OpenClaw 4個月登頂 GitHub——這不只是一個數字，是一個時代交接的信號

OpenClaw 登頂 GitHub , 4 個月衝上 25 萬 Stars，AI 代理框架寫下 GitHub 新紀錄。但在光鮮數字背後，是高危漏洞、824 個惡意套件與 2 萬個暴露實例的真實風險。這場速度與安全的拉鋸戰，正揭開 AI 時代最關鍵的一頁。

AI觀察日記 | AI未來週報

Mar 04, 2026

TL;DR（3 分鐘掌握全貌）

🚀 里程碑：OpenClaw 於 2026 年 3 月 3 日突破 250K GitHub Stars，以 4 個月打破 React 用 13 年創下的紀錄，成為 GitHub 史上最受矚目的非聚合類軟體專案。這不只是一個數字，而是一個明確的訊號：AI 代理框架正在接替開發者基礎設施工具，成為這個時代的核心技術層。
🚨 警報：OpenClaw 的爆炸式成長同步帶來了前所未有的安全危機——CVSS 8.8 的高危漏洞（CVE-2026-25253）、供應鏈攻擊「ClawHavoc」污染 824+ 個惡意套件、公網暴露實例在 6 天內從 1,000 暴增至 21,000——而這一切發生時，數十萬用戶幾乎毫無察覺。
🎯 你該怎麼想：OpenClaw 是 2026 年 AI 採用曲線最真實的一面鏡子：熱情比理解跑得更快，增長比安全跑得更快。對台灣企業和開發者來說，問題不是「要不要用 AI 代理」，而是「在你真正理解它的邊界之前，你準備好承擔什麼風險？」

背景脈絡（Context）

GitHub Stars 是一個不完美但極具說明力的指標。

它不等於用戶數，不等於商業價值，也不等於程式碼品質。但它是全球開發者社群集體選擇「關注」一個專案的紀錄——跨越了語言、時區、公司規模，這個數字的累積本身就是一種投票。

以這個視角來看，此前的前三名代表著截然不同的三個時代：

Linux（22 萬 Stars）：1991 年誕生的作業系統核心。GitHub 在 Linux 創立 17 年後才出現，所以它的 22 萬顆星本來就不能衡量它的真實影響力。今天你讀到這篇文章的伺服器，底層幾乎可以確定跑的是 Linux。它是整個現代網際網路的地基，22 萬 Stars 代表的是「補登了 17 年後的共識認可」。

React（24.3 萬 Stars）：Facebook 在 2013 年開源的前端框架。過去十年，你看過的大多數網頁和 App，底層都在用它。24.3 萬，是 13 年統治 Web 開發時代的積累，是工程師在無數個深夜的「這個確實好用」的一次次點擊。

OpenClaw（25 萬+ Stars）：2025 年 11 月發布，讓任何人都可以透過 WhatsApp、Discord、iMessage、Slack 等訊息平台建立和部署 AI 代理，底層支援 Claude、ChatGPT、Gemini、Grok。它在 4 個月之內，超越了前兩者。

https://x.com/openclaw/status/2028347703621464481

深度解析（Deep Dive）

1. 「4 個月 vs. 13 年」：速度本身就是訊號

要理解 OpenClaw 的速度，先看一個對比：

React 在最初的 14 天内累積了大約 1,000 顆 Stars。 OpenClaw 在發布後 14 天內累積了超過 19 萬顆 Stars。

這不是量級上的差距，這是範式上的差距。

過去的頂流開源專案，傳播路徑幾乎都是自上而下的：一個架構師在技術大會上介紹它，工程師回去試用，回報給 CTO，然後團隊跟進。這個循環慢，但穩定，因為每一層都有「我到底在用什麼」的認知基礎。

OpenClaw 打破了這個路徑。它的 Stars 有相當大的比例，來自那些甚至不知道 GitHub 是什麼的人——他們的熱情透過社群媒體層層傳遞，最終匯入了那根穿雲箭。

這是一個值得慎重對待的結構：一個需要在系統層級執行指令的工具，它的採用速度超越了用戶的理解速度。

2. 「基礎設施時代 → 代理時代」：GitHub #1 交棒意味著什麼

OpenClaw 登頂 GitHub 這件事，在我看來有一個明確的象徵意義：

從 Linux 到 React，再到 OpenClaw，GitHub 前三名的交棒軌跡，幾乎是數位時代技術層次演進的縮影——

作業系統層（Linux）→ 應用介面層（React）→ 代理執行層（OpenClaw）

換一個方式說：過去十年，我們把軟體做得更好用；接下來十年，我們要讓軟體自己決定怎麼用。

OpenClaw 本質上是一個「讓 AI 代替你使用軟體」的框架。你告訴它目標，它呼叫工具、執行步驟、跨平台協作，把結果交回給你。這個架構是 2025 年底到 2026 年「Agentic AI」浪潮最具代表性的開源實作。

它登頂 GitHub，不只是一個開源專案的成就，而是一個清晰的市場訊號：開發者社群已經把注押在「代理框架」上，而不是「更好的前端框架」。 這個押注方向的轉變，對台灣的軟體開發策略和企業 AI 投資方向，有直接的參考價值。

3. 警報已響：你可能還不知道的真實安全危機

這是原文提到「巨型警報」的地方，但現實比直覺更具體。

在 OpenClaw 的 Stars 數字狂飆的同時，安全研究社群正在記錄一系列高嚴重度漏洞：

CVE-2026-25253（CVSS 8.8，高危） OpenClaw 的本地伺服器未驗證 WebSocket origin header，這代表任何網站只要誘導用戶點擊一個連結，就可以在沒有任何警告的情況下靜默連入用戶正在執行的 OpenClaw 代理，並取得完整的程式碼執行權限。這個漏洞已在 2026.1.29 版本修補，但在修補前有多少公網暴露實例已被利用，目前尚無公開數字。

