当手机开始尝试成为“可执行的 AI 操作系统”,它首先要回答的,反而不是模型够不够聪明,而是:这台手机,到底还算不算一台可信设备。
前两天,我已经连续写了两篇,分别讨论这次 2026 年 3 月前后的小米 / 高通 GBL 解锁事件,以及为什么我越来越觉得,这件事被捅穿的,已经不只是“8 Gen 5 可不可以免拆机解锁 BootLoader”这么简单了。前一篇我更偏向去梳理事件链路、利用路径和传播方式;后一篇则更想把视角从“刷机圈狂欢”拉回到“系统安全边界到底出了什么问题”上。
但随着这两天另一条线也越来越热,我觉得还值得再补一篇番外。
这条线,就是 Xiaomi miclaw。
如果只把这两件事分开看,会觉得它们像是两个平行话题:
一边,是小米 17 系列上围绕 GBL、BootLoader、Root、SELinux 和高权限服务边界的巨大争议;
另一边,则是小米突然端出一个系统级 AI Agent,开始小范围封测,试图在“手机 AI 助手”这条赛道上抢先占位。
但如果把这两件事真正放在一起看,我越来越觉得:
Mi Claw 来得正是时候,也来得不是时候。
1)为什么我觉得 Mi Claw 大概率不是“OpenClaw 火了之后临时上马”的?
先说我的主观判断:
我不太相信 Xiaomi miclaw 是在 OpenClaw 爆火之后,才被小米从零开始立项、从零开始做出来的。
原因很简单。
这种东西如果只是一个“能对话的 App”,那确实可以快一点。
但 Xiaomi miclaw 现在公开给出的定位,不是普通聊天应用,而是一个面向 “系统级执行能力” 的移动端 Agent。官方对外给出的口径很明确:它是基于 MiMo 大模型 构建的 AI 交互测试产品,当前聚焦的是验证大模型在小米“人车家全生态”里的执行能力,探索从“对话能力”走向“系统级执行能力”的落地路径。
而一旦你要做“系统级执行能力”,事情就完全不一样了。
这不再是接个模型 API、套个语音壳子就能上线的产品。
它至少要先有下面这些东西:
- 工具调用框架
- 参数结构化与错误回退
- 权限边界
- 任务状态跟踪
- 异步执行与超时保护
- 记忆管理
- 安全确认机制
- 与第一方系统应用、IoT 生态、第三方能力之间的接入层
从官方披露的信息看,Xiaomi miclaw 现在并不是“概念片阶段”。它已经进入了 小范围封闭测试,而且采用 邀请码机制,拿到资格后还要升级到 特定 ROM 才能使用;首批支持范围也已经收敛到 Xiaomi 17 系列。这说明它大概率不是这几天才突然生出来的,更像是:前面早有技术预研,OpenClaw 只是把它从“内部酝酿”一下子推到了“必须往前跑”的阶段。
我甚至觉得,连它现在流出来的包名 com.aios.osbot 这个细节,都很像这种路径的痕迹。
因为这名字明显更像一个内部工程代号,而不像最终面向消费者传播时会使用的品牌化命名。
“Xiaomi miclaw” 反而更像是后期为了传播叙事才加上的对外名字。
所以,如果让我用一句话概括:
Mi Claw 很可能不是“突然开始做”,而是“突然决定往前推”。
2)为什么我一直觉得,机器级别的 AI 助手,本来就比在电脑上更适合长在手机里?
