OpenClaw 进企业：
能力不是问题，这两件事才是

OpenClaw 是一个会让你在 demo 环节爱上它、在企业部署环节想哭的产品。不是它不行，是它太行了——行到给自己惹了两个在企业里很难绕过去的麻烦：第一，它手里拿着的权限，让安全团队看了之后决定先去量一量血压；第二，它烧 Token 的方式，让财务在看到账单之前，完全没有心理准备。这两件事单独发生，都有解。但它们偏偏同时出现，于是 OpenClaw 企业项目的标准结局，是在某个共享文档里慢慢老去，既不被正式上线，也没人正式宣布放弃——这叫薛定谔的 POC。

Gartner、微软、Bitdefender 这些大机构的官方立场，措辞都很体面：「建议放到隔离环境、用一次性账号、只接触非敏感数据。」把这段话翻译成你能跟老板说的版本，就是：现阶段别在公司正式系统上跑。 金融机构的合规团队更是不讲情面，报告里直接写「不适合机构级或受监管场景」。这句话的潜台词是：你要是在银行推 OpenClaw，法务看完方案会用一种很特别的眼神看你，然后问「你入职前签了什么协议吗」。

第一件事 —安全团队在拦你，但他们真的没有错

先澄清一个常见的委屈：安全团队不是保守，不是不懂业务，也不是专门跟你过不去。他们只是看到了你没有认真看过的东西。

AOpenClaw 拿到的权限，足以让安全团队当场沉默

OpenClaw 的设计理念是「给 Agent 足够的权限来完成任务」。这在实践上意味着：执行 Shell 命令、读写系统文件、控制浏览器、在会话里长期持有各种服务凭证。放在你自己的 MacBook 上，这是神器。放进企业内网，安全团队看到的是：一个带持久凭证的高权限远程控制器，挂在内网里，边界不清，随时待命。

打个比方：就像你在公司门口雇了一个全能助理，给了他门禁卡、财务系统密码、所有会议室的钥匙，还有你老板的日历权限，然后跟他说「你看着安排就好」。你可能真的很信任他。但公司的安全部门第一天看到他，会问：「这个人的背景调查做了吗？他能访问哪些系统？有日志吗？谁来审批他的操作？」然后等待你回答。

更麻烦的是，漏洞不是理论。CVE‑2026‑25253 已经证明，恶意网站可以通过普通的浏览器操作接管本地 OpenClaw 实例——用户什么都没做错，就被接管了。还有 Skill 的供应链问题：只要有一个 Skill 被投毒，它立刻继承 Agent 的全部系统权限。PoC 已经有人写好放在网上，拿去用就能复现。安全团队看完这些，不是「好，我们研究一下怎么共存」，而是「先把这个东西的网络访问切了」。

B企业要的那套管控，目前基本是空白

企业上线一个系统，最基本的要求是：知道谁在用、用来做了什么、数据碰了哪些、出事之后能查。这套体系叫「治理层」，是任何 IT 系统上生产的最低门槛，不是可选项。

OpenClaw 目前的治理层？坦白说，基本没有。没有完整的操作审计日志，没有开箱即用的多租户隔离，没有数据出境控制，没有敏感操作审批流。在普通产品里，这些可以慢慢迭代补上。但在金融、医疗、政府这些受监管的行业，这些不是「以后再说」的加分项，是上生产的入场券——缺一条，合规部门没法签字，法务没法放行，审批流程直接卡住。

于是出现了那个所有推过企业项目的人都熟悉的状态：业务部门的消息隔天就来一条，安全和法务的回复永远是「我们还在评估」，项目在没有任何人正式宣布放弃的情况下，以非常体面的方式，悄悄凉了。

C员工等不了，开始自己动手，局面更难看了

正式渠道被堵住，不代表需求消失了。Bitdefender 的遥测数据记录了一件让 IT 部门集体血压上升的事：大量员工发现 OpenClaw 用「一行命令」就能装，于是就真的装了——在公司设备上，直接把终端和磁盘的高权限交给 Agent，目的是「绕过 IT 限制，把活干完」。

这类「影子部署」的共同特征：零安全评估，直接用公司账号连接内网，无日志，无隔离，对安全团队完全不可见。发现之后，安全部门的标准动作不是「好，我们帮你做合规改造」，而是「先全部扫出来，全关掉，然后再谈」。正式部署被继续压后，野生实例被强制清除，需求还在，局面更乱。

D「那直接用云托管版不行吗」——换汤不换药

听到这里，总有人会说：本地跑这么麻烦，直接用阿里云、腾讯云、DigitalOcean 的一键 OpenClaw 服务不就完了？听起来很有道理。实际上，专业媒体给这类产品的定性是「开发者玩具托管版」——面向个人开发者设计，没有组织级租户管理，没有多环境隔离，安全默认值是「方便你快速上手」而不是「让你通过企业合规审查」。The Register 甚至直接写道：「除非你对安全配置非常有把握，否则暂时不要在工作环境里碰这些。」

