编辑:好困 定慧
【新智元导读】全民养虾狂欢两个月,装的人多,卸的人更多。但问题不是龙虾不行,是没养对。
2026年3月,一场全民「养虾」运动席卷中国。
不是小龙虾,是AI龙虾。准确地说,是一种能自己操控电脑、帮你干活的AI智能体。
从南到北,从2岁孩童到60岁老人,从深圳到北京,人人都在问你养龙虾了吗?
 |  |
但新鲜劲过得比想象中快。装虾的热搜还没凉,卸虾的生意就开张了。
同一拨商家,前脚上门装虾499,后脚接单卸虾299,小红书、闲鱼、微信群遍地开花。装虾、教虾、卸虾,产业链属实是玩明白了。
为什么卸?
场景没找到,龙虾天天闲着;Token烧不起,月薪两万养不起一只虾。
安全更是重灾区,Meta AI安全研究总监Summer Yue把工作邮箱接入OpenClaw,龙虾开始高速删邮件,连发「STOP」都叫不住,最后物理拔线才止住。专业搞AI安全的人都翻了船,普通人可想而知。
所以当火山引擎上线ArkClaw的时候,它试图回答的其实是一个更本质的问题:普通人,到底该怎么养虾?
答案是,别在家里(本地)养了,搬到云上来。
把龙虾搬进浏览器
这就是ArkClaw干的事。
一句话定义:云上的OpenClaw,开箱即用。
订阅Coding Plan后,打开控制台龙虾就在跑了。订阅制,费用包月,不用盯着Token计费器肉疼。
新用户限时可享首月特价优惠
模型方面搭载Seed 2.0系列,同时兼容DeepSeek、Kimi、MiniMax、GLM等主流大模型,支持Auto模式智能调度。
生图模型Seedream、生视频模型Seedance则可以通过方舟一键开通,接入API Key即可使用。
从此,龙虾不只会写,还会画和拍。
 |  |
另一个让人眼前一亮的能力,是对各大IM平台的深度打通。
飞书的接入最省心,打开APP扫码就能用,配置完成后,它就能以你的身份直接操作文档、日历、任务、在群里回消息。企业微信、钉钉等主流办公APP同样支持。
当然,所有操作都需要用户主动授权,范围可以精确到文档级别。不用担心权限会被一股脑地交出去。
 |  |
飞书扫码一键安装、秒级开通
文件交互靠TOS网盘,挂载对象存储桶实现本地与云端双向传输,虽然不能直接读写本地硬盘,但链路已经跑通了。
总之,不用买服务器,不用碰命令行,不用自己配环境,打开浏览器就能养虾。
至于效果如何,还得拉到真实场景里去验。
ArkClaw能干啥?
坊间对龙虾的消极情绪正在蔓延,本质不是产品不好,而是大家不知道拿它干啥。
核心原因,主要还是各种xx-Claw的部署场景不够完善,需要养很久才能用的顺手。
找不到场景,就会觉得,为什么需要一个ArkClaw?