这一点其实是我最近越想越确定的。
以前很多人谈 Agent,默认想象的还是 PC:
浏览器、IDE、办公套件、桌面自动化、网页抓取、文件管理。
这些方向当然也成立。
但它们更像是“生产力协作者”。
而手机不一样。
手机天然具备几件电脑很难同时满足的条件:
- 它始终在你身边;
- 它知道你现在在哪、在看什么、刚收到什么;
- 它天然握着通知、短信、电话、相册、日历、设置、IoT 等大量真实上下文;
- 它本身就是第一方入口,而不是一层外挂工具。
所以电脑上的 Agent,更像“帮你想”;
而手机上的 Agent,更像“帮你办”。
这两者不是一个量级的想象空间。
也正因为如此,当 Xiaomi miclaw 官方把自己的目标明确写成“系统级执行能力”时,我其实是有点兴奋的。因为这说明它想争夺的,不是传统语音助手那种“问答入口”,而是更接近下一代手机交互核心的东西。
从这个角度看,我甚至觉得:
过去豆包手机助手那一波,各家厂商看起来反应冷淡,甚至隐隐有点敌意,并不奇怪。
因为这种东西一旦成熟,它伤到的不是某个单独功能,而是整套旧有的流量与入口逻辑。
以前手机厂商和超级 App 的价值链,很多建立在这些东西上:
- 桌面入口
- 通知触达
- 系统推荐
- 搜索框
- 信息流
- 应用内停留时长
- 会员与广告
- 场景分发
但如果 AI 助手真的成熟到“你别进 App 了,直接对我说,我替你跨系统和跨应用把事办掉”,那中间很大一段原有链路都会被削弱。
所以厂商一开始对这种东西天然警惕,甚至冷处理,我完全能理解。
问题不在于“看不看得懂”,而在于“愿不愿意让这个方向真的长大”。
但 OpenClaw 的爆火,把这个平衡打破了。
它未必证明产品已经成熟,却证明了另一件更重要的事:
用户会为“可执行的移动端 Agent”这件事兴奋。
一旦行业发现这东西能抢心智、能抢话语权、能抢“下一代手机交互入口”的叙事位置,那原本还在观望的项目,就会突然加速。
Mi Claw 很像就是这个加速的结果。
3)但为什么我又说:Mi Claw 来得不是时候?
因为它偏偏撞上了一件更大的事。
那就是这次 3 月 8 日前后爆开的解锁 / Root / 本地提权 / 高权限服务边界问题。
我在前两篇里已经写过很多,这里不再重复全部细节。
只说一个我现在越来越确定的判断:
这次事件真正麻烦的地方,不只是“有人能永久解 BL”,而是设备原本承诺给普通用户的那条安全边界,看起来正在被重新讨论。
最早很多人把它理解成“8 Gen 5 被攻破了”。
这句话当然有传播力,也确实最抓眼球。
但后来大家慢慢发现,更值得警惕的,未必只是最后那一下“永久解锁”,而是这条链中间那几层更现实、更容易外溢的问题:
- 厂商高权限服务是否存在可被普通本地环境滥用的空间;
- 锁定设备是否仍有机会被拉起高权限能力;
- SELinux、BootLoader、Root 和系统内部服务之间,原本不该同时松动的几层边界,是否被真正串成了一条链。
而 Xiaomi miclaw 偏偏又不是普通 App。
它不是一个“装了也就装了”的聊天工具。
它是一个正在往 系统级执行能力 走的 Agent。
它运行在系统层,接的是系统工具,碰的是系统权限,走的是第一方能力。官方 QA 甚至直接写明:为了实现系统级执行能力,Xiaomi miclaw 以系统 UID 身份运行,因此必须使用 ROM 平台密钥签名并安装在系统分区。
这意味着,它比普通 AI 助手更依赖一个前提:
这台手机,至少得是一台可信的宿主。
问题就出在这里。
如果手机侧的控制边界本身正在被大规模重新研究,
如果越来越多玩家开始意识到:“原来锁定状态也不一定意味着真安全,原来高权限服务和本地环境之间也可能有意外的可利用接口”,
那 Xiaomi miclaw 面临的第一个问题,就不再是模型够不够强,而是:
它到底建在什么安全基线上?
