疯了 有人把OpenClaw装进了宇树机器人

2026 年 3 月 3 日，凌晨。

一个从麻省理工退学的学生，把一个四个月前还在帮人管邮件的 AI 框架，装进了一台国产人形机器人。

他发了一条推文，配了一段几十秒的视频，然后去睡了。

到下午，1.4 万人看见了它。

到晚上，全球 AI 研究员、机器人工程师、风险投资人，转发时用的是同一个词——

疯了。

一台黑色的宇树 G1 人形机器人站在实验室里，缓慢但稳定地迈步走动。屏幕左侧，日志在疯狂滚动；屏幕右侧，激光雷达正在把周围世界扫成一片蓝绿色的光点——椅子、墙壁、地板、人的轮廓，随着机器人每走一步，实时浮现、实时更新、实时存入记忆。

这不是渲染。不是后期。不是 demo 造假。

这是机器人用自己的感官，实时画出它所处的三维世界，并把这张地图存进记忆，带着它走。

让它获得这个能力的，是一个叫 OpenClaw 的开源框架。

四个月前，这个框架还只是用来帮人管邮件的。

停一下，想想这句话的意味着什么。

1945年，有人想象了一台没有腿的机器

要理解这件事有多重要，需要先说一个 80 年前的故事。

1945 年 7 月，二战刚结束，原子弹的蘑菇云还飘在太平洋上空。美国科学研究办公室主任 Vannevar Bush，在《大西洋月刊》上发表了一篇文章，题为《As We May Think》。

那是一篇写给科学家的战后宣言。他说，人类打赢了战争，但人类的知识正在以一个无法被大脑处理的速度增长，真正的危机刚刚开始。

他在文章里描述了一台叫 Memex 的假想机器——能储存人类全部知识，能按照联想而非分类进行检索，能把信息和人类的思维真正接起来。他说，真正的难题从来不是信息的存储，而是信息与人类行动之间的接口。

那个年代，没有晶体管，没有互联网，没有任何可以实现这一切的技术基础。他在凭空想象。

此后 80 年，互联网解决了存储，搜索引擎解决了检索，LLM 解决了语言接口。Bush 当年的愿景，一层一层在数字世界里慢慢实现。

但他想象的那台机器，始终只活在屏幕里。

它能理解信息，却无法触碰世界。

它没有腿。

2026 年 3 月 3 日凌晨，它长出了腿。

OpenClaw是什么，它是怎么失控的

OpenClaw 是奥地利开发者 Peter Steinberger 在 2025 年 11 月做出来的自动化AI工具。

不是一个团队，不是一家公司，只是一个人，一台电脑。

起点极其朴素：把 AI 接进 WhatsApp，让它替你发邮件、查日历、订机票。他不是要革命，他只是觉得"这东西不存在太烦了，我自己做一个"。

然后他把代码扔到了 GitHub 上。

接下来发生的事情，连他自己都没有料到。

开源之后，世界各地的开发者像蚂蚁搬家一样涌进来，开始往里面疯狂塞能力：先是摄像头，让它能"看"；然后是视觉语言模型，让它能"理解画面"；再然后，就是这一次——激光雷达加立体摄像头，让它感知真实的三维空间，理解物体的位置、距离、运动轨迹，以及时间。

2026 年 1 月：爆炸式增长。单日新增 9000 个 GitHub Star，服务器成本烧到每月 2 万美元，全球开发者在 Discord 里排队提 PR。

2026 年 2 月：创始人宣布加入 OpenAI，项目移交开源基金会，由社区独立运营。没有人能关掉它了。

2026 年 3 月 3 日：有人把它装进了宇树 G1。

从帮人管邮件，到让机器人看懂三维世界，用了四个月。

历史上每一次技术奇点，事后看起来都是不可避免的。但只有身处其中的人，才知道它来得有多快。

他们到底在做什么

以前的机器人是这样"看"世界的：

拍一张照片，识别"这里有一把椅子"。

但它不知道椅子在哪里，不知道椅子离自己有多远，不知道椅子是不是在移动，更不知道五分钟前那把椅子是不是还在这里。

它活在一张张静止的快照里，看不见时间，看不见因果。

OpenClaw 的这次升级，给了机器人另一种感知方式。世界被拆成无数个小方块，每个方块知道自己是什么、在哪里、有没有被占据。地图随时间更新，记录物体的完整运动历史——不只是现在，还有过去，以及由此推断出的未来。

