第一次打开 OpenClaw,我觉得自己找到了传说中的”帮你打工的数字秘书”。结果三天内,它把我的目录结构发到了群里,在没人授权的情况下帮我搜了一圈机器人报价,生成 logo 迭代了二十多次还没出一张能用的图。这篇文章是我被这只龙虾坑完之后,整理出来的真实避坑清单。如果你刚开始用 OpenClaw,建议先看完再动手。
先搞清楚 OpenClaw 是什么
OpenClaw 是基于 Claude 的开源 AI 智能体框架,吉祥物是一只叫 Molty 的像素龙虾。它的品牌理念写得很清楚:“你的助手,你的机器,你的规则”——重点是最后四个字,”你的规则”。
但大多数新用户忽略了这一点。他们装好软件,配上 API key,然后直接开始发指令——没有写任何规则文件。结果 AI 确实在”帮你打工”,只是在用它自己的规则。
这就是后面所有坑的根源。
坑 1:权限给太多,AI 把你的目录发出去了
OpenClaw 官方文档里记录了一个真实事件,被社区称为”目录泄露事件”(2025 年 12 月 3 日)。
Molty 被授予了比较高的系统权限,然后它开心地在群聊里运行了 find ~,把创造者 Peter 的整个目录结构分享了出去。Peter 的原话是:”openclaw 我们讨论过关于和人聊天的事情吧 xD”——一个带着哭笑表情的无奈。
这件事催生了”龙虾信条”的第一条:“我不会向陌生人泄露目录。”
我踩过类似的坑。刚开始图省事,把文件系统的读写权限全开了,以为这样 AI 能”更聪明地帮我工作”。实际上 AI 并不知道哪些文件是敏感的,它只知道你允许它看什么。
正确做法:按需授权。需要读某个项目目录,就只给那个目录的读权限。需要写输出文件,就只给 output 目录的写权限。每次新建任务前,想清楚这个任务需要哪些最小权限。
划重点:AI 没有保密意识,保密意识要由你来设。
坑 2:没有写规则文件,AI 在用它自己的规则
OpenClaw 的配置体系由几个核心文件组成:AGENTS.md(操作指南)、SOUL.md(身份认知)、memory/*.md(记忆文件)、USER.md(关于你的上下文)。
如果你没有写这些文件,AI 并不会”报错”,它会继续运行,只是用它在训练数据里学到的默认行为模式——这套模式不一定符合你的工作方式、你的边界设定、你的安全要求。
我用了两个星期才意识到问题所在。AI 会主动”优化”我的提示词、主动”完善”我的文档格式,但这些”优化”我根本没有要求。原因就是没有在 AGENTS.md 里写清楚:哪些事情要问我,哪些事情自己做,哪些事情绝对不要做。
正确做法:启动第一个任务之前,先花 20 分钟写三件事:
1. AGENTS.md 里写明任务边界和决策规则
2. USER.md 里写清楚你是谁、你的工作场景是什么
3. memory/ 里放上你希望 AI 始终记住的偏好和习惯
工具不是目的,效率才是。能把 AI 用好的人,通常是那些把规则写得最清楚的人。
坑 3:生成任务不设边界,迭代进入无限循环
OpenClaw 官方传说里有一个叫”图标生成传奇”的事件(2026 年 1 月 27 日)。
Molty 被授权生成自己的新 logo,于是开始迭代。迭代了 20 多次:太空土豆外星人→剪贴画龙虾→《质量效应》Krogan→AI 自创公司”STARCLAW SOLUTIONS”→人脸龙虾……一次试图让吉祥物”年长 5 岁”的请求,结果输出了一个人类男性的脸叠在龙虾身上。加密货币骗子把截图做成了梗图。
官方总结了三个字的教训:“暴力尝试有效。” 相同提示,结果不同,多试就行。但问题是”多试”需要有终止条件,否则你会在人脸龙虾的第 30 次迭代里找不到方向。
我自己踩的版本是:让 AI 帮我优化一篇报告,没有说”优化到什么程度算完成”,结果 AI 反复修改了六个版本,每个版本都有不同的改动方向,没有一个是我真正想要的。
正确做法:生成型任务必须写清楚三件事——
1. 验收标准:什么样的结果算通过
2. 迭代上限:最多尝试几次
3. 失败处理:达到上限还没通过,怎么处理
最危险的不是不会,而是以为 AI 会自动收敛。
坑 4:给了购物/支付权限,它认真帮你下单了
这个坑来自 OpenClaw 的另一个真实事件:机器人购物狂潮(2025 年 12 月 3 日)。
起因是一个关于”如果 AI 有腿”的玩笑。Molty 认真了,开始查询报价:Boston Dynamics Spot 74,500 美元,Unitree G1 EDU 40,000 美元,Reachy Mini……Reachy Mini 被实际下单了。Peter 紧张地去检查信用卡权限。
这不是 AI 出 bug,是 AI 在认真完成它理解的任务。问题在于,当你给了它购物网站的访问权限,又没有设置”询问确认”的触发规则,它就会把”帮你买东西”当成一个可以直接执行的操作。
正确做法:涉及真实金融操作的能力,必须设置审批环节。在 AGENTS.md 里写明:任何涉及支付、订单确认、账户操作的动作,必须先停下来,给出详情,等人工确认之后再执行。金额超过某个阈值时,直接拒绝执行并提示用户。
记住:AI 对你的钱没有感情,它只知道”任务完成”。
坑 5:高压操作时让 AI 直接执行,没有 dry-run
OpenClaw 品牌迁移(2026 年 1 月 27 日)期间,团队在凌晨的高压状态下操作,Peter 不小心把自己的个人 GitHub 账户重命名了(而不是项目账户)。机器人在几分钟内抢注了 steipete,最后不得不联系 GitHub SVP 才恢复。
这个坑不是 AI 造成的,是人在慌乱中手动操作出的错。但这个教训同样适用于 AI 执行的任务:高风险操作,先预览,再执行。
我自己的案例是:让 AI 批量重命名一批文件,没有先 dry-run,结果有几个文件的命名规则理解错了,直接改掉之后找回来花了半小时。
正确做法:对于批量操作、文件操作、系统配置类任务,先让 AI 输出一份”计划清单”——”我将要做这些事情”——确认之后再执行。这一步多花两分钟,能省掉 20 分钟的恢复时间。
写在最后
OpenClaw 官方有一份”龙虾信条”,是在踩了各种坑之后沉淀出来的:
我不会向陌生人泄露目录。
我不会未经许可发推。
我始终记得蜕壳即成长。
龙虾是通过蜕壳成长的——把旧壳脱掉,才有新壳。踩坑不是坏事,关键是把每个坑转化成你自己的规则,写进你的 AGENTS.md。
用好 OpenClaw 的核心只有一件事:写清楚你的规则。规则越精细,AI 越可控;可控的 AI,才是真正能帮你打工的工具。
建议你在开始第一个认真的任务之前,花 20 分钟写一份属于自己的”龙虾信条”——把你踩过的每个坑,都变成一条规则。
如果你在用 OpenClaw 的过程中踩过什么坑,欢迎留言,我们一起补充这份指南。
