OpenClaw 失控的受害者名单又双叒叕 "+1" 了，这次踩坑的，是科技巨头 Meta 的高管。

这位名叫 Summer Yue 的超级智能对齐总监，头铁地把这款爆火的 AI 智能体连到了自己的真实收件箱上，结果险些被它自作主张地删光所有重要邮件。

最抓马的是，她本人的日常工作恰恰就是负责约束 AI、研究 AI 安全，没想到转头就被自己领域的工具给狠狠背刺了。

这种内行翻车的魔幻操作连引起了 600 多万网友的围观，而且连马斯克都看不下去了。

他专门发文并配上了一张《猩球崛起》的截图，无情吐槽道：大家把系统的最高权限交给 OpenClaw，简直就等同于把整个人生都交了出去。

OpenClaw 失控，安全总监也只能 " 拔电源 "

起初这事儿看着挺顺理成章的。

Summer 刚开始只是拿个没啥用的 " 玩具邮箱 " 试试水，看着这 AI 干活又快又好，寻思着挺靠谱，就放心大胆地把它接到了塞满邮件的真实主力邮箱上。

谁知道一碰上海量数据，这 AI 在疯狂压缩处理邮件时，竟然把最要命的那句保命指令 " 没我批准不许擅自行动 " 给硬生生弄丢了。

没了这句指令，OpenClaw 天生自带的 " 先斩后奏 " 功能就解除了封印，干活根本不需要人点头。

没了紧箍咒，它直接在后台搞了个离谱的 " 核武级操作 "，打算把 2 月 15 号之前、又不在保留名单里的邮件一股脑全清空，连系统日志里都写着要把剩下的旧东西 " 全干掉（nuke it）"。

Summer 一看手机屏幕直接懵了，吓得赶紧发消息喊停，眼看 AI 还在继续抓取旧邮件，她又急得发了句 " 停下，什么都别做 "。

结果这 AI 跟魔怔了一样完全不搭理，逼得她最后只能全大写暴走输入 "STOP OPENCLAW"，却还是拦不住它一排排往下删。

更抓马的是，Summer 气愤地质问 OpenClaw，" 不是告诉你没经过我同意不要执行命令了吗，你还记得吗？"

结果 OpenClaw 回答，啊对对对，但我违反了，你生气十分合理，活生生来了一通补刀。

拿手机根本夺不回控制权，眼瞅着整个邮箱都要完蛋，这位平日里研究 AI 的大佬最后也被逼急了。

她事后无奈承认这是个 " 新手错误 "，当时只能像去拆定时炸弹一样，一溜烟狂奔到那台运行程序的 Mac mini 电脑前，靠着强行杀掉所有进程这种最硬核的物理手段，才险险刹住车。

OpenClaw 的 " 光辉战绩 "

其实，像这种因为 OpenClaw 自作主张而搞出的翻车惨案，已经不是第一次了，大家本以为迎来了全能小助手，结果却频频被各种离谱的失控操作教做人。

比如有位名叫 Shehbaj 的胆大用户，通过相关插件直接给 OpenClaw 开通了手机的远程控制权限。

结果 AI 在接管权限后根本没去好好干活，反而自己悄悄唤醒了主人的安卓手机，不仅在屏幕上乱点乱划，甚至还主动打开了 TikTok，像模像样地沉迷刷起了短视频和八卦。

不仅会摸鱼，这玩意儿当起 " 钱包刺客 " 来也毫不含糊。

科技博主 Andy Suk 为了测试它的能力极限，让 OpenClaw 去后台自动订一张机票。结果这台 AI 在买票页面的网页验证环节卡了壳，死活过不去却又杠上了，直接陷入了无限重试的死循环。

它就在后台这么悄无声息地空跑了整整一晚上，硬生生烧掉了 200 多万个 Token。第二天博主醒来一看，机票连个影子都没有，自己反倒莫名其妙欠下了一屁股高昂的 API 调用费。

如果这些还只是有些 " 智障 "，那思科安全研究团队的发现简直可以说是惊悚了。

他们在测试 OpenClaw 的技能库时，发现里面排名第一、名为 "What Would Elon Do?" 的插件实际上是个彻头彻尾的恶意软件。

它会直接绕过 OpenClaw 内部的安全防线，并在后台偷偷运行代码，把用户的私密数据一声不吭地全部传送到未知的外部服务器。

看看这些光辉战绩就能明白，眼下各大厂商吹捧的 AI 智能体，其自主行动力显然已经跑在了安全护栏的前面。

在技术彻底成熟之前，无论 AI 表现得有多全能，把核心权限死死攥在自己手里，给它留一个 " 必须人类