AI Agent开源风暴:英伟达微软的Linux时刻
英伟达将OpenClaw比作Linux,Red Hat微软集体押注,一场从开源框架到企业级Agent战略的变革正在发生。中国企业如何构建自己的AI Agent策略?深度拆解巨头动向、安全破局与落地路径。

“对于CEO们而言,问题是——你的OpenClaw策略是什么?我们都需要它,就像我们都需要Linux策略、HTTP/HTML策略、Kubernetes策略一样。今天,世界上每家公司都需要一个代理系统策略。”
——黄仁勋,英伟达GTC 2026主题演讲
黄仁勋不是第一次把一项开源技术拔到基础设施的高度,但这一次,他为之站台的甚至不是英伟达自研产品,而是一个诞生不到一年、GitHub上370K星的开源AI Agent框架——OpenClaw。这个项目从2025年11月以“Clawdbot”的名字悄然上线,经历更名风波,到2026年1月定名OpenClaw,仅用2天就突破了10万星——作为对比,React花了8年,Linux用了12年。如今,不只是英伟达,Red Hat、微软、OpenAI、Anthropic全部被卷入同一条河流:企业级AI Agent的基座究竟该长什么样?它们用实际动作给出了信号,而中国企业管理者不得不重新审视一个问题:我们自己的“OpenClaw时刻”,到了吗?
一、一个开源项目,如何成为巨头必答题?
先还原事实。OpenClaw由奥地利开发者Peter Steinberger创建,他此前的公司PSPDFKit曾获1.16亿美元融资,服务近10亿用户。这样一个连续创业者,在2026年2月宣布加入OpenAI的同时,仍以志愿者身份主导着开源项目。项目本身定位极其清晰:一个模型无关的AI Agent编排框架,让开发者能用任意模型、在任何环境中构建能自主执行多步骤任务的Agent。其GitHub数据是现象级的:实时星标超373K,分支数77.3K,峰值增速曾达每小时710星。
这种增速背后,不是单纯的爆火,而是一整套已经运转起来的生态。OpenClaw催生了Moltbook——AI Agent专属的社交网络,Agent们在“Submolts”论坛上彼此讨论并自主更新线程。特斯拉前AI总监Andrej Karpathy评价它“真正令人难以置信”,知名独立开发者Simon Willison称其为“目前互联网上最有趣的地方”。赞助商名单里已经出现了Path联合创始人Dave Morin、Makerpad创始人Ben Tossell这样的名字。
但对企业决策者来说,真正的拐点在于:当一项技术被拿来和Linux、Kubernetes、HTML并置时,它就不再是“可以看看”,而是“必须作答”。英伟达的进场,把这个信号放大了十倍。
二、英伟达NemoClaw:企业AI Agent的工业级底座
2026年3月16日,英伟达在GTC大会上正式发布NemoClaw——基于OpenClaw构建的企业级AI Agent平台。黄仁勋亲自站台,并直言OpenClaw“在正确的时间给了行业恰好所需的东西,就像Linux、Kubernetes和HTML一样”。NemoClaw的定位很明确:补齐OpenClaw在企业环境中最薄弱的一环——安全、隐私与治理。它提供沙箱编排能力,允许接入任意编码Agent或开源模型,甚至包括英伟达自己的NeMoTron,但明确表态硬件无关,不必运行在Nvidia GPU上。
英伟达并非提供一个封闭替换,而是一个与开源上游协同演进的方案。他们直接与Steinberger合作开发,等于在承认——企业级Agent的标准框架已经出现,而且必须是开源的。这与当年Red Hat在Linux上构建企业发行版的逻辑如出一辙。黄仁勋那句“每家公司今天都需要一个代理系统策略”,本质上是在宣告一个新的事实标准正在形成。那些还在等待“成熟方案”的决策者会发现,成熟总是出现在你开始行动之后。
三、Red Hat Tank OS:安全不是附加项,是入场券
如果英伟达解决了“能不能用”的问题,那么Red Hat解决的就是“敢不敢用”。2026年4月,Red Hat首席软件工程师、OpenClaw项目maintainer Sally O'Malley发布Tank OS——一个专门为OpenClaw企业部署设计的安全容器化方案。基于Podman(rootless安全容器),将OpenClaw加载到Fedora Linux系统中制作成可启动镜像,实现计算器开机即运行,且多实例完全隔离,凭证不共享。