这一次,ArkClaw搭配豆包最强Seed 2.0 Pro模型,加上飞书「操作系统级」的平台能力,试图把云端龙虾的体验拉到一个新台阶。
从选题到发稿,龙虾当上编辑
配好ArkClaw,第一件事是造Skill。
把平时翻译用的Prompt丢给龙虾,让它自己打包成Skill,两分钟搞定。
再装上两个之前做好的:一个自动选题,一个直接写稿。
第二天居家办公,正好拿它实战。
 |  |
(为啥打码?是因为真的在用)
上下滑动查看
前一晚同事在飞书群里一句话就约好了第二天9点的工作会议。
@龙虾,时间、参会人、日历提醒,全自动搞定。
这就是飞书深度打通的好处,不需要切出去开日历,ArkClaw直接在群里把事办了。
开会之前,先让它找选题。
丢了三个链接:DeepMind官方博客、OpenAI新闻页、Anthropic新闻页。
ArkClaw很快就交了卷。
有趣的是,它竟然自己主动调用了联网搜索Skill,跑去找了相关报道做交叉验证,消息来源标注得清清楚楚。
 |  |
9点开会,拿着选题报告跟同事过了一遍,定下第一个:DeepMind十年磨剑,AlphaGo「第37手」开启AGI。
拿到题目后,ArkClaw自动调用「写作Skill」,并给出了写作方案——
开篇引爆、背景回溯、核心论述、深度拆解、结尾升华,字数约3000字。
看完感觉这一版有两趴太硬,砍掉。
龙虾秒懂,调整结构,保留核心叙事主线,字数压到2000字。
 |  |
一声令下,很快一篇完整的文章出来了。
顺手把稿子发到设计群里,@设计同事的龙虾,让它给文章出一张配图。
几秒钟后,一张围棋棋盘的AI生成图就回来了。
 |  |
整个流程,从选题、开会、写稿,全程在飞书里完成,没有切过一次窗口。
投资教练上线,实时监控A股
接着,我们又拿ArkClaw搭了一套A股自动监控系统,毕竟谁还没点炒股的需求呢。
先装上QVeris的搜索Skill,获取实时行情数据。
然后随手试了一句:今日A股涨幅榜TOP10。
ArkClaw秒回一张带股票代码、最新价、涨跌幅的完整表格,数据源标注得明明白白。
行,能用。接下来上强度。
再下一条指令:
创建一个A股监控项目,每天收盘后自动抓取涨跌停、龙虎榜、板块热点,16:45自动生成当日简报,同步到飞书云文档,顺便预测一下明天哪些会涨哪些会跌。
龙虾直接把整个项目结构搭好了。数据采集脚本、分析报告生成、定时调度,一条龙。
第一份简报当天就出来了:72只涨停、2只跌停,半导体、人工智能、新能源车领涨,还附带了明日预测。
报告自动同步到飞书文档,后续每个工作日16:45准时更新,历史报告全部留档可查。
 |  |
四只龙虾组团,搞定深度调研
写稿有写稿的龙虾,炒股有炒股的龙虾。那调研呢?
我们又试了一个更硬核的玩法——
用ArkClaw组建一支4人调研Agent团队,对最近爆火的OpenClaw做一次深度调研。
先装上collect-role和generate-agent两个技能,然后一句话下指令,龙虾自动把团队搭好了:
3名独立调研员各有分工——1号负责基础信息搜集,2号负责技术架构与生态,3号负责竞争力分析;再加1名文档专家,负责把三份调研结果整合成完整报告。
调研员跑Seed 2.0-lite,文档专家跑Seed 2.0-pro,轻重搭配,成本可控。
一声令下,三个调研员各自出发。
1号从GitHub仓库、官方文档扒出了产品定位、核心功能矩阵、产品线全貌。
2号从技术白皮书和开发者社区整理出了架构细节、生态数据、商业化模式。
3号做了完整的竞品对比,连优势短板都列得明明白白。
文档专家最后收束,输出了一份结构完整的《OpenClaw深度调研报告》。
然后一句「整理成飞书文档,发给@好困」。
龙虾先走了一遍授权流程,完成后自动创建文档、自动发送,同事那边直接收到了带文档链接的飞书消息。
一个人指挥,四只龙虾干活。
 |  |
说到底,龙虾再勤快,也得有个聪明的脑子。
推理与规划能力是第一道门槛。
Agent跟普通聊天最大的区别在于,它不是一问一答,而是多步骤、长链路的任务执行。
前面那个A股监控项目,从理解指令、拆解任务、搭建项目结构、配置定时调度到生成报告,Seed 2.0自己规划整条链路,不需要你一步步喂。