问题的本质是：把 OpenClaw 从本地搬到云端，改变的是账单的收款方，不是治理层的成熟度。 服务器费变成了云服务费，其他的问题一个都没跑掉。

第二件事 —Token 账单：POC 阶段的隐形炸弹，规模化之后准时引爆

安全问题好歹还有机构在讨论、有厂商在写报告。Token 消耗这个问题，在企业部署的公开讨论里几乎是隐形的——直到第一张正式账单出现在财务总监的收件箱里，它才从「没人提」变成「所有人都在问」。

根源在于 Agent 模式和传统 AI 工具的工作方式根本不一样。你问 ChatGPT 一个问题，它答，消耗一次 Token，交互结束。OpenClaw 的 Agent 完成一个复杂任务，内部是这样运转的：读取上下文 → 规划执行步骤 → 调用工具 → 检查结果 → 发现偏差 → 重新规划 → 再调用 → 再检查……循环往复，每一轮都消耗 Token，而且消耗的是推理 Token，是账单上最贵的那一类。「就是让 AI 帮我整理个报告」，后台可能已经悄悄跑了十几轮模型调用。

POC 阶段，这笔钱小到根本没人在意，被当作实验成本一笔带过。但一旦几十个并发 Agent 在企业环境里正式跑起来，当月账单会让你很认真地检查一遍：这是不是发错了？

更麻烦的是，这笔钱在传统 IT 预算体系里找不到位置。软件授权费？不是。服务器采购？不是。云实例时长？也不完全对。它是一种 企业以前从没有需要管理过的成本类型：按推理量计费，用量由 Agent 的行为决定，Agent 的行为由任务复杂度决定，整条链条长到财务在年初根本没法规划预算。对一个习惯了「IT 成本提前锁定」的企业来说，这不只是贵，是贵得没有章法，比贵本身更难接受。

企业现在怎么应对？两条线同时下手。采购层面，跟模型供应商谈企业协议，把「不知道这个月要花多少」变成包量采购——买一个池子，用多用少都在这个范围内，CFO 终于能在预算表上填一个确定的数字。架构层面，靠设计压缩浪费：用模型路由把任务按复杂度分流，高推理需求走顶级模型，重复性的简单任务交给轻量模型或本地开源模型；在执行链路里加缓存和去重，同样的上下文不重复发送；给 Agent 的行为边界立规矩，防止它在没必要的时候自己把任务越做越大、账单越烧越高。

但是 —问题越大，空白越值钱

讲了这么多拦路虎，不是为了劝你放弃。恰恰相反：每一个还没被解决的问题，都是一个还没人占位的市场。 而且这个市场的需求，已经通过影子部署的方式把自己表达得相当清楚了。

安全治理那侧，缺的是一套真正对企业友好的控制平面——能统一管理 OpenClaw 实例、集中做 Skill 授权和吊销、生成完整审计日志、对接企业 IAM 和 SIEM、自带行业合规模板。目前有安全厂商在做「Skill 扫描器」和「暴露实例侦测」这类单点工具，说明需求是真实的，但没有人把它们串成一个完整的平台产品。另一条更快的路是垂直行业切入——金融、医疗、政府各有一套固定的合规外壳需求，用 OpenClaw 做内核，外面包上这层外壳，不需要打「OpenClaw」的旗号，卖的是「带审计的投研 Agent」或「合规沙箱里的文档自动化」，进入门槛比等一个通用平台成熟低得多。

Token 成本那侧，市场几乎是空白。专门针对 Agent 调用场景的 Token 治理产品，现在基本找不到——调用链路的用量监控、部门级成本归因、自动模型路由、与供应商企业协议的集成管理。随着企业部署规模扩大，这个需求只会越来越紧迫，而先做出来的人，面对的竞争对手约等于零。

最后说一件事 —这条路走过的人，你们认识

OpenClaw 今天的处境，不是第一次发生。

iPhone 刚进企业的时候，IT 部门的官方立场是「不支持个人设备接入公司系统」。但员工已经开始用了，偷偷的。然后 MDM 出现了，Mobile Device Management，专门管这件事，问题解决了，iPhone 变成了标准办公设备。公有云进企业的时候，安全团队也说不行，数据不能出去。然后云安全产品成熟了，CASBs 和 CSPM 工具出现了，现在「上云」是默认选项。

规律是一样的：能力层先跑，需求从地下冒出来，治理层产品出现，市场解锁，大规模采用开始。 OpenClaw 现在大概在这条曲线的第二段——需求已经从地下冒出来了，治理层还没到。

谁先把治理层做对，谁就是下一个 MDM。