这就是我说它“来得不是时候”的原因。
4)最新进展:所谓“越狱”,已经不只是口头上的威慑了
而就在我写这篇番外的时候,又出现了一个很值得补进去的新信号。
按最新流出的演示图看,维术之前提到的那种“越狱”方向,至少已经开始兑现到可见的实际演示层面了:
画面里已经能看到 KernelSU 的“越狱模式”跑起来,而且说明也写得很直白——当前路径是先拿到 root,再把这条能力接到 KernelSU 这类现成 Root 生态上;虽然暂时重启失效,而且作者自己也明确说了实现还在快速变化,但这件事本身的象征意义,其实已经很大了。
因为这意味着,事情正在从“有人可以做到”往“这条链路已经开始被工程化”演进。
前几天很多人看这波事件,还停留在一种比较旧的理解方式里:
无非就是又一轮玩机圈的 BL 解锁、刷机、Root 狂欢,最多加一点“这次难度低得离谱”的惊讶。
但现在看,问题已经不只是“有人拿到了 Root”,而是:
拿到 Root 之后,这个结果正在开始和现成的高权限生态、现成的框架工具、现成的运行时控制能力接起来。
这两者不是一回事。
“能提权”,只是说明边界被打穿过一次;
“提权结果可以被接入成熟框架继续利用”,才意味着这件事开始具备更强的传播性、复用性和外溢性。
哪怕当前版本还是:
- 非持久;
- 重启失效;
- 实现细节随时可能调整;
它仍然已经足够说明一件事:
这不再只是一个停留在截图、传闻、聊天记录里的概念漏洞,而是一条正在向现实使用形态靠拢的能力链。
而这件事,对 Mi Claw 这样的系统级 Agent 来说,影响比单纯的“解锁人数变多”更大。
因为对系统级 Agent 最麻烦的,从来不是“极少数顶尖玩家能不能攻破一台机器”,而是:
一旦这类能力开始被工程化、生态化,原本属于少数人的攻击面,就会逐步变成更大圈层可复用的能力。
到那一步,厂商面对的就不再只是“我们有没有被一个高端漏洞打到”,
而是“我们原本假设为可信的终端环境,到底还有多大比例是真正可信的”。
5)更现实的问题是:Mi Claw 真要做大,就绕不开“设备可信性”这件事
很多人一看到“厂商可以做设备状态校验”,就会自然觉得:
那简单啊,检测是不是解锁、是不是 root、是不是有 Xposed / Magisk / Hook,不就完了?
但如果你真的做过 Android 安全、做过客户端攻防、玩过 Xposed / Zygisk / LSPosed,你就会知道:
只要设备已经拿到足够高的控制权,任何纯客户端自查都天然不可信。
因为一旦端上已经被控制:
- 你读到的系统属性可以是假的;
- 你查到的 boot state 可以是假的;
- 你看到的 root 痕迹可以被隐藏;
- 你上报给服务端的数据,也可以被在本地构造得像模像样。
也就是说,如果厂商只是让 App 自己在本地做“我很健康”的自证,那这套东西几乎肯定扛不住真正懂行的人。
Android 官方这几年给出的方向,当然不是完全没有对策。
比如 Play Integrity 的官方 verdict 文档已经明确写到:在 Android 13 及以上,MEETS_DEVICE_INTEGRITY 包含了“Bootloader 锁定”且“加载的是认证厂商镜像”的硬件级证明;而 Key Attestation 则允许服务端去验证某个密钥是否真的生成并保存在 hardware-backed keystore / TEE / StrongBox 这类受信环境里,而不是单靠客户端自报。
但问题在于:
这也只是把“很好骗”变成“更难骗”,不是把问题彻底消灭。
因为远程证明再强,它也依赖一整条链:
- 引导链
- 厂商实现
- TEE / StrongBox
- 系统服务
- 服务端校验逻辑
- 业务动作与证明结果之间的绑定方式
只要其中某一层做松了,或者业务侧只是“验一下就算”,没有把高风险能力真正和设备、会话、时效、账号、版本强绑定,那照样会被钻空子。Android 官方对 Keystore 的表述本身也很克制:它解决的是“密钥更难被导出”,而不是神奇地让一台已经被攻陷的设备重新变得绝对可信。