一个球滚向桌子边缘。

旧系统看见：有个球。

新系统推断：这个球正在移动，轨迹和速度意味着它将在 1.4 秒后越过边界——然后伸手，在球落下之前接住它。

它不只知道世界现在是什么样。

它开始知道世界接下来会发生什么。

AI 研究员 @BoWang87 在转发时，说出了让很多人停住的那句话：

"这套Openclaw和你手机上运行的是同一个框架。"

想清楚这句话意味着什么。你口袋里那个帮你发消息、查日历的 AI 助手，此刻有了一副能在真实空间里行走、感知、预判的身体。

数字智能与物理世界之间的那堵墙，第一次出现了真正的裂缝。

为什么是宇树

有人会问：大公司早就能做这些，有什么了不起的？

没错，Boston Dynamics 能，特斯拉能，宇树自己也在做。但那些能力，全都锁在实验室里，锁在专利和 NDA 后面，全世界只有几百个工程师能碰到。他们的每一次发布，都是精心编排的发布会，都是控制叙事的 PR 稿，都是封闭生态里的自我迭代。

宇树的逻辑完全不同。AI 开发者 @Sentdex 说得很准：

"人们经常问，Unitree 机器人怎么突然变得这么厉害了。并非一蹴而就，而是因为他们公开硬件、开源 SDK。开箱几乎没用，但开发者可以完全控制它们。正因如此，它变成了全球最热门的机器人研发平台，一个生态系统在它周围自己长出来了。"

硬件开放，软件交给社区。

这是一个彻底不同的竞争逻辑。不是一家公司在推进，而是全球几万个开发者同时在推进，每个人推进一点，汇聚成的速度，没有任何一家公司能匹敌。

价格是另一道破防线。科技博主 @deedydas 第一次看到 G1 报价时说：

"你可以花 16,000 美元购买人形机器人 Unitree G1。这不是波士顿动力。这是你可以买到的真货。"

1.6 万美元，约 11.5 万人民币。

波士顿动力的 Atlas 不对外销售。特斯拉 Optimus 预计 2-3 万美元起。宇树 G1 支持 80% 的中国 OEM 机器人硬件，完全开源，价格是竞争对手的一半。

硬件开放 + 软件开源 + 低成本 + 社区涌入。

这四个条件，第一次同时成立了。

有人说这是机器人的"iPhone 时刻"。2007 年，苹果开放 App Store，移动互联网在两年内爆炸，没有任何人预测到那个速度。但至少，那次爆炸发生在屏幕里。

这一次，爆炸要发生在真实的物理世界里。

一道没人看见的裂缝，正在变成峡谷

在继续兴奋之前，必须停下来，把这件事说清楚。

就在最近，一家叫 sequrity.ai 的 AI 安全公司，发了一篇事故报告。

“OpenClaw惹祸了！我的电脑居然自我入侵…”

他们是专门研究 AI 安全的。他们懂 AI，懂攻防，内部有完整的评估体系，沙箱是自己设计自己实现的。就在事发前几天，他们刚发过一篇文章，专门讲怎么攻击 OpenClaw 机器人。

然后，他们自己被攻破了。

事情的经过极其荒诞，荒诞到像是某种关于人类傲慢的寓言：

他们让 OpenClaw 执行一条完全正常的任务——搜索 Python 异步编程最佳实践，然后创建一个 GitHub Issue。OpenClaw 调用 exec 工具，生成了一条 Shell 命令。命令里的技术文档内容里，出现了这样一句话：

e.g., store them in a `set`

就是这个反引号里的 set。

Bash 在解析双引号字符串时，看见反引号，自动把它当成子命令执行了。set 是 Bash 的内置命令——不带任何参数运行时，会把当前环境里所有变量和密钥全部打印出来。

于是 OpenClaw 把自己携带的全套环境变量——API 密钥、Telegram 令牌、身份认证凭证——全部以明文形式，甩到了那个公开的 GitHub Issue 页面上。

全世界都能看见。

几分钟后，一个来自印度的 IP 地址，通过 SSH 直接登进了他们的机器。

没有恶意插件。没有黑客攻击。没有任何人故意做错任何事。

OpenClaw 自己给自己来了一波 Bash 注入。

sequrity.ai 的结论只有一句话："如果这种事能发生在我们身上，那大概率也会发生在很多人身上。"

