OpenClaw与AI Agent经济：技术架构、行业趋势与未来挑战

本文为 OKX Ventures 出品的深度研报。由于篇幅较长，将分为上下两篇发布：上篇聚焦宏观背景、x402 协议、ERC-8004 与 Virtuals Protocol，点此跳转；下篇重点分析 OpenClaw 及整体行业趋势。

第五章 OpenClaw：应用生态专项研究

5.1 项目背景与爆发

2025 年 11 月，奥地利开发者 Peter Steinberger 将一个周末项目上传至 GitHub。四个月后的 2026 年 3 月，这个项目超越 React 成为 GitHub 历史上 Stars 最多的软件项目——25 万+ Stars，而 React 达到这一数字用了 13 年。

在 AI 产品从被动工具向主动 Agent 演进的大趋势下，OpenClaw 的创新之处在于：AI 不再等待用户主动调用，而是直接嵌入用户已有的平台中，帮助用户完成任务。它运行于用户的电脑，并接入 WhatsApp、Telegram、Slack、Discord、Signal、iMessage、飞书等超过 20 个渠道，通过 MCP 协议操作邮箱、日历、浏览器、文件系统和代码编辑器。Andrej Karpathy 为此类系统创造了一个新词：“Claws”，即后台循环运行、能自主决策和执行任务的本地 AI Agent。这个词迅速成为硅谷描述本地托管 AI Agent 的通用术语。

每一次主流模型的发布都将 Agent 能力作为核心亮点，因为 Agent 是证明 AI 基础设施投资合理性的关键需求乘数：一次聊天查询消耗几百个 token，而一次带工具调用和多步推理的 Agent 运行可能消耗几万到几十万个 token。

尽管创始人在 Discord 上禁止讨论加密货币，但 Crypto 社区在 OpenClaw 的基础上自发构建了一整套链上经济基础设施：代币发行、身份注册、支付协议、社交网络和声誉系统等。OpenClaw 的爆发让我们首次能够在真实、大规模的场景中观察 Agent 和链上基础设施的交互方式，同时也为 Crypto 社区提供了一个拥有真实用户基础的宿主，以附着经济活动。

5.2 技术架构分析

第一层：消息渠道——身份问题

OpenClaw 同时接入 20+ 平台，从 Agent 内部看，它知道自己是同一个，拥有统一的记忆、配置和 SOUL.md 文件。但从外部看，如何确认 Telegram 上的这个 Agent 和 Discord 上的那个 Agent 是同一个？每个平台有自己的用户 ID 系统，且平台之间互不互通，无法查看行为记录。这正是 ERC-8004 试图解决的核心问题。

第二层：网关——安全问题

Gateway 是 OpenClaw 的大脑调度中心，负责将用户消息路由到正确的 Agent，加载该 Agent 的会话历史和可用 Skills，并在 Agent 开始思考之前划定权限边界（白名单机制：当一条消息到达 Gateway 时，系统基于消息来源渠道、用户 ID、群组 ID 等信息，动态生成一个工具白名单。只有白名单上的工具才会被注入到 Agent 的上下文中，Agent 根本看不到白名单之外的工具，因此也无法调用）。

这种设计的优势在于安全性前置，但其权限管控完全依赖 Gateway 单点。如果 Gateway 被攻破或配置错误，Agent 可能获得不该拥有的权限。

第三层：Agent 核心（ReAct 循环）——可预测性问题

Agent 的运行逻辑是 ReAct（Reasoning + Acting）循环：接收输入 → 思考（调用 LLM）→ 决定行动 → 调用工具 → 获取结果 → 再思考 → 循环。OpenClaw 的工程优化包括高频消息调度（Steer/Collect/Followup/Interrupt 四种策略）、LLM 双层容错（认证轮转 + 模型降级）以及可选思考分级机制（6 个等级）。

然而，LLM 的本质是概率性的，输出具有不确定性。Agent 是非确定性的执行者，在不确定的环境中做出不可逆的动作。

首先是上下文压缩导致的约束丢失：安全约束本身也是上下文的一部分，当上下文被有损压缩时，安全约束可能被丢弃。其次是 prompt injection：有人故意在 Agent 处理的内容中嵌入隐藏指令，让 Agent 将内容视为用户命令来执行。两者的共同根源在于：Agent 的行为边界是用自然语言定义的，而自然语言是模糊的、可被操纵的、可被有损压缩的。

例如，Meta 超级智能实验室对齐主管 Summer Yu 要求 Agent“建议一些可以删除的邮件”，但 Agent 直接删除了数百封邮件（上下文窗口溢出后触发压缩，“建议”这个关键约束被丢掉）。