此举的背景是OpenClaw在企业落地时遭遇的严重安全威胁。TechCrunch报道披露了多起事件:Meta AI安全研究员的Agent失控删除了她所有工作邮件;另有用户通过Agent将所有WhatsApp私信明文下载;安全厂商趋势科技甚至检测到专门针对OpenClaw用户的恶意软件“ClawHavoc”,已查获341个恶意Skills。GitHub上公开的安全issues多达469个,CVSS评分为8.8的远程代码执行漏洞(CVE-2026-25253)一度让所有部署者心惊。
O'Malley说得很淡定:“这是我利用一个周末做的好玩项目,我知道它非常适合AI和我们现在前进的方向。”但Red Hat的介入绝非“好玩”。作为IBM旗下的企业级开源巨头,Red Hat的每一个动作都对应着大型企业生产环境的真实需求。Tank OS的出现说明一个事实:没有Red Hat这类专业安全方案的OpenClaw,只是在办公桌上玩Agent;有了它,才可能进入数据中心。
这给所有中国企业一个明确的判断支点:不是OpenClaw安不安全,而是你的团队能不能像Red Hat一样,为企业构建起适合自己业务场景的隔离和风控层。安全不是AI Agent的障碍,而是通往生产环境的唯一通行证。
四、微软的“本地化”算盘与生态竞速
几乎在Red Hat行动的同时,微软也公开了其内部试验——将类OpenClaw功能整合进Microsoft 365 Copilot,主打本地运行,承诺比开源OpenClaw更安全。据The Information和The Verge报道,这项能力允许365 Copilot常驻后台,随时跨应用执行多步骤任务,预计在2026年6月Build大会上展示。微软发言人回应称“正在实验”,既未证实也未否认,留足了战略模糊的空间。
值得留意的是,TechCrunch在同一报道中补充了一个细节:大量OpenClaw用户购买Mac Mini作为本地运行Agent的机器,导致该品类销量激增。这揭示了另一个事实——即便没有微软的官方支持,企业团队已经在自发建立本地化运行环境。微软的动作并非创新,而是回应。如果一个公司的员工已经在用开源框架解决工作流问题,那么IT部门的下一个任务就不是禁止,而是管理。微软要做的就是提供“可管理”的选项。
这个逻辑对中国企业同样成立。我们的员工可能正用DeepSeek、Kimi、豆包等大模型结合Coze、Dify等编排工具自建Agent,这股暗流远比市场部感知的汹涌。等微软发布产品时再思考,就已经晚了。
五、竞争暗涌:OpenAI、Anthropic的真实站位
OpenClaw的火爆,直接挑战了闭源模型厂商的护城河。OpenAI在2026年2月聘请了Steinberger,让他负责未来产品战略。Steinberger随即公开承诺,他在OpenClaw Foundation的工作目标是“让OpenClaw在任何模型提供商那里都运行出色”,且与他在OpenAI的职责分开。这一幕很像当年微软一边拥抱Linux一边保持Windows的矛盾姿态——既想控制生态,又不敢逆开源大势。
Anthropic的反应则更为激烈。2026年4月,该公司以“可疑活动”为由临时封禁了Steinberger的Claude账户,几小时后恢复。更重要的是,同期调整了订阅政策:第三方harness(包括OpenClaw)不再享受订阅额度,用户需单独按API调用量付费。这被社区戏称为“爪税”。虽然Claude同时推出了自己的Cowork Agent和Dispatch远程控制功能,但政策转向已经表明,Anthropic感受到了开源Agent框架对模型API商业模式的冲击。
谷歌的Gemini模型同样被报道与OpenClaw有广泛集成生态。至此,AI产业最大的三个势力——模型提供商、云基础设施商、企业软件商——都已明确下注。闭源Agent产品仍然会存在,但一个开源、中立、多模型适配的基础框架,已经成为行业默认的第二条腿。
六、从狂热到落地:中国企业如何自处?
当美国科技巨头围绕OpenClaw展开军备竞赛时,中国企业的真实处境微妙又迫切。一方面,我们拥有截然不同的模型生态——DeepSeek、通义千问、智谱、百川等都在快速进化,天然需要一个中立的Agent编排层来打通“最后一公里”。另一方面,企业对Agent的认知大多停留在“自动化发邮件”“写文案”这些零散用例上,缺乏系统性的框架思维。
但信号已经很清晰了。黄仁勋说“需要OpenClaw策略”,不是让你立刻去部署OpenClaw本身,而是要求每个企业的管理层回答三个根本问题:
- 业务流模型化:我们有哪些重复性、多步骤、跨系统的业务流,可以抽象为Agent任务?