「ClawHavoc」供應鏈攻擊 OpenClaw 的套件市集 ClawHub 遭到大規模污染。安全研究人員審計了 341 個惡意條目，其中 335 個被追溯到同一個協調操作。截至 2026 年 2 月 16 日，確認的惡意套件數量已增至 824 個以上。這意味著：從 ClawHub 安裝套件的用戶，在不知情的情況下，可能已經讓攻擊者在自己的代理環境裡埋入了後門。

公網暴露實例爆炸式增長 安全研究人員追蹤到，公開暴露在網際網路上的 OpenClaw 實例，在 2026 年 1 月 25 日到 31 日的 6 天之內，從約 1,000 個暴增至超過 21,000 個。這些實例可被遠端直接攻擊，無需任何社交工程步驟。

間接 Prompt Injection 作為一個設計上需要「接收外部內容並執行指令」的代理框架，OpenClaw 天然對 Prompt Injection 攻擊高度敏感。攻擊者可以在代理會抓取的網頁或文件中埋入惡意指令，讓代理在執行過程中在用戶不知情的情況下觸發未授權的工具呼叫、數據讀取或設定修改。

這是一個重要的背景框架：OpenClaw 的用戶數是 30–40 萬，但大多數用戶對上述任何一個漏洞的存在都毫無概念。

4. 台灣企業和開發者，現在需要做什麼判斷

先釐清一個認知誤區：上述風險不代表 OpenClaw 不能用，或者 AI 代理框架是個壞主意。 風險的存在是技術成熟度不足的表現，不是原罪。Linux 在早期也有大量漏洞；React 的早期版本也有 XSS 問題。

真正需要判斷的，是：你現在的採用速度和理解深度是否匹配？

給台灣開發者和企業的實際框架：

如果你是個人開發者 / 小型團隊在探索 OpenClaw：

確認已更新到 2026.1.29+ 版本（CVE-2026-25253 修補版）
不要從 ClawHub 安裝未經驗證的第三方套件，只用官方套件或自行審閱過程式碼的套件
不要在公網環境直接暴露 OpenClaw 本地伺服器，加上適當的網路隔離

如果你是企業正在評估 AI 代理導入：

在安全架構評估完成前，不建議讓 OpenClaw 接觸生產環境的帳號憑證或敏感資料
關注 Microsoft Security Blog 和 Cisco 的持續風險評估報告（兩者都已有 OpenClaw 專項研究）
代理框架的採購評估應包含「runtime 隔離機制」和「套件供應鏈審計能力」這兩個維度

如果你是 AI 產品策略負責人：

OpenClaw 的開源架構和生態可以作為內部代理系統的設計參考
但在客戶產品中整合 OpenClaw 之前，需要完整的安全評估，並告知用戶相關風險
關注 ClawHub 的安全審計機制是否完善，這是決定生態健康的關鍵節點

Future Lin’s Take Away（分析師觀點）

這件事有兩個層次讓我感興趣，一個關於技術，一個關於人。

技術層次：OpenClaw 登頂 GitHub 是一個真實的範式轉移訊號，但它更多反映的是「開發者想要什麼」，而不是「市場已經準備好什麼」。

Stars 是意圖，不是成熟度。一個 4 個月累積 25 萬 Stars 的框架，同時也是一個 4 個月積累了 824 個惡意套件的生態系——這兩件事是同一個故事的兩面。速度是 AI 代理時代最重要的資產，也是最危險的狀態。

人的層次更讓我思考的，是這根穿雲箭的驅動力。GitHub Stars 是開發者的行動，但這次推動的力量有相當部分來自完全不懂 GitHub 的人——他們的熱情透過社群媒體傳遞，成為了一個開發者平台上的 Stars 數字。這個傳導鏈意味著：採用 AI 代理技術的人群，正在快速超越理解 AI 代理技術的人群。

這不是壞事本身，任何技術的普及都要經歷這個階段。但在 AI 代理的場景下，這個落差的成本特別高——因為 AI 代理不只是一個你安裝在電腦上的軟體，它是一個你授權去代表你行動的實體。它代替你讀郵件、執行指令、連接你的帳號。如果它被攻擊，被攻擊的不只是它，而是你。

2000 年的網路泡沫，人們賭上的是錢。這次，人們在沒有充分理解的情況下，賭上的是自己的數位主權。

我認為台灣的 AI 圈在這個節點上，需要做的不是保持觀望，也不是無條件跟風——而是建立一個有意識的採用節奏：用得夠快，才不會被邊緣化；理解得夠深，才不會成為下一批攻擊目標。

本篇關鍵字： #OpenClaw #AI代理 #GitHub #AI安全 #開源 #AI治理

📩 覺得這篇分析有幫助？歡迎分享給你關心 AI 安全的朋友。

🔔 訂閱《AI未來週報》，每週收到最精準的 AI 產業洞察 →

💬 想即時討論？加入 AI觀察日記 LINE 社群，輸入通關密語「Monday」→ https://reurl.cc/2Kxy94

本文分析素材來源：GitHub 官方數據、Main Branch 分析報告、Startup News、Star History、Microsoft Security Blog、Cisco Security Blog、Dark Reading、The Hacker News、Infosecurity Magazine，綜合截至 2026-03-03 之公開資料。

AI觀察日記 AI未來週報 | (AI觀察家訂閱計劃)

Discussion about this post

Ready for more?

AI觀察日記 AI未來週報 | (AI觀察家 訂閱計劃)