写稿也一样,先看文档、理解内容、理解要求、完成撰写、放进飞书文档,五个步骤一气呵成。
工具调用要稳。
对Agent来说,「聪明但手抖」是大忌。
Seed 2.0对Skills的理解和调用经过专门优化,能准确解析复杂的md技能文件、稳定地进行Function Call、在多轮交互中保持指令遵循。
多模态感知拓宽了任务边界。
ArkClaw通过调用Seedream模型可以直接生成图片,设计龙虾出围棋配图就是这个能力。
反过来它也能调用Seed模型「看图」——上传K线图识别股票信息生成分析报告,拍一张潦草的手写板书转化为互动教学工具。
看得懂图、读得懂表,龙虾能处理的任务范围大大拓宽。
 |  |
搜索能力同样关键。
ArkClaw搭配的火山引擎联网搜索Skill,跟Tavily这类海外搜索API不是一个物种。
数据信源上,这是一款与豆包搜索同源的搜索引擎,整合了字节系独家资源——今日头条图文、抖音百科、如意卡片,覆盖理财、出行、生活等垂类。这些数据源是海外API拿不到的。
返回方式上,传统搜索丢给你一堆网页片段,龙虾还得自己去读网页、提信息。
火山搜索直接给结构化数据。股票行情完整字段返回、天气卡片格式输出、表格markdown呈现,Agent拿到就能直接用,省算力也省时间。
中文体验上,Tavily偏英文,中文召回率和理解质量都不够好。
火山搜索原生中文优化,信源权威分级,高时效内容分钟级更新。
国内AI热点追踪、A股数据查询、本地生活信息获取,体验完全不在一个档次。
从测试来看,ArkClaw最值得关注的不是某个单点功能,而是三件事的组合:
- 以飞书为代表的IM办公平台深度打通,让龙虾直接在你的工作现场干活;
- Seed 2.0领衔的多模型阵容,复杂任务有主力扛,轻量任务有性价比之选;
- 云端架构带来的安全托底,让你不用一边用一边提心吊胆。
当然,ArkClaw也有它的边界。
它跑在云端虚拟机里,不能像本地版一样读写你电脑上的文件、控制你的桌面浏览器、操作你的本地应用。
为什么宁可牺牲自由度也要把虾搬上云?因为本地养虾这两个月的安全状况,比大多数人想象的要糟糕得多。
本地养虾「翻车现场」
一个链接接管你的电脑。
1月底,安全公司DepthFirst的研究员Mav Levin发现了一个让人后背发凉的漏洞:
OpenClaw的控制界面允许通过URL参数指定网关地址,但没有任何校验。
攻击者构造一个恶意链接,你点一下,认证Token毫秒级被偷走,整台电脑沦陷。
即使你的OpenClaw只绑定在localhost,这招依然有效。因为WebSocket不受同源策略保护,恶意网页可以直接穿透本地网络边界。
漏洞编号CVE-2026-25253,CVSS 8.8,已被确认在野利用。创始人Steinberger紧急发了补丁,结果被发现不完整,Docker沙箱仍可绕过,又补了一轮。
22万只龙虾在公网裸奔。
漏洞可以修,配置错误没人帮你改。
多个安全团队的扫描结果都指向同一个结论:大量OpenClaw实例暴露在公网上,零认证。
独立研究员Maor Dayan验证了其中42665个,93.4%可以直接绕过认证。
原因几乎一样——反向代理没设好,网关把所有请求当成了「本地连接」,自动放行。
不少实例还连着Salesforce、GitHub、Slack的企业凭证,门户大开。
技能商店里藏着「木马」。
Koi Security的研究员Oren Yomtov让自己的OpenClaw机器人「Alex」去审计了一波ClawHub技能市场。
龙虾查龙虾,结果一点也不浪漫:2857个技能包中341个存在恶意行为,感染率12%。
攻击手法倒是直接。比如,恶意技能伪装成加密钱包追踪器、YouTube下载器,「前置条件」里藏着窃密脚本,专偷API密钥和浏览器密码,等等。
到2月中旬,恶意技能已膨胀到824个,约占整个生态的20%。
还有时候,龙虾自己就能把事搞砸。工信部NVDB发布预警:有用户接入本地邮箱后,龙虾误删大量邮件,难以恢复。
以上还只是冰山一角。截至3月9日,国家信息安全漏洞库(CNNVD)共采集OpenClaw漏洞82个,超危12个,高危21个。
最新版本修了不少,但公网上大量实例仍在跑老旧版本。毕竟,有多少普通用户会主动打安全补丁呢?
