热度和销售。

其实，Clawdbot和Mac mini两者没有必然的联系，Mac mini的超高配置对它来说实在是有些“性能过剩”。

按照官方文章，Clawdbot支持任何系统（iOS、Linux、Windows、ubuntu等）、任何环境，你只要有1个CPU、1GB内存和大约500MB的磁盘空间，就可以跑了。

只是因为有些博主分享的教程里称Mac mini+Clawdbot好用，许多网友就跟风买了。再加上Mac mini部署Clawdbot流程确实相对简单、系统环境成熟，不少用户将Mac mini视为运行Clawdbot的“最佳宿主机”。

Clawdbot官方账号都看不下去了，专门发了篇博客，呼吁大家别给苹果送钱了，家里的旧电脑、闲置服务器、5美元一个月的在线VPS，甚至树莓派都能运行Clawdbot，但在海外社区和各类上手教程中，Mac mini仍然频频被点名。

Clawdbot与Anthropic的Claude模型家族谐音，不过两者并没有直接关系。Clawdbot项目创建者Peter Steinberger现在更推荐接入的模型其实是来自中国的MiniMax-M2.1，同时也有网友分享，接入智谱的GLM-4.7使用体验也不错。

那么，Clawdbot究竟是什么？网友们都把它玩成了什么样？开发者和行业大佬对这种全天候本地AI助手的风险给出了何种判断？更重要的是，这会不会是又一个“昙花一现”的AI Demo？

项目地址：https://clawd.bot

一、能自己赚钱买GPU，也会自作主张删掉92个订阅

社交平台上，一整套围绕Clawdbot的自动化生活与工作的玩法快速成型。有人拿它追踪市场动态进行自动化交易，有人拿它操作聊天软件并打造了私人助理，有人拿它指挥AI编程，连Claude Code都不用打开了。

Clawdbot热度高，很大一部分原因在于它能与各种即时通信软件无缝集成，让用户可以直接在熟悉的聊天软件里向Clawdbot下达任务并即时获得反馈。

目前，它兼容了像WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、iMessage等海外主流即时通讯平台，这种“在常用聊天工具中直接调用AI助手”的体验极大提升了它的实用性和传播度。

Clawdbot支持接入多种应用

Clawdbot的架构包含几个核心组件。网关（Gateway）就像是一个中控台，连接着WhatsApp这样的消息平台，将收到的消息路由到正确的AI Agent会话，然后将AI生成的回复发送回同一频道。

Clawdbot本身并不内置大模型，用户需要把它通过API连接到某个大模型，比如Claude或GPT等，MiniMax-M2.1也得到Clawdbot创建者的推荐。如果想要坚持数据不上云，你也可以用Ollma等工具在本地设备上运行模型。

通过技能（Skill），Clawdbot可以运行多步骤的工作流，执行特定的工具和命令，并将自动化任务串联起来。

借助本地设备，Clawdbot据说还能拥有“持久记忆”，能记住用户独特的偏好、语境等等，打造属于你自己的AI。

X平台上，许多网友已经把Clawdbot玩出花了。大部分用户还是把它作为个人助手在使用，或者是分享了一些Demo，带有一定的娱乐性质。毕竟，这样一个高权限的Agent放到生产环境，很有可能带来灾难性后果。

即便是在个人数据上，Clawdbot一干活就闯了大祸。Cleevio的CTO David Zadrazil分享，他向Clawdbot发消息说检查下自己邮箱的关注列表，但是明确要求不要在未经同意的情况下取消任何订阅。

Clawdbot做了完全相反的事，它说自己一次性取消了92个订阅，这让David Zadrazil有点崩溃。

这位网友分享，他的Clawdbot刚刚找他要了张RTX 4090显卡，他没有买，而是给了它在Hyperliquid交易平台上一个价值2000美元的交易钱包，并告诉Clawdbot，想要买GPU就得靠炒股赚到的钱买。

Clawdbot现在便在全天候交易，扫描推特情绪，追踪特朗普的推文，并据此决定交易。

自Clawdbot发布以来，AI创企Creator Buddy的创始人Alex Finn分享，他已经两天没有打开自己的Claude Code了。而这个名为Henry的Clawdbot，在连续48小时不间断地为他进行Vibe Coding。他说自己这辈子也没写过这么多代码。