所以从工程视角看,Mi Claw 这类系统级 Agent 真要推进,合理的路径一定不是:
“做几个本地检测,看看有没有 root 就完事。”
更像应该是:
- 资格发放放在服务端;
- 设备状态依赖远程证明而不是本地自报;
- 不同能力分级开放;
- 高风险动作做更短时、更强绑定的授权;
- 对异常设备直接降级,甚至不给核心能力。
也就是说,这次安全事件真正给 Mi Claw 带来的,不只是一个公关麻烦,而是一个非常现实的系统设计问题:
在一个可能并不完全可信的终端上,如何建立足够可信的执行边界。
6)还有一个经常被忽略、但其实非常现实的问题:已解锁设备池会长期存在
从这两天我看到的圈内反馈来看,另一个很容易被外界低估的点是:
解锁容易,恢复原状却没有那么容易。
原因并不复杂。
BootLoader 的解锁与重新上锁,本来就不是那种“默默打个补丁就无事发生”的状态切换。Android 官方对这件事的标准设计一直很保守:不管是解锁还是重新上锁,都要求进入 bootloader 流程、需要用户确认,而且会伴随数据擦除。这意味着,一旦用户为了抓住窗口先完成了解锁,后面再想把这台设备“无感知地变回正常状态”,几乎没有现实空间。
更何况,今天我还看到了另一类很典型的圈内止血口径:
某张群消息截图里,已经明确出现了“小米 17 Ultra 解锁后升到 3.0.304 版本,系统崩溃,最好先不要更新”这种提醒,但后续同一来源又补充更正称,前述版本号系误读,实际涉事版本是 3.0.303 而非 3.0.304,且该机解锁方式并非 GBL。结合群内伴随出现的“在 recovery 中清除数据后可以恢复开机”等说法,这更像是某台具体设备在特定解锁/升级状态下出现的启动异常个案,而暂时不足以支持“303/304 对已解锁机器存在普遍性风险”这一更强结论。
这条消息本身不是正式公告,也不构成官方技术结论。
但它非常能说明问题:至少在圈层内部,‘解锁状态 × 某个新 ROM 版本’ 已经被视为一个真实风险组合。
这也意味着,后面很可能会长期留下一个相当可观的 “已解锁、已折腾、已主动研究过边界”的设备池。
而对 Mi Claw 这种高权限系统级 Agent 来说,这个设备池的存在,本身就会改变它的放量逻辑。
7)所以,我对 Mi Claw 的推进节奏,现在反而有了一个更明确的判断
如果没有这次安全事件,我原本可能会更乐观一点,觉得只要 OpenClaw 的热度继续发酵,小米很快就会把 Xiaomi miclaw 从小范围封测推到更大范围的社区内测,再往公测走。毕竟现在这个窗口期太诱人了,谁先站出来,谁就能先拿到“移动端 Agent”这条赛道的话语权。
但把这次安全背景叠上去之后,我现在更倾向于另一个判断:
Mi Claw 的战略优先级会更高,但它的放量方式会更保守。
也就是说:
- 它不会被打停;
- 甚至可能会因为竞争压力而更想尽快做出来;
- 但它不会轻易变成“谁都能下、谁都能试”的开放形态;
- 它更可能走的是“受控 ROM + 白名单账号 + 受控设备状态 + 分层能力开放”的路线。
官方现在公开的封测信息,其实已经很有这个味道了:
- 小范围封测;
- 不公开招募;
- 邀请码机制;
- 获得权限后要升级到特定版本 ROM;
- 主动退出测试后,再回来原邀请码失效;
- 重新安装也依赖已经通过邀请码验证后推送的 ROM 环境。
这套设计如果只看“产品运营”,会觉得有点重。
但如果把它放到“系统级 Agent + 高权限能力 + 底层安全边界正在震荡”的语境里看,就会发现它其实非常合理:
这不仅是在管测试节奏,
也是在尽量把样本设备的状态控制在一个相对可信的范围里。
所以如果让我现在总结一句:
这次事件不会让 Mi Claw 停下来,只会让它从“趁热扩圈”变成“先补安全底座,再在可控设备上扩圈”。
8)这也会带来一个很有意思的分化:最想体验 Mi Claw 的人,未必是最适合首批开放的人
这一点我最近越想越觉得戏剧性。
