Jan 29, 2026

Moltbot 深度解析:从爆火到改名,个人 AI Agent 的机遇与暗礁

Moltbot(原 Clawdbot)是 2026 年初最火的开源个人 AI 助手项目,GitHub 星标破 8 万。本文深度解析其技术架构、改名风波、安全隐患、加密骗局,以及它对个人 AI Agent 时代的启示。

Bruce

MoltbotClawdbotAI Agent开源安全

AI原理

672 Words

2026-01-29 13:00 +0000

2026 年 1 月,一只龙虾搅动了整个 AI 圈。

一个名叫 Clawdbot 的开源项目,在不到一周内拿下 8 万+ GitHub Star,让全球开发者疯狂下单 Mac Mini,甚至引发了一场加密货币骗局。随后,它因 Anthropic 的商标要求被迫改名为 Moltbot——“蜕壳"重生。

这个项目到底有什么魔力?它是不是名副其实的"个人贾维斯”?背后又藏着多少你不知道的坑?

这篇文章,我们不聊安装教程(想看搭建指南可以移步这篇文章),而是从更深的角度来剖析这个现象级项目。

一、Moltbot 到底解决了什么问题?

1.1 从"聊天"到"干活"

过去两年,大家已经习惯了和 AI 聊天——问问题、写文案、翻译文章。但你有没有发现一个问题:AI 只能"说",不能"做"

你让 ChatGPT 帮你订机票,它只能告诉你"请打开携程网站,搜索……"。你让 Claude 帮你处理邮件,它只能说"建议你这样回复……"。

Moltbot 不一样。 它不只是给你建议,而是真的打开浏览器、登录你的邮箱、执行操作、把结果告诉你。

用冰河老师的话说:

Clawdbot = Claude Code + Bot 化工作流。全自动写代码解决你生活中的各类任务,它就是小机器人。

1.2 从"坐在电脑前用"到"躺在沙发上用"

传统的 AI 工具有一个限制:你得坐在电脑前面用。打开浏览器,登录网页版 ChatGPT,一句一句地对话。

Moltbot 颠覆了这个模式。它 24 小时运行在你的电脑(或服务器)上,你通过 Telegram、WhatsApp、iMessage 等聊天工具远程发指令。

国外有个用户是这样描述的:

“躺在床上看 Netflix 的时候,通过 Telegram 重建了整个网站。”

这才是 AI Agent 真正的价值——不是取代你的工作,而是在你不工作的时候帮你工作。

1.3 为什么大家疯抢 Mac Mini?

Moltbot 需要一台 24 小时运行的电脑。Mac Mini 成了首选,原因很简单:

  • 低功耗:待机只有 6-8 瓦,一个月电费不到 10 块钱
  • 性能强:M4 芯片跑 AI 工具绰绰有余
  • 体积小:放在桌角不占地方
  • macOS 生态:原生支持 iMessage,这是 Windows/Linux 做不到的

有人甚至在炫耀自己有多少台 Mac Mini 组成的"AI 集群"。当然,你不需要这么夸张——一台就够了,甚至一台云服务器也能搞定。

二、技术架构拆解

Moltbot 的架构设计很巧妙,不是简单的"大模型套壳",而是一套完整的 Agent 框架。

2.1 核心架构

┌──────────────────────────────────────────────────┐
│                    你的设备                        │
│                                                    │
│  ┌────────────┐    WebSocket     ┌──────────────┐ │
│  │  消息渠道   │◄──────────────►│   Gateway     │ │
│  │  Telegram   │    控制平面      │  网关服务      │ │
│  │  WhatsApp   │  ws://127.0.0.1 │  :18789       │ │
│  │  iMessage   │                 └──────┬───────┘ │
│  │  Discord    │                        │         │
│  │  Slack      │                        ▼         │
│  │  Signal     │                 ┌──────────────┐ │
│  │  Teams      │                 │   AI 大脑     │ │
│  └────────────┘                 │  Claude/GPT   │ │
│                                  │  /本地模型     │ │
│                                  └──────┬───────┘ │
│                                         │         │
│                                         ▼         │
│                                  ┌──────────────┐ │
│                                  │   工具层      │ │
│                                  │  浏览器控制    │ │
│                                  │  文件读写      │ │
│                                  │  Shell 执行    │ │
│                                  │  定时任务      │ │
│                                  │  50+ 集成     │ │
│                                  └──────────────┘ │
└──────────────────────────────────────────────────┘

整个系统分为四层:

  1. 消息渠道层:支持 12+ 聊天平台同时接入
  2. Gateway 网关层:通过 WebSocket 统一管理所有连接,是整个系统的"中枢神经"
  3. AI 推理层:支持 Anthropic Claude、OpenAI、本地模型等多种大脑
  4. 工具执行层:浏览器控制(CDP 协议)、文件操作、Shell 命令、定时任务、Webhook 等