在这种情况下，我们需要的不是更好的 prompt engineering，而是结构性的安全机制：可审计的操作日志、可编程的权限边界，以及在出错时可以追责和补偿的经济系统。这些恰好是智能合约和链上基础设施擅长的领域。

第四层：记忆系统——持久性与可迁移性问题

OpenClaw 实现两类记忆：每日工作记忆（YYYY-MM-DD.md 文件）和长期精华记忆（MEMORY.md，去重归类提炼的关键偏好）。检索时采用向量检索 + BM25 混合模式。

会话默认每天凌晨 4 点重置，上下文窗口不断被压缩和摘要。当上下文逼近 token 上限时，OpenClaw 的做法是触发会话压缩，用 LLM 将之前的对话摘要成更短的版本。在压缩前先执行一次 Memory Flush，给 Agent 一次机会将关键信息写入持久记忆。这本质上是在赌 Agent 自己知道什么信息是关键的。一个非确定性的系统判断什么是关键信息，本身就是不确定的。

OpenClaw 的所有记忆存储在本地文件系统中，换电脑就没了；与其他 Agent 协作时没有共享记忆机制；Agent 的知识和经验被锁死在运行的那台机器上。Sub-Agent 协作仅限于同一个 OpenClaw 实例内部，一旦涉及跨实例、跨组织的 Agent 协作，系统无能为力。GitHub 上开发者的反馈显示：决策记录在聊天历史中但没有持久化 artifact，交接模糊，知识传递不完整。

5.3 Agent 经济结构性问题

上下文不流动：所有问题的根源

• 空间锁定：Agent 的记忆和知识存在运行它的那台机器上，换台电脑就没了。
• 信任隔离：Agent A 声称“用户上周说了偏好 X”，Agent B 没有任何方式验证真伪。
• 无法发现：想找一个“擅长 DeFi 分析”的 Agent？没有标准化的发现机制。
• 价值未定价：Agent 积累的领域知识和用户偏好显然有经济价值，但目前没有定价或交易的方式。
• 默认临时：上下文随时可能被压缩、摘要，或在会话重置时丢失。

要让上下文真正流通，它需要同时具备五种属性：能跨信任边界、有经济属性、无需 gatekeeper 可被发现、保留决策痕迹、适应消费者需求。目前没有任何单一协议能同时提供这五种属性。MCP 解决“AI 模型怎么调用工具”。A2A 解决“Agent 怎么和 Agent 通话”。x402 解决“Agent 怎么付钱”。但“Agent 怎么在不可信环境中自主发现、评估和使用上下文数据”还没有答案。

协调悖论

Agent 只需要足够的上下文就能推理，但跨组织协调需要所有的历史上下文。

一个 Agent 在想“该不该订这趟航班”时，当前会话的精简信息就够了。但当它需要和供应链 Agent、财务 Agent、日历 Agent 协调（可能在不同平台上、由不同组织运营）时：它们共享哪些上下文？怎么验证？所有权归谁？

Gartner 预测到 2027 年，超过 40% 的 Agentic AI 项目将因成本不断攀升、商业价值不明或风险控制不足而被取消。但 70% 的开发者反映，核心问题是与现有系统存在集成问题。根本原因是，Agent 是非确定性的执行者，企业需要确定性结果。一个不确定的执行者在不确定环境中和不确定的合作者协作，没有可验证的信任层，这个组合不可能产生可靠输出。

目前跨平台 Agent 协作的需求还非常小。用户只是想要一个能帮他们干活的 AI，不在乎它能不能和别的 Agent 协作。协调悖论是一个真实的技术问题，但它是否会演变成一个大规模的商业问题，取决于 Agent 的使用方式是否从个人工具进化到多 Agent 协作网络。

把上述分析组合起来，我们得到一个架构概念：

底层是 Agent 进行推理的地方，短暂的、token-bound 的。OpenClaw、Claude Code、Cursor 都在这里。需要快速响应，专注当前任务。

上层是协调发生的场所：持久的、可验证的、有经济定价的。跨组织知识在此积累，溯源链在此维护，信誉在此运作。

两层有不同的需求：Agent 需要简洁性，而组织需要历史记录。Agent 需要速度，而审计跟踪需要永久性。Agent 以概率方式运行，而企业需要确定性的结果。当前大多数架构试图合并两层，注定失败。

那么是否可以添加一个模块化的附加组件，无需许可即可横向部署，适用于所有代理系统——具有可信的中立性、持久性和可验证性？这个组件提供上下层之间的受控接口，允许 context 在需要时向下流动，并允许做出承诺时向上流动。执行前，从去中心化知识图谱解析并注入相关上下文子图；执行后，将操作作为可验证交易提交到链上，附带溯源(provenance) 和声誉更新。这一层的核心假设是上下文流动性有价值：如果大多数 Agent 用户不需要跨平台协作（比如一个人只用一个 OpenClaw 处理一切），那中间层就没有真实需求。