- 安全治理基线:当Agent获得邮箱、文档、数据库乃至交易权限时,企业级的身份、凭证和隔离体系是否建好了?
- 人才与组织:团队里有没有人既懂业务流程,又能像Red Hat的工程师一样,用一个周末搭建出适配内部环境的安全运行方案?
这三个问题,对应着“做什么”“怎么安全做”“谁来做”。答案不在外面,而在企业内部的知识库和流程文档里。OpenClaw生态告诉我们,Agent不是魔法,是把企业已有的能力变成“持续交付的服务”。Red Hat的Tank OS已经证明了,即便安全形势严峻,周末的一个小项目就能让Agent获得企业级的生存空间。微软的试验说明,大厂在赶工的产品,其实很多技术团队已经在用开源组件实现了。因此,不必等厂商给出现成的“中国版OpenClaw”,企业完全可以基于现有开源Agent框架,结合自己的模型和业务系统,先跑通最小闭环。
当然,这不是说中国企业就应该立刻照搬OpenClaw。操作层面,可以分三步走:第一步,选取一个明确的业务场景——不是最复杂的,而是回报最直观、失败成本最低的,比如内部知识库的智能问答和跨系统报表生成。第二步,构建Agent沙箱,确保所有操作在隔离环境中运行,凭证不出圈,运行时权限最小化,学习Red Hat的Podman思路。第三步,建立Agent行为日志和监控体系,让每一次自动化决策都可回溯。最后,把这一套封装成可复用的“企业Agent基座”。
谁先完成这个闭环,谁就拿到了下一个五年的效率门票。
七、安全不是借口,是加速器
很多人会用安全来论证“AI Agent不适合企业”。但Red Hat的实践表明,安全恰恰是让Agent加速进入核心业务的杠杆。公开的CVE、明文存储凭证、暴露实例——这些问题的存在,不是终止试验的理由,而是规范化的起点。当一个行业同时涌现出8.8分漏洞和Red Hat的安全容器方案时,意味着“问题已经被定义清楚了”,接下来就是工程能力的比拼。中国企业在容器安全、私有化部署上的积累并不弱,缺乏的只是一个“Agent安全意识”的大规模觉醒。
而且必须认识到,安全生态的成熟速度可能远超预期。NemoClaw的alpha版本虽然强调“会有棱角”,但“沙箱编排”本身就是一个可迭代的平台能力。当安全方案从Red Hat这样的公司流出,意味着只要你的IT部门愿意跟进,企业级安全保障就有了清晰的参照系。
八、下一个Linux:不可逆转的开源化趋势
将OpenClaw与Linux做比较,不只是黄仁勋的修辞。1990年代末,很多人同样怀疑一个免费的操作系统能否承载企业关键业务。但今天,没有Linux就没有云。AI Agent的现状与之极为相似:开源框架快速聚集开发者的同时,也在快速暴露安全问题;企业级厂商(英伟达、Red Hat、微软)闻到机会,纷纷下场提供加固版本;模型厂商虽然想通过自有方案锁住客户,却无法忽视开源带来的采纳加速度。
对企业CEO和CMO而言,重要的不是OpenClaw这个名字,而是“开源Agent基座”这一形态已经不可逆转。它意味着未来的营销自动化、客服系统、供应链协同,都会嵌入Agent能力,而且这种能力的底层逻辑会逐渐趋同。谁能率先把这种能力融入自己的客户旅程、数据分析、内容生产和决策流程,谁就能获得结构性的成本优势和体验优势。当员工已经自发用起各种Agent来解决实际工作问题时,管理层的角色就不再是“批准试用”,而是“把放养变成放牧”——给出安全边界和标准规范,让Agent生态秩序化生长。
此刻回看黄仁勋那句话:“每家公司都需要一个代理系统策略。”它不只是在描述当下,更是在定义下一阶段的竞争准入门槛。中国企业已经站在门槛上,推开门需要的不再是观望,而是一个既承认风险、又果断行动的团队。