3月19日,深圳报业集团旗下深圳特区报发布的《深圳首个开源Tenbox:以安全赋能AI"养虾",引领智能体生态正向发展》文中提及,Tenbox是"深圳首个针对AI智能体OpenClaw的开源安全工具"。报道记录了一个细节:这款工具的核心研发者,是深耕AI领域十年、2016年创立十方融海的董事长黄冠;而他做出开发Tenbox的决定,来源于他自己使用OpenClaw时亲身察觉的安全风险。一个在产业前沿摸爬的技术创业者,用自己的方式给出了一个迄今最具实践价值的答案。
如果你关注过GitHub的历史,你会知道,一个项目想在短时间内积累超过25万Stars,几乎是一件不可能的事。React从2013年开源,花了十三年才触及这个数字。而OpenClaw,从2025年11月开源到2026年3月登顶GitHub历史榜首,只用了60天。
这件事本身就值得停下来想一想:是什么让一款本地优先的AI智能体,在极短的时间里成为全球最受关注的开源项目?更值得想的是:当所有人都在涌入这场风暴时,这个深圳极客选择站在边缘,做了一件看似不起眼、却可能比"养虾"本身更加深远的事。
这个人是黄冠,这件事叫Tenbox。
OpenClaw热潮的政治经济学
理解Tenbox,需要先理解OpenClaw为什么会爆。
表面上,OpenClaw的走红是一个技术故事:AI从“思考”到“行动”的质变,让普通用户第一次触摸到“全自动数字助理”的真实形态。但如果把视角拉到产业维度,这其实是一个关于“谁来控制AI能力分发”的结构性命题正在被颠覆的故事。
过去数年,大语言模型的能力被牢牢锁在大厂的API里——你能用多强的AI,取决于你能付多少钱、愿意接受多少数据条款。OpenClaw的出现提供了另一种可能:模型可以本地跑,技能可以社区开发,部署可以自己掌控。它把AI能力的分发权,从大厂生态下移到了个人和开发者手中。
这才是OpenClaw真正触动科技圈神经的东西,也是国内大厂——腾讯推出QClaw、字节推出ArkClaw、智谱推出AutoClaw、MiniMax、Kimi、阿里相继入局——急于在这个生态里抢占位置的根本原因。一个能让AI在本地“自主行动“的框架,一旦形成生态效应,其价值将远超任何单一的API调用服务。
深圳龙岗区政府的动作则提供了另一个维度的注脚:出台政策征求意见,提出建设“龙虾服务区”,为开发者提供免费部署服务与补贴。当地方政府开始为一个开源AI项目专门立法施策,说明OpenClaw已经从技术议题,升维成了产业竞争的新战场。
被忽略的另一面:当「自主行动」遭遇「权限失控」
但繁荣之下,有一道裂缝在悄悄扩大。
OpenClaw的能力模型,决定了它天然是一个高风险工具。它需要访问你的文件、你的系统、你的账户,才能替你“干活”。这种高权限特性,在用户主动授权的情境下是效率红利,一旦被滥用或遭受攻击,就会变成灾难。
工信部NVDB的预警数据让这一问题有了具体轮廓:约1.7万个OpenClaw实例直接暴露于公网,多数使用默认端口,毫无防护。天融信安全研究报告披露,技能市场(ClawHub)已发现数百个恶意技能,ClawHavoc行动一次性植入逾千个伪装插件;已披露的CVE-2026-25253漏洞CVSS评分8.8,攻击者可通过恶意网页直接获取本地Token、实现远程代码执行。
更隐蔽的风险来自“提示词注入”:攻击者在网页中嵌入伪装成正常内容的恶意指令,当OpenClaw访问该页面时,AI会将其视为合法指令执行——批量删除文件、发送敏感邮件、转移账户资产,都是有据可查的攻击场景。
这些风险的存在,并不是说OpenClaw是一款“坏产品”,而是说,在“行动式AI”这个新范式下,原有的安全框架远远没有准备好。传统的杀毒软件防的是已知恶意代码,却对“AI被诱导执行合法操作”完全无力;传统的权限管理针对的是软件层面,却无法应对“AI跨越权限边界自主决策”这类新型威胁。
行业面临的,是一道没有现成答案的新题。
Tenbox的产品哲学:把「护城河」挖在前面
黄冠的回答,体现在Tenbox的产品设计里。
(Tenbox将“龙虾”养在虚拟机上保护主机)
Tenbox的技术选择,本质上是一次“威胁建模”的产品化实践。面对OpenClaw的两类核心风险——高权限暴露和配置门槛过高,Tenbox提供了对应的解法:
对于高权限暴露,Tenbox采用云端虚拟机沙盒。AI智能体运行在完全隔离的虚拟环境中,与用户主系统之间不存在直接的文件系统交叉;同时引入文件级权限控制,用户可明确指定哪些文件对AI可见,而非默认全盘开放。即使AI遭受攻击或产生误操作,影响范围也被硬性限制在沙盒内部。
对于配置门槛过高,Tenbox提供一键部署能力,新手用户能在较短时间内运行一个具备安全隔离的AI智能体。
这种“把安全门槛降低到普通用户可接受的水平”的产品思路,恰恰是当前AI安全生态中最稀缺的东西。安全研究者懂威胁,但不懂产品设计;产品团队懂体验,但不懂安全架构——Tenbox的价值,在于它同时懂得这两件事。
黄冠此前主导的小智AI开源项目,已经证明他对“安全易用性”的判断力:小智AI在开源后迅速登顶GitHub Trending全球榜首,在24K+ Stars和120万台硬件接入之外,更重要的是它被大量中小企业作为底层支撑,覆盖教育、文娱、家居、养老等20余个行业——这意味着它必须在安全性和可部署性之间找到最大公约数。Tenbox,是这种判断力的延续。
为什么「开源」是唯一正确的选择
Tenbox当然也可以做成一款商业产品。付费的沙盒服务、企业级的安全部署方案,这条路完全走得通。但黄冠选择了开源。
理解这个选择,需要回到OpenClaw生态的结构逻辑。OpenClaw的繁荣,本质上是开源社区协作的成果——数以千计的开发者贡献技能、报告漏洞、参与迭代,才让这个生态如此迅速地扩张。但这套协作机制,在安全层面却出现了系统性失灵:每个人都在往生态里加东西,没有人对整体安全负责。
Tenbox的开源,是在这个失灵的系统里,主动插入一个“公共安全基础设施”的锚点。当更多开发者参与Tenbox的迭代,意味着更多安全场景被发现和处理,意味着更多AI框架被集成和验证,也意味着“安全养虾”的基准线在整个社区层面被抬高。
这是一种产品哲学层面的赌注:相信开放比封闭更能解决开放带来的问题。黄冠说过一句话,颇能体现这种逻辑:“技术不应有边界,真正的创新需要集体智慧的碰撞。”在AI安全这个领域,或许也只有集体智慧,才有可能追上集体创造出的风险。
当我们把2026年AI行业的图景拉开来看,OpenClaw与Tenbox的出现,代表着行业进入了一个新的发展阶段——不再只是“能做什么”的问题,而是“怎样做才是对的”。
在这个阶段,最需要的人,不是那些在技术前沿挑战极限的探索者,也不是那些在资本市场讲述最大故事的布道者——而是那些在繁荣的狂欢之后,愿意回头把安全和秩序重新建立起来的建设者。
Tenbox的意义,也许就在于此:它告诉我们,技术极客不只能创造新工具,也可以成为负责任的生态守卫者。而在AI能力持续膨胀的时代,我们太需要这样的守卫者了。