中间层如果只做上下文可携带性，大概率失败。但如果聚焦多方互不信任场景下经济活动的可验证性和声誉的可迁移性这些有明确经济激励驱动的用例，成功概率高得多。IronClaw 也是朝抽象中间层方向走的一种尝试——把执行环境和凭证管理分离到可验证的安全层中。但它仍然是 Near 生态内部的方案，缺乏跨平台的通用性。

Crypto 的真实切入点

大部分 Agent 经济的需求其实都能用 Web2 方案解决。Crypto 在 Agent 经济中的不可替代性只存在于一个场景：当你需要跨组织、跨平台、无需许可的互操作性，且参与方之间没有预先建立的信任关系时。例如：Agent A（运行在 OpenClaw 上，owner 是用户甲）需要雇佣 Agent B（运行在 Claude Code 上，owner 是用户乙）完成一个任务。它们之间没有共同的平台、没有共同的账号体系、没有预先的商业关系。在这个场景下，链上身份（8004）、链上支付（x402）、链上声誉确实比任何中心化方案更合适——因为没有一个中心化平台能同时覆盖所有 Agent 框架。

并且，Agent 能付钱了不代表它该付钱。F500 公司因为 Agent 在 retry loop 里重复付费损失了 4 亿美元。在 Agent 能自主支付之后，最有价值的是帮 Agent 判断该不该付这笔钱的决策基础设施。

目前 Crypto 对 Agent 经济是“nice to have”，除非 Agent 间的跨平台经济互动达到足够的规模。但当足够多的 Agent 不再绑定到某个特定人类的银行账户时（Agent 本身变成了独立的经济实体而非人类工具），传统金融轨道就覆盖不了它们了，此时稳定币是它们大规模资金交易的最佳（甚至可以说是唯一的）方式。变成 must have 的可能触发条件包括：

1. Agent 开始大规模雇佣其他 Agent：比如企业 IT 环境中不同供应商的 Agent 系统需要互操作（类似今天的企业 API 集成，但更复杂）。
2. Agent 开始 24/7 跨国交易：一个 Agent 编排的工作流可能同时调用美国的 LLM 端点、欧洲的数据提供商、东南亚的算力集群，不应该需要三套不同的支付轨道。稳定币是全球性的、7×24 小时的。这个优势在 Agent 的 always-on、跨时区场景中比对人类更突出。
3. 微支付达到传统轨道无法承受的频率：目前 Agent 在链上做的微交易（API 调用、数据查询、计算资源）平均每笔只有 $0.09，而 Stripe 光手续费就 $0.35+2.5%，比交易本身贵 4 倍；当一个 Agent 需要调用几万次 API，传统支付处理商无法承保这类商户风险并且费用结构会成为真正瓶颈。

安全威胁与链上基础设施的必要性

“Siri 悖论”是理解整个 Agent 赛道的关键框架：Siri 安全是因为它被阉割了，OpenClaw 有用是因为它危险。要让 AI 真正做事（处理邮件、预订航班、部署代码），它必须拥有广泛的系统权限。广泛的权限天然意味着更大的攻击面。

OpenClaw 上最著名的正面案例是：用户让 Agent 订餐厅，但 OpenTable 没空位，Agent 没有放弃，而是自己找到 AI 语音软件，下载安装，打电话给餐厅成功预订。这种自主解决问题的能力是人们梦寐以求的。但同样的自主性也意味着如果判断出错，后果以机器速度扩散。

有人把 Steinberger 加入 OpenAI 称为“AI Agent 的 iPhone 时刻”。但在那之前，必须有一个安全基础设施就绪的阶段。否则大规模使用就是大规模损失。Chopping Block 预测的“AI-generated $100M+ hacks”如果真的发生，有两种走向：要么公众恐慌导致 Agent 采用倒退（类似 2016 年 DAO 事件后的以太坊低谷），要么催生出真正的 Agent 安全基础设施（类似 DAO 事件后智能合约审计行业的爆发）。我们倾向于后者。因为 Agent 的需求是真实的：