2.2 关键技术细节

Gateway 网关:运行在 ws://127.0.0.1:18789,是所有客户端、工具和事件系统的连接中心。这个设计让 Moltbot 不仅仅是一个聊天机器人,而是一个可扩展的 Agent 平台。

持久化记忆:你的偏好、对话历史、项目上下文都以文件形式存储在本地(~/.clawdbot/ 目录下)。不像 ChatGPT 那样每天重置,它会记住你上周随口提到的事情。

Canvas 画布:内置 A2UI(Agent-driven Visual Workspace),AI 可以在可视化画布上操作,支持更复杂的交互场景。

语音能力:支持语音唤醒和对话模式(Voice Wake & Talk),集成了 ElevenLabs,在 macOS/iOS/Android 上实现 “always-on speech”。

技能系统:支持 50+ 集成(Spotify、Obsidian、Gmail、GitHub 等),社区可以贡献自定义技能,AI 甚至可以自己编写新技能来扩展自身能力。

2.3 技术栈

项目技术选型
语言TypeScript
包管理pnpm
运行时Node.js ≥ 22
浏览器控制Chrome DevTools Protocol (CDP)
通信协议WebSocket
发布渠道stable / beta / dev 三轨制

三、改名风波:从 Clawdbot 到 Moltbot

3.1 事件经过

2026 年 1 月 27 日,项目创始人 Peter Steinberger 宣布:

“Anthropic 要求我们更改名称(商标相关),说实话?‘Molt’ 完美契合——这正是龙虾成长的方式。”

“Molt” 在英文中是"蜕壳"的意思。龙虾要长大,必须脱掉旧壳,换上新壳。这个名字既保留了龙虾 🦞 吉祥物的精神,又暗示了项目在"蜕变升级"。

改名原因很直接:Clawd 和 Claude 太像了,容易让人误以为这是 Anthropic 的官方产品。

3.2 改名引发的加密货币骗局

但改名过程中出了一个大乱子。

Steinberger 在重命名 GitHub 组织和 X(Twitter)账号时,释放旧账号和注册新账号之间出现了一个短暂的时间窗口。加密货币骗子敏锐地抓住了这个机会:

  1. 劫持旧账号:骗子立刻抢注了被释放的 GitHub 组织名和 X 账号
  2. 发行假代币:利用劫持的"官方"账号推广一个名叫 CLAWD 的假代币
  3. 疯狂炒作:代币市值在数小时内被炒到 1600 万美元
  4. 崩盘收割:随后暴跌 90%,大量投资者血本无归

Peter Steinberger 紧急发声明:他从未发行过任何代币,也没有任何计划这样做。 任何声称与项目有关的加密货币都是骗局。

这个事件给所有开源项目敲了警钟:改名是个高风险操作,尤其是在项目知名度很高的时候。

四、安全!安全!安全!

这是本文最重要的部分。如果你只看一节,就看这节。

4.1 核心问题:AI 有了"手"之后

传统的 AI 聊天工具最多只是给你错误的建议,你可以选择不采纳。但 Moltbot 不同——它可以直接操作你的电脑

这意味着:如果有人能控制你的 Moltbot,他们就相当于能控制你的电脑。

4.2 已发现的安全隐患

安全研究人员已经揭示了多个严重问题:

隐患一:明文存储凭证

Moltbot 将 API Key、OAuth 令牌等敏感信息以明文形式存储在 ~/.clawdbot/ 目录下。一旦你的电脑被入侵,这些凭证就会被直接读取。

隐患二:反向代理认证绕过

Moltbot 的认证系统默认信任来自 localhost 的连接。问题在于,很多人会在反向代理(如 Nginx)后面运行 Moltbot。此时所有外部连接看起来都来自 127.0.0.1,认证形同虚设。

安全研究员 @fmdz387 发现,大量 VPS 上的 Moltbot 实例暴露端口且无认证——这等于把自己的电脑"裸奔"在互联网上。

隐患三:提示注入攻击

安全研究员 Matvey Kukuy 做了一个演示:

  1. 给一个 Moltbot 用户发送一封精心构造的邮件
  2. 邮件内容包含隐藏的"指令"(提示注入)
  3. 当 Moltbot 读取邮件时,AI 把恶意指令当成了合法操作
  4. Moltbot 自动将用户最近 5 封邮件转发到攻击者的邮箱

整个过程只需 5 分钟,用户完全不知情。

隐患四:信息窃取恶意软件

安全公司 Hudson Rock 警告:像 RedLine、Lumma 这样的信息窃取恶意软件,很快就会开始专门针对 Moltbot 本地存储中的敏感数据。

隐患五:假冒 VSCode 扩展

Aikido 研究人员发现了一个伪装成 Clawdbot 的恶意 VSCode 扩展,安装后会在开发者机器上植入远程访问木马。

4.3 安全部署指南

如果你决定使用 Moltbot,请务必做到以下几点:

安全措施说明
不要以 root 运行创建专用的低权限用户来运行 Moltbot
不要裸奔端口如果部署在 VPS 上,必须配置防火墙和认证
限制文件访问只授予 Moltbot 访问特定文件夹的权限
从只读开始先给只读权限,确认安全后再逐步开放写权限
使用 Docker 沙箱在 Docker 容器中运行,限制工具访问范围
定期检查凭证监控 ~/.clawdbot/ 目录下的敏感文件
注意提示注入推荐使用 Claude Opus 4.5,其提示注入防护更强

正如苏打白在原帖中强调的:“裸奔必死,请勿在无防护情况下暴露端口!”

五、社区生态与资源

5.1 中文社区

@lyc_zh(YC 老师)建立了官方认可的最大中文社区,有问题可以进去交流。在 Moltbot 这样快速迭代的项目中,社区是最有价值的资源——因为官方文档永远跟不上变化速度。

5.2 高质量学习资源

类型推荐资源说明
概念理解@dotey 宝玉老师深度解析 Moltbot 是什么,强烈推荐先看
概念扫盲@binghe 冰河老师文字版详解,120 万+阅读量
安装教程@MiniMax_AI 官方教程官方出品的搭建指引
视频教程@lxfater 铁锤老师完整入门视频
避坑指南@mike_chong_zh 迈克老师几十小时踩坑总结
VPS 部署@discountifu 教程不用 Mac Mini 的替代方案
飞书接入@akokoi1 开源方案国内办公场景适配
安全警告@servasyy_ai 黄老师安全隐患深度解析

5.3 平替方案

如果你觉得 Moltbot 的风险太高,或者不想折腾,@YukerX 演示了用 Claude Code 实现类似体验。虽然功能没那么强大,但胜在简单安全。

六、冷静思考:这事儿到底意味着什么?

6.1 它是"iPhone 时刻"吗?

有人说 Moltbot 是"个人 AI 的 iPhone 时刻",也有人说它是"AGI 的早期体验"。但如果你冷静看,它更像是一个方向的验证——个人 AI Agent 的方向是对的,但现在的实现还很粗糙。

MacStories 称它为"个人 AI 助手的未来"。Andrej Karpathy 公开点赞。投资人 Chamath Palihapitiya 分享说 Moltbot 帮他"几分钟内省了 15% 的汽车保险费"。

但热度不等于成熟度。

6.2 真正的价值

Moltbot 最大的贡献不是技术本身,而是打开了大众对"个人 AI Agent"的想象力

  • AI 不应该只是回答问题的工具
  • AI 应该能主动为你工作
  • AI 应该 24 小时在线,随叫随到
  • AI 应该记住你的一切偏好

这些理念,之前只在技术圈讨论。Moltbot 把它变成了一个普通人可以体验的东西。

6.3 需要警惕的问题

但我们也要清醒地看到:

  1. 安全问题远未解决:一个能操作你电脑的 AI,安全门槛极高。22% 的企业组织中已发现员工在非授权情况下使用 Moltbot
  2. 开源不等于安全:代码开源只意味着可以被审计,不意味着已经安全
  3. 明文存储凭证是不可接受的设计缺陷
  4. “自主 Agent"的哲学问题:你真的信任 AI 自主替你做决策吗?从只读权限开始,而非上来就给完整系统访问

6.4 理性建议

苏打白在原帖开头说了一句话,我觉得非常中肯:

“不想折腾?跳过也没事,你不会因此错过一个亿,也不用焦虑,把它当个新资讯听听就好。”

如果你是技术爱好者,可以尝试部署一下,但请务必做好安全防护。如果你不是技术背景,建议先观望,等产品更成熟、安全问题解决得更好之后再上手。

工具只是手段,不是目的。

总结

Moltbot(原 Clawdbot)在短短一周内从默默无闻到 8 万 Star,再到被迫改名、遭遇加密骗局,经历了一个开源项目能遇到的几乎所有戏剧性事件。

它验证了一个重要方向:个人 AI Agent 的时代正在到来。 但同时也暴露了这个方向面临的核心挑战——安全、信任和权限边界。

如果你对这个领域感兴趣,可以从了解 Moltbot 的架构开始,思考 AI Agent 的未来走向。如果你只是好奇,那现在你已经知道了它是什么、为什么火、以及需要注意什么——这就够了。

龙虾蜕壳之后会长大。这个项目也一样,期待它变得更成熟、更安全。

相关阅读

参考资源