先说结论：OpenClaw 是一个跑在你自己设备上的开源 AI 助手/Agent 平台。它不是单纯聊天，而是一个“有控制面、有消息通道、有技能、有工具调用”的个人助手系统，能接到 WhatsApp、Telegram、Slack、Discord、飞书、iMessage 等很多渠道，还支持语音收发和可交互 Canvas。官方 README 现在把它定位成 “your own personal AI assistant”，推荐通过 openclaw onboard 向导来安装，运行时要求 Node 22 以上。([GitHub][1])

最近的正式版是 openclaw 2026.3.8，发布时间是 2026 年 3 月 9 日。 GitHub Releases 页面把它标成了 Latest。这个版本最值得注意的变化，不是“又加了一个模型”，而是更偏向可运维性和稳定使用：比如新增 openclaw backup create / openclaw backup verify，说明项目开始把“备份、校验、灾难恢复”当成一等公民；同时还给 macOS onboarding 增加了远程 gateway token 相关配置，并且保留已有的非明文 token 配置，避免用户在远程模式下把鉴权弄坏。这个方向说明它已经从“能跑起来”进入“能长期养”的阶段。([GitHub][2])

如果你想理解 OpenClaw 最近为什么这么火，核心不是“它会不会回答问题”，而是它把几个原本分散的能力拼成了一套比较完整的个人 Agent 操作系统：

1. 渠道层 ：把 Telegram、Slack、飞书、iMessage 之类都接进来。
2. 网关层（Gateway） ：统一接收消息、路由、会话、设备鉴权。
3. 模型层 ：支持多模型、多提供商、认证配置与故障切换。
4. 技能/插件层 ：通过 skill 和插件扩展能力。
5. 本地优先 ：强调你自己控制设备、配置、工作区和运行时。

这也是它和很多“网页里点几下的 AI Agent”最大的不同：OpenClaw 更像一个个人常驻代理基础设施，而不是一次性的 demo。官方文档入口和 README 都在围绕 onboarding、gateway、workspace、channels、skills、model failover 这些概念组织。([GitHub][1])

从最近几个版本看，OpenClaw 的演进重点非常清晰：

一是“让 Agent 更像平台，而不是脚本拼装”。2026.3.7 里加入了 ContextEngine 插件接口，包含 bootstrap、ingest、assemble、compact、afterTurn 等完整生命周期，还支持子代理运行时作用域。这不是小修小补，而是在把上下文管理正式抽象成可插拔系统。简单说，以后“记忆怎么整理、上下文怎么压缩、子任务怎么继承上下文”都能被更系统地扩展。对开发者来说，这是平台化信号。([GitHub][2])

二是“把多模态和工具能力做细”。2026.3.2 和相邻版本里，能看到 PDF diff 输出支持、渲染质量控制、STT 音频转写接口、消息转写生命周期 hooks、音频 transcript 回显等。这些能力单看都不震撼，但合在一起说明它在补“真实工作流”里的细节短板：文件差异、语音消息、群聊事件、自动化后处理。不是只做一条 Agent 主链路，而是在补辅助链路。([GitHub][2])

三是“模型接入越来越工程化”。官方 README 现在不仅写支持多模型，还专门提到模型配置、CLI、auth profile rotation、failover。2026.3.7 还加入了 Gemini 3.1 Flash-Lite 的一等支持；2026.3.1 则把 Claude 4.6 系列默认 thinking 级别调成 adaptive。这表明 OpenClaw 已经不再是“接个 API key 就完事”，而是在做多模型路由、默认策略、回退链路。([GitHub][1])

四是“最近明显在补安全”。这点非常关键。OpenClaw 爆红之后，安全问题也跟着暴露得非常快。GitHub 的公开安全页面明确提醒：它的安全模型是“个人助手、单一可信操作者”，不是多租户共享系统；如果多个用户能同时驱动同一个有工具权限的 agent，他们实际上都能在已授予权限范围内操纵这个 agent。换句话说，它天然更适合个人或强信任小环境，不适合拿来当公共 Bot 平台直接裸跑。([GitHub][3])

而且最近确实有多起安全事件/修复值得注意：

• GitHub 安全公告显示， 本地文件通过 MEDIA 路径暂存导致泄露 的问题已要求升级到  2026.2.1  或更高版本。([GitHub][4])
• 另一个安全公告提到， citation URL redirect 可能触发 SSRF 到内网/本地地址 ，受影响版本到  2026.2.26 ，之后已修补。([GitHub][5])
• 还有关于  LINE/Mattermost allowlist scope mismatch  的安全修复，补丁版本标记为  >= 2026.2.26 。([GitHub][6])
• GitHub 社区里最近也有不少围绕恶意 skill、技能供应链扫描、实例暴露公网、设备 token 配置风险的讨论。需要注意，这类 Discussion/Issue 有些是社区贡献而不是官方审计结论，所以我会把它们看作 风险信号 ，不是最终定论。([GitHub][7])

所以，“最近的 OpenClaw”真正的关键词其实是三件事：平台化、爆红、补安全。

你可以把它理解成：

• 去年很多 Agent 项目是在拼“能不能自动完成任务”；
• 最近的 OpenClaw 在拼的是“ 能不能长期作为个人 AI 基础设施存在 ”。

这就带来两个很现实的变化：

对普通用户：它越来越像“私人数字助手中枢”。你不是只在网页里问一句，而是把它接进日常消息入口、语音、文件、自动化流程里。最近版本新增备份和验证，就是为了让你敢把配置和工作区长期积累下去。([GitHub][2])

对开发者/高级用户：它越来越像“可编排的 Agent Runtime”。ContextEngine、插件运行时、channelRuntime、STT API、系统 heartbeat、diff/PDF 输出，这些都意味着它正从“项目”变成“生态底座”。技能目录 clawhub 也在强调 skill metadata、运行时声明和安全分析。([GitHub][2])

不过我也得给你一个比较实在的判断：

OpenClaw 现在很强，但也还很“热启动期”。优点是功能扩张快、生态活、渠道多、开发节奏猛；缺点是版本更迭非常快，安全边界和默认配置还在快速收紧，社区里也能看到不少升级后兼容性、设备 token、会话签名、gateway 启动之类的问题讨论。也就是说，它更像一个高速进化中的基础设施，不是那种“装完一年别动”的成熟企业软件。([GitHub][2])

如果你问我现在该怎么评价它，我会这样说：

它已经不是“下一个 Agent Demo”，而是“个人 AI 操作系统候选者”。但它最适合的人，不是完全零运维用户，而是愿意自己掌控设备、配置、模型和安全边界的人。尤其最近这波安全修复已经说明：你越把它当本地私人助手，它越合理；你越把它当公共托管 Bot 平台，它越容易踩坑。([GitHub][1])