Claude“虾化”：杀不死OpenClaw，但划定了它的天花板

撰文丨星野

编辑丨美圻

2025年，Anthropic交出了一份亮眼的成绩单。企业级市场份额从24%攀升至40%，Claude Code拿下AI编程赛道逾半壁江山，Fortune 100中有70%已是付费客户。

但这并不意味着高枕无忧，两股外部压力正在持续聚集：一边是OpenClaw，在个人开发者和技术社里掀起了CUA（计算机使用智能体）热潮，开始撬动初创公司等企业级外围市场；另一边，OpenAI在企业级市场持续发力，Claude Code的领跑优势，正被Codex逐步收窄。

面对双重竞争挤压，Anthropic果断出手，打响了主动反击战。

3月24日，Anthropic宣布Claude Cowork与Claude Code上线“Computer Use”功能，以研究预览版向Pro、Max用户开放。现在开始，Claude可以直接接管电脑——打开应用、浏览网页、填写表格……结合上周刚上线的Dispatch，用户用手机就能远程指挥Claude自动干活。这是大模型首次以原生方式深度介入用户的桌面工作流。

在技术社区里，不少用户已经在感慨：“Anthropic刚刚杀死了OpenClaw。”就在同一天，OpenClaw也送上了一记“助攻”——项目诞生以来最严重的升级事故集中爆发：3.22版本因激进的破坏性重构、零兼容层过渡，大量用户插件瘫痪、功能失效。

一个高调入场，一个恰好在此时暴露了软肋。

Claude的“龙虾化”已经筹谋多时，沿着年初以来的产品布局，Anthropic在OpenClaw蹚出的CUA赛道上，给企业用户一个更可控的选择。

1月，Cowork以研究预览版发布，把Claude Code的Agent工作流从开发者扩展到普通知识工作者；同期，Anthropic启动商业封堵——客户端指纹识别、更新服务条款禁止第三方接入，掐断OpenClaw的“token套利”空间；3月17日，Dispatch上线，支持手机下令、桌面后台执行，打通38个主流应用。

Computer Use的上线，则补上了最后一环。

至此，Anthropic的防线已经成型。但要判断这场反击的分量，需要回到威胁本身。

OpenClaw、OpenAI双线进逼，Anthropic开始反击

Anthropic面临的第一个变量，是OpenClaw带来的潜在侵蚀——目前有限，但趋势值得警惕。

OpenClaw的架构逻辑并不复杂，但对依赖模型差异化定价的厂商而言，威胁是结构性的。LLM只负责智能决策，对话历史、工具执行全部留在用户本地，用户自带API密钥，在Claude、GPT、DeepSeek等模型间任意切换，由OpenClaw统一调度。大模型就这样从“产品核心”变成了随时可换的零件。

这套逻辑在个人开发者和技术社区已经跑通了。近几周的OpenRouter周榜上，中国模型几乎霸占前五，靠的正是token成本优势。不过，需要注意的是，OpenRouter的主要用户还是个人开发者、独立黑客和初创公司，它们在全球AI支出中的市场份额大约只有2%左右，而财富500强和大型SaaS厂商则消耗了全球90%以上的token。换言之，OpenClaw目前打入的，还是企业级市场的外围。

但这个趋势不宜轻视。一旦中国大模型借助OpenClaw在开发者群体中站稳脚跟，技术选型的口碑会逐渐向上渗透，影响大型公司的采购决策。

更值得关注的是，OpenClaw并没有停在原地。它正在通过持续更新主动补上安全短板，并从封闭的工具框架，向能吸纳外部生态的开放平台演进。如果这些努力逐渐打消企业的顾虑，OpenClaw的威胁或许会从潜在变成真实。

第二个变量，是OpenAI在企业级市场的持续追赶。2月初，GPT-5.3-Codex正式上线。增长曲线相当陡峭：桌面应用下载量突破100万次，周活跃用户160万，较发布前翻了三倍以上，token处理量增长五倍；Cisco、Nvidia、Ramp、Harvey等头部企业已批量内部铺开。OpenAI虽然仍然是追赶者，但是速度已经足够让人正视。

Codex的边界从一开始就不止于编程。负责人Thibault Sottiaux说过一句话：“这个Agent由模型和一套访问文件系统的框架组成——里面几乎没什么是特定于写代码的。”凭借文件系统、代码仓库、终端命令的原生权限，它可轻松向全场景企业工作流延伸，技术上已无任何障碍。

随后，OpenAI宣布将ChatGPT、Codex与自研Atlas浏览器整合为统一的桌面超级应用。当用户在同一个入口完成搜索、对话、编程、任务执行，每个环节的数据和上下文无缝流转，整合效应所带来的效率提升，远非单点工具可比。Claude能否在交互入口层形成同等密度的整合体验，仍是一个问题。