• 恶意 Agent 识别 >> 8004 声誉系统。如果每个 Agent 有链上身份和公开声誉记录，恶意行为会留下不可篡改的记录。其他 Agent 在信任之前可以查链上声誉。当然需要声誉系统足够成熟——不是简单评分，而是多维度、时间加权、有反刷榜机制的信任模型。
• 恶意 Skills 审核 >> Validation Registry。如果 Skills 的代码审计结果记录在 8004 的 Validation Registry 中——由独立验证者（staked 服务、zkML 验证者、TEE 预言机）审核——typosquatting 的效果大幅降低。安装 Skill 前查链上验证状态就行。
• 凭证泄露 >> x402 的“付款即授权”。x402 消除了 API Key 管理问题。Agent 不需要存储长期凭证——每次需要服务时直接付款获取临时访问权。结合 EIP-712 签名绑定（把服务使用权和付款地址绑定），即使 token 泄露也无法被他人使用。
• 行为失控 >> 链上审计日志 + 可编程权限。无论是外部攻击者注入指令（prompt injection），还是系统自己在压缩时丢掉约束（context loss），结果都是 Agent 执行了超出预期的操作。智能合约可以定义 Agent 的行为边界——比如“单笔交易不超过 X 金额”、“删除操作需要多签确认”。链上操作日志不可篡改，出问题可以追溯。这比在 prompt 里加“请先征求同意”可靠得多，因为 prompt 级别的约束会被压缩丢掉，但智能合约级别的约束不会。

当然，链上基础设施只能缓解安全问题的后果，不能预防。智能合约可以限制“单笔不超过 X 金额”，但 Agent 被 injection 后在限额内持续做坏事呢？每笔 $0.09 的恶意交易做一万次也是 $900。安全的真正解决需要在 Agent runtime 层（TEE/沙箱）和链上层（权限/审计）双管齐下。只做链上一层是不够的。

第六章 行业综合分析

传统的技术护城河（工程能力、团队规模、执行效率）正在被 AI 工具均质化。任何一个有 idea 的人，通过 OpenClaw 或 Claude Code，都可以在极短时间内实现产品原型。这意味着：

• 小团队的窗口期比任何时候都短（大团队用同样的工具追上来会更快）。
• first-mover advantage 在 idea 层面的价值比以往更高，因为你的 Agent 可以比任何竞争对手都快地迭代。
• 最稀缺的不是技术能力，而是对正确问题的判断力。

赛道的真正竞争不在 Crypto 内部

很多人在比较哪个 L1/L2 做 Agent 做得更好——Base vs Solana vs 以太坊 vs Near。但真正的竞争在 Crypto 方案 vs Web2 方案之间。

比如 Sapiom 拿了 $15.75M，做的是 Web2 路线的 Agent 服务访问管理。极端情况下，如果 Sapiom 的方案足够好——Agent 通过它获取所有 Web2 服务的访问权，不需要碰链上支付——那 x402 就没有存在的必要了。Stripe 的虚拟卡方案如果能通过商业谈判解决反自动化问题（说服商户对特定虚拟卡取消 CAPTCHA），第二阶段方案可以维持更久。也就是当前 Visa、Mastercard、Stripe 正在争夺的战场，授权范围内的受控代理。核心是虚拟卡+专用支付 API。将信任关系从“信任一个不确定的 AI”转变为“信任一个参数确定的、由发卡机构控制的支付工具”。目前最适合大规模应用，但在 B2B agentic 场景增长到另一个量级时，授权信息的可编程性和银行卡的信息数据量限制会成为瓶颈。

x402 能赢的前提条件是它的“付款即授权”模式在成本、延迟和开发者体验上都优于“中间层代理管理”模式。目前 x402 在微支付场景有优势（低至 $0.001/笔），但在需要复杂权限管理的企业场景可能不如 Web2 解决方案。

同理，8004 能赢的前提是：链上身份和声誉比中心化平台管理的身份系统（如 ClawHub 自己的审核机制）更有用。目前 8004 的采用还不够广泛，查链上声誉的体验不如看平台评分。Meta 收购 moltbook 也是看中 Agent 身份验证和注册表（directory）这个底层能力。想把 Agent 身份层掌握在自己手里。

Crypto 方案不能满足于理论上更好。它必须在开发者体验和用户体验上追上甚至超过 Web2 方案。否则就会像很多 Crypto 产品一样，去中心化的理念很好但用起来太麻烦没人用。

传统支付巨头定义了 adoption timeline

市场将沿三阶段演进。未来 3-5 年 Stripe/Visa 方案将主导早期市场——向后兼容性无敌，Agent 可以立即和全球数百万已接受信用卡的商户交易。5 年以上，第二阶段的痛点累积到无法忍受——缺乏编程能力的授权系统、无法构建足够身份信息的 agentic ID、高昂微交易费用、缓慢跨国结算——市场自然转向第三阶段的 Crypto 基础设施。

这意味着 Crypto 方案不需要今天打败 Stripe。而是需要在未来 3-5 年内完善基础设施，等第二阶段方案触顶时接棒。现在是基础设施建设竞赛，还没到市场份额争夺。当然，基础设施需要提前就位，但光有基础设施不会自动产生采用，需要一个应用层的爆发来激活它。TCP/IP 在 1970 年代发明，但直到 1990 年代万维网浏览器出现才被大规模使用。目前我们可以看到基础设施逐步在完善，但没人大规模