因为对 Mi Claw 这种东西最兴奋、最敏感、最愿意第一时间折腾的人,恰恰就是:
- 资深米粉
- 高端旗舰用户
- 社区活跃用户
- 玩机圈核心人群
- 对 Root、解锁、系统能力、Agent 路线都很敏感的人
但同一批人里,又往往有相当大比例的人,正是这次事件后最可能已经解锁、已经折腾、已经主动研究系统边界的人。
换句话说:
从“用户价值”看,他们最像种子用户;
从“设备状态”看,他们又最像风险用户。
这两个画像是互相打架的。
所以我越来越觉得,后面最可能出现的不是一个简单的“抢热度式公测”,而是一种很拧巴、但也很现实的分层:
- 舆论上继续强调 Xiaomi miclaw 的系统级能力、Agent 想象空间和生态地位;
- 实际资格上却更偏向于官方系统、锁定状态干净、愿意升级指定 ROM 的用户;
- 即使放给极客用户,也会优先放给“可控环境里的极客用户”,而不是“已经进入深度改机态的极客用户”。
这听起来好像有点讽刺。
但从厂商视角,它非常合理。
因为 Mi Claw 的第一仗,不是证明“模型会不会说话”,而是证明:
它能不能在真实手机环境里,稳定地、可预期地、尽量安全地把事办完。
在这个阶段,安全边界永远比戏剧性更重要。
9)所以我对 Mi Claw 的真正展望,其实比“它什么时候公测”还更大一点
说到底,我对 Xiaomi miclaw 真正感兴趣的,不是它下个月能不能给更多人用,也不是它能不能在社区里再刷几波存在感。
我更在意的是,它到底代表了什么。
在我看来,它代表的是一件过去几年一直没有真正成形,但现在终于开始被主流厂商认真面对的事:
手机不只是 App 的容器,也不只是模型的壳子。
它可能正在变成一种可执行的 AI 操作系统。
这件事如果成立,后面影响的就不只是小米一家,也不只是手机语音助手这条线。
它会重新推动整个行业去回答一堆以前可以回避、现在回避不了的问题:
- 系统级 Agent 和超级 App 之间,谁掌握入口?
- 第三方应用愿不愿意把能力声明给手机侧 Agent?
- 用户的真实操作上下文,到底该沉淀在手机系统、云端模型,还是超级 App 自己手里?
- 手机厂商愿不愿意为了 Agent,重构自己的权限、通知、日历、IoT、搜索、系统服务接入层?
- 更重要的是:在一个并不永远可信的终端上,系统级执行能力到底该如何被约束和证明?
如果这些问题真的开始被系统性地回答,那 Xiaomi miclaw 的意义,就不会只是一款小米手机上的新功能。
它会更像一个信号:
手机行业终于开始认真面对“Agent 不是插件,而是下一代系统层能力”这件事了。
这才是我真正乐见其成的地方。
10)最后的判断:Mi Claw 很可能会比很多人想得更快到来,但它首先到来的,不会是“绝对自由”,而是“受控能力”
所以如果把这篇番外压缩成最后几句话,我现在的判断大概是这样:
第一,Mi Claw 大概率不是临时拼出来的产品。
它更像是原本就在内部酝酿,只是被 OpenClaw 的爆火和行业竞争突然推上了台前。
第二,手机确实比电脑更适合作为机器级 AI 助手的宿主。
因为手机握着更强的实时上下文、更深的系统权限和更真实的执行场景。
第三,这次安全事件不会打掉 Mi Claw,反而会让它在小米内部变得更重要。
因为当行业开始争夺移动端 Agent 的话语权时,小米没有理由轻易放掉这个位置。
第四,真正会被改变的,是它的推进方式。
在底层安全边界刚刚经历大震荡的时间点,Mi Claw 很难直接走向完全开放;它更可能走向邀请码、特定 ROM、设备状态约束、能力分层和服务端风控更重的路径。
第五,也是我现在比之前更在意的一点:
Mi Claw 的第一场仗,打的不是“模型聪不聪明”,而是“系统级 AI 助手能不能在一个正在被重新审视可信性的终端上,建立起足够可信的执行边界”。
如果这一仗打赢了,它后面会非常有想象空间。
如果这一仗打不赢,那它很容易沦为一堆惊艳演示视频之后的另一种“概念化助手”。
而这,也正是我现在对它最期待、也最担忧的地方。