Alex Finn感叹道，Vibe Coding已死，Vibe Orchestration（氛围编排）的时代来了。

还有网友晒出了一个非常“地狱”的玩法，它让Clawdbot扫描美国城市明尼阿波利斯的实时直播，一旦听到有人说外语，就立即呼叫美国移民执法局（ICE）的特工前往直播地点的确切坐标。

二、圈内大佬敲警钟：Clawdbot可能导致大规模隐私泄露

Clawdbot风行的同时，也有不少圈内大佬敲响了警钟。

SEO创企Letsrank的创始人fmdz发推说道，Clawdbot正在引发一场灾难。如果这种在VPS实例上托管Clawdbot的趋势持续下去，再加上人们不阅读文档，在没有任何身份验证的情况下开放端口，我们可能很快会遭遇大规模的凭证泄露，而且后果可能非常严重。

fmdz用安全工具简单扫描了下目前托管Clawdbot的VPS，发现其中有很多实例根本就没有身份验证。也就是说，敏感的数据可能直接在网上“裸奔”。

即便是在本地托管也仍然有风险。Clawdbot官网上的宣传语写着，Clawdbot可以控制浏览器、拥有完全的系统权限，可以读写文档，运行Shell指令，执行脚本。

如果用户在不知情的情况下给予了Clawdbot这些高权限，又未通过沙盒、虚拟机或最小权限原则进行有效隔离，一旦有不法分子通过提示词注入、恶意网页内容、第三方插件或被污染的任务输入等方式诱导或操控模型行为，就有可能导致模型在用户系统上执行非预期操作。

在极端情况下，这类风险可能进一步演化为本地敏感文件被读取或篡改、账号凭据和隐私数据泄露、恶意脚本被执行、系统配置被破坏，甚至成为攻击者横向移动或植入持久化后门的入口。

由于相关操作是在“用户授权”的上下文中完成，传统的安全告警机制往往难以及时发现，其潜在危害也更具隐蔽性。

Clawdbot引发的Mac mini销售潮，也被不少业内人士泼了冷水。

专家网络公司Guidepoint的高级副总裁和工程主管Richard Ginsberg就发文分享，Clawdbot根本不需要Mac mini。可以看到，他晒出了一台宏碁制造的ChromeBox，用的是老古董的七代i3处理器，只有8GB内存和60GB的固态硬盘，搭配智谱的GLM-4.7使用，连接到WhatsApp，用着一点问题没有。

日本AI创企Fire Cracker的创始人也分享，对于成天泡在Claude Code上的开发着来说，Clawdbot其实没什么必要，许多功能用Claude Code也一样能跑。此外，树莓派这样的开发工具即便配置一般，也能支持Clawdbot的运行。

跑Clawdbot的价格甚至可以低至0元，用AWS的免费服务器就行。一位网友分享，在AWS上20分钟就可以完成Clawdbot的设置。不过，前面已经提到了，这种模式可能存在风险。

这位网友认为，花600美元买Mac mini，其实就是在买一种拥有实物的感觉：它能让人感到有所成就，看得见摸得着，也可以拍照展示这就是我的AI服务器。

结语：当Agent开始“接管电脑”，风险也随之而来

从本质上来说，Clawdbot与其他的Agent产品并没有太大区别。所谓“完全的系统权限”、“可执行任意指令”，可能并非技术上的突破，而是对现有AI能力的一种激进配置选择。

主流厂商并非没有实现类似能力的技术储备，而是在产品设计阶段出于安全性、可控性与责任边界的综合考量，主动对Agent的权限范围进行了收敛。

在当前模型仍可能受到提示词注入、上下文污染和误触发等问题影响的前提下，贸然赋予Agent广泛且持续的系统级权限，本身就意味着将不确定性直接暴露给用户的真实环境。

Clawdbot的爆火，正在触动一个更严肃的话题：AI Agent是否已经准备好从概念阶段，真正走向了普通人可用、可部署、可折腾的现实世界？