当一个开源项目的GitHub星标数能在四周内冲破20万，同时带动Mac mini在全球渠道缺货时，你要讨论的已经不是"AI能不能干活"，而是"谁来控制那个干活的入口"。  Tengo（探果）https://www.tengox.com/

2026年初，OpenClaw（前身Clawdbot/Moltbot）以一种近乎失控的方式引爆了技术社区——不是因为模型更强了，而是因为它第一次让"自然语言→直接操控本地电脑"这件事变得可复制、可传播、可病毒式扩散。而在它爆红的四个月后，小红书低调内测"RedSkill"——允许创作者在笔记下方直接挂载可安装的Skill包——意味着这场运动正在从极客终端走向内容平台的流量逻辑。Skill正在从代码仓库里的文件，变成可被"种草"、被分发、被消费的产品。这条链路的成型，才是真正值得产业界警觉的事。

一、三个阶段的范式转移（2024–2026）

要理解当前的混乱，需要先把时间线钉死：

第一阶段（2022–2024）：参谋时代。​ ChatGPT/Claude等把"生成式AI"变成公共品，但交互终点是文本框——输出建议、代码片段、摘要，然后用户复制、切屏、手动执行。知识工作的真实成本被隐藏在每天数百次上下文切换里。这个阶段的天花板不是智商，是"最后一厘米"：AI说不出口的动作，全得人来做。

第二阶段（2025Q4–2026Q1）：执行觉醒。​ Anthropic以Claude Cowork把"Computer Use"降级为白领能理解的"桌面文员"形态——沙箱隔离、MCP协议规范化、操作需用户授权确认，走的是可控—可审计—可采购的企业路线。几乎同时，OpenClaw走了完全相反的方向：本地优先、权限拉满、MIT许可、Gateway架构让它能被WhatsApp/Telegram/Slack等任意通道召唤，用户手机发条消息，家里那台Mac mini上的Agent就开始翻文件、跑脚本、发邮件。这两种路线——"受控文员"vs"开放管家"——构成了今天桌面Agent赛道的对角线。

第三阶段（2026Q2起）：生态与监管双至。​ 1Password披露macOS恶意软件通过OpenClaw渠道传播的事件，加上各国对"本地高权限AI代理"的安全审视，说明赛道热到了需要规则入场。与此同时，Skill生态开始溢出GitHub——小红书RedSkill内测是一个标志性节点：内容平台意识到，自己最擅长的不是训模型，而是做"能力的发现入口"和"信任入口"。

二、海外的根本矛盾：能力上去了，信托没跟上

OpenClaw的成功本质上是一句技术宣言：Bash is all you need，让LLM自己写代码扩展自己。​ 它的递归式技能进化机制——AI面对未知任务→自主写脚本→本地调试→封装成SKILL.md——确实是优雅的工程解法。ClawHub上已经有上万社区贡献的技能包，覆盖办公、开发、生活调研等场景。

但问题也恰恰出在这里。OpenClaw的子代理可自主安装新代理、扩展新能力，用户对其行为的可预见性是有限的。1Password的恶意软件事件不是偶然——当你的AI有权限读文件、跑Shell、连外网，"开放"和"危险"之间只有一层用户的好奇心。

Anthropic的解法是画地为牢：Cowork把能力收敛到沙箱内，通过MCP只暴露经过审计的工具，所有跨应用操作走授权确认流。代价是天花板更低，但换来的是企业采购路径——Gartner预计，到2026年底40%的企业应用将嵌入任务型AI代理（2025年这一比例不足5%）。

所以海外的困局可以精炼为一句话：OpenClaw证明了需求真实存在，Cowork证明了企业能买——但没有人真正解决了"给妈妈用的高权限Agent"这个中间地带。