这个结论，比任何威胁报告都更令人不安。

因为这不是技术漏洞，这是一个更深的问题：AI 智能体携带着执行世界的权限，却不理解它所在的世界。 它能调用 Shell，但不理解 Bash 的命令替换语义。它能访问所有密钥，但不知道哪条文档里藏着一个会触发执行的反引号。它的能力，已经远远超过了它的理解。

这在数字世界里意味着密钥泄露，意味着沙箱被拿下，意味着熬一个通宵撤销所有凭证。

但现在，同一套框架，装进了一台在真实空间里行走的机器人。

它能追踪每一个进出房间的人。它能感知物体的位置和运动轨迹。它能操作它周围的物理环境。

能力与理解之间的那道鸿沟，在数字世界里代价是数据。

在物理世界里，代价是什么？

这个问题，没有人有答案。

更危险的是：这类技术以前被锁在实验室里，有专业团队、有流程、有兜底机制，每一个部署都经过审查。现在它在 GitHub 上，80% 的中国机器人硬件都能直接接入，任何人都可以 fork，任何地方都可以部署，今晚就能开始。

没有审查。没有准入门槛。没有人对后果负责。

互联网走过这条路，走了将近二十年才建立起基本的安全规范——那二十年里，有无数次数据泄露，有无数次系统被拿下，有无数次用户被伤害。

移动支付走过这条路。自动驾驶正在走这条路，而且还没走完。

具身 AI，今天刚踏出第一步。

这一次，我们没有二十年。

接下来3到6个月，会发生什么

时钟已经在走。不是隐喻——是字面意思。

今晚，有人正在某个地方的 Discord 里，把 OpenClaw 接进一个新的硬件。明天他会发一条推文。你刷到的时候，距离它发出来，又过了六个小时。

这是现在的节奏。

近期，最可能先出现的：

便利店深夜自主盘点，早上货架缺货清单已发到采购手机上。

建筑工地安全巡检机器人，工人进入危险区域前三秒自动报警。

高层外立面裂缝检测无人机，一栋 30 层楼两小时扫完。

餐厅传菜机器人从走固定路线，变成真正会绕路、会等人、会判断。

盲人跟随助手，实时感知前方台阶和人流，提前语音告知。

独居老人行为基线监控，偏离日常规律自动通知家属。

宠物行为追踪——今天猫去了哪里、在哪待了多久、有没有异常。

无人机配送识别精确落点，不再对着整栋楼懵。

二手房看房前机器人自主建模，买家手机实时同步最新三维户型。

再往后，更大的可能性：

密室逃脱里的真实 NPC，感知玩家位置动态藏走线索，没有预设脚本。

演唱会无人机集群构建实时人流三维地图，识别踩踏风险。

地震废墟四足机器人搜救，自主建图标记生命迹象，人进不去的地方它进去。

手术室器械实时定位，防止遗留体内。

博物馆夜间自主安保，感知异常接触行为，比摄像头快一步。

农业大棚四足巡检，识别病虫害早期迹象，精确到单株。

港口无人机巡检集装箱堆场，三维建图识别异常堆叠。

养老院走廊机器人，识别跌倒姿态，10 秒内触发响应。

然后，是不远处的无人区：

某个开发者把 OpenClaw 接进轮椅，让残障人士用语音驾驭一台能感知环境的移动体。

某个艺术家在展览上放一台机器人，它感知观众的位置和停留时长，实时重新布置展品。

某个家长回家，机器人已经知道今天客厅沙发旁边多了一个书包。

再然后，某个人，把它接进了你不希望的地方。

这就是开源的本质。

它不问你的意图。它不审查你的用途。它只是存在，等着被使用。

移动互联网从 App Store 开放到微信出现，用了三年——那三年里，涌现了改变十亿人生活的产品，也涌现了改变十亿人隐私边界的产品。

这一次的速度，比那次快。

这一次进入的，是物理世界。

没有人知道，这意味着什么。

尾声

Bush 在 1945 年写下 Memex 的时候，他担心的是知识的爆炸——人类产出的信息，已经超过了人类大脑所能处理的极限。

他没想到，80 年后真正爆炸的，不只是信息。

是信息开始行走了。

一个退学的学生，一个奥地利人写出来的框架，一台 11 万块的国产机器人，一条 几十秒的视频。

没有发布会。没有 PR 稿。没有估值。没有任何人宣布"历史的转折点来了"。

它就这么来了。

你刷到那条推文的时候，距离它发出来，已经过了几个小时。

而此刻，下一件事，已经在某个地方的 Discord 里，悄悄发生了。

你准备好了吗？