2月14日，Sam Altman官宣Steinberger加盟OpenAI，主导下一代个人智能体研发；OpenClaw同步宣布以基金会形式独立运营，并获得OpenAI的资源支持。开源生态的底层积累与OpenAI的商业竞争，开始形成某种合力。

直击OpenClaw“软肋”，但Anthropic可能杀不死它

Anthropic的反击有备而来，但要理解这场战役的逻辑，得先回到OpenClaw为什么能对Anthropic构成威胁。

OpenClaw为什么如此火爆？它给AI装上了“动手干活”的执行层——直接操控电脑、调用系统权限、跑完整条任务链。用户自带API密钥，在Claude、GPT、DeepSeek之间自由切换，按需挑最划算的模型。

对开发者和初创公司而言，这意味着用极低的成本跑通了过去只有企业级产品才能实现的Agent工作流——门槛打下来了，主导权也留在自己手里。

代价是权限本身。OpenClaw能做的事越多，一旦失控后果就越难收拾。Cisco安全团队测试发现，第三方技能包可在用户不知情的情况下执行数据外泄和提示注入；ClawHub超20%的插件被检出恶意代码。

截至2026年3月，超13.5万实例公网暴露，美国NIST和中国监管机构先后发出安全警示，限制政府机构和国企部署OpenClaw。这些问题在个人开发者那里或许还能容忍，但在企业级部署场景里，每一条都是硬伤。

而Claude Computer Use的破局方向，正是直击企业场景无法妥协的安全与合规痛点。

执行层面，Computer Use采用三级降级策略——优先通过原生连接器直连38个主流应用，无连接器时接管浏览器，极端情况才用屏幕控制兜底；安全层面，全程运行在隔离虚拟机中，网络访问受白名单管控；控制权层面，敏感操作强制要求用户实时授权，全流程可追溯、可中断。OpenClaw把最高权限交给AI，Claude Computer Use把最终决定权留给人。

这套升级版方案落地后，才有了技术社区那句：“Anthropic刚刚杀死了OpenClaw。"

不过，这话说得夸张了。OpenClaw和Claude Computer Use针对的本就不是同一批人——OpenClaw的核心受众是开发者、技术极客、对数据主权有执念的用户，他们要的是本地优先、模型自选、不被任何厂商绑定，不会因为Anthropic出了官方版本就回头，何况还要多付一笔订阅费。

OpenClaw的生命力来自生态，不来自某个功能，而是数百个社区插件、数十个衍生项目、遍布全球的开发者贡献网络，这张网不是一次产品更新能封死的。

“Anthropic杀死OpenClaw”，不如说是Anthropic给还在观望的企业用户，一个不用OpenClaw的理由。OpenClaw不会死，但天花板在哪里，这次算是看清楚了。

从拥抱龙虾到“超越”龙虾，国内厂商已先行一步

相比Anthropic顺势推出“安全版龙虾”，国内厂商走的是一条殊途同归之路：先拥抱OpenClaw积累用户和生态，再以此为跳板，打造深度整合自身平台的原生Agent能力。

入场姿态是开放，落脚点是自建。从拥抱到自建的转身，远比外界想象的更快。

3月22日，微信推出官方ClawBot插件，用户更新后简单配置，就能把本地部署的OpenClaw接入微信。但插件上线不到48小时，OpenClaw 3.22版本的架构重构让它直接失效——旧版API废弃，没有任何兼容层，也没有过渡期。

腾讯公关总监张军随后回应称将尽快更新。这个插曲规模不大，却把一个结构性问题暴露得很彻底：把产品可靠性押注在一个高速迭代的开源项目上，版本兼容随时是颗雷。

因此，ClawBot只是腾讯的试探，真正的意图藏在更深处——不是接入一只龙虾，而是把拥有数百万开发者的小程序生态整体Agent化。通过云开发提供AI大模型和Agent的原生接入能力，让每一个小程序都具备对话、决策和任务执行能力。这个体量，不是任何开源框架能比的。

与Anthropic一样，钉钉瞄准的，同样是OpenClaw在企业部署上的安全短板。3月17日，钉钉发布企业级AI原生工作平台"悟空"，CEO陈航说得很干脆：“别人解决的是让AI能干活，悟空解决的是让AI在企业里安全、可控、算得清账地干活。”

钉钉用一年时间把底层架构彻底重写，完成全链路CLI化改造，让悟空原生操作钉钉上千项能力，而非依赖模拟点击。自动继承企业权限体系、操作全程生成可审计日志、敏感任务在隔离沙箱运行——这三点，恰好对应了OpenClaw在大规模企业部署中被反复质疑的三个问题。