云上养虾,可以解忧
针对开源框架的这些漏洞,ArkClaw从四个层面对养虾全过程做了系统性防护。
地基是平台安全。
本地养虾最容易出事的就是「配置手滑」,一个参数填错,整个网关对公网敞开。ArkClaw从根上掐掉了这个风险。控制面默认不暴露公网,所有入口强制认证,连「无认证模式」都直接砍了。
每个用户的龙虾跑在独立的隔离环境里,存储、网络、计算层都有边界,一个人翻车不会带崩全场。你不需要懂什么叫反向代理,因为平台已经帮你把门焊死了。
往上一层是供应链安全,直接对应ClawHub投毒那个问题。
火山引擎搞了自己的Skills Hub,替掉了野生的ClawHub。所有插件和Skill想上架,都要先过安全扫描和代码审计这一关,有问题的根本进不来。
上架之后也别想躺平,平台持续巡检加运行检测,发现异常直接拦截下架。那341个恶意技能包的故事?在ArkClaw这里,没有续集。
再往上是运行时安全,这一层直接回应Summer Yue邮件被删的惨案。
权限控制只是第一道防线,龙虾真正干活的时候,才是最需要护栏的时候。
ArkClaw搞了一套「事前预防、事中拦截、事后审计」的纵深防御:
- 事前,提示词意图识别,高危指令还没执行就先拦住,敏感数据想漏也漏不出去;
- 事中,实时盯着Agent的一举一动,删文件、群发消息这种不可逆操作必须二次确认,再也不会出现「叫STOP都叫不住」的名场面;
- 事后,所有操作轨迹完整记录,日志不可篡改,出了事能一路追溯到底。
最后一层是身份与权限管理。
本地养虾,很多人会把API密钥明文写在配置文件里。龙虾能看,攻击者拿到权限后也能看。
对此,ArkClaw提供凭证安全托管,龙虾运行时只能拿到临时的、低权限的访问令牌,你的原始密钥它碰都碰不到。万一哪个环节出了问题,攻击者拿到的也就是一把很快过期的「临时门卡」,而不是你家的「万能钥匙」。
还有一点很重要。所有权限都是「你不点头,龙虾碰不了」。最小权限原则,主动授权,觉得不对一键撤销,即时生效。
这四层叠在一起,就是ArkClaw的整套安全逻辑。把那些「难搞、容易翻车」的安全工作,全部收拢到平台侧,不逼用户自己当安全专家。
打个比方,本地养虾是把现金放在家里抽屉,你得自己防火防盗防潮;ArkClaw是把钱存进银行,银行有金库、监控、保安、保险。
当然,你仍要保管好自己的账号密码、不给龙虾多余的权限、对敏感数据做好分级。但比起本地模式下你既要守城门、又要巡城墙、还要盯暗道的状态,轻松太多了。
养虾这件事,正在变得认真起来
2026年初的「养虾」热潮,多少带着些全民狂欢的味道。
但冷静下来想想,绝大多数人养的那只龙虾,可能装完就吃灰了。
原因很简单:有门槛,有风险,场景还模糊。
ArkClaw的意义不在于它是「又一个云端龙虾」。13家大厂抢着做云端龙虾,说明这条路没有争议。
真正的问题是:当龙虾从极客的玩具变成普通人的工具,谁来兜底安全,谁来定义场景,谁来把「能跑起来」变成「真的好用」。
ArkClaw给出了自己的回答,办公生态打通、Seed 2.0、云端安全架构,三张牌打得清晰。
够不够硬,要靠用户验证,但至少它在回答正确的问题。
2022年有ChatGPT时刻,2025年有DeepSeek时刻,2026年我们正在经历OpenClaw时刻。
有人说:「一个人加一只龙虾等于一支队伍。」
现在这只龙虾不需要你自己搭鱼缸了。
打开浏览器,它已经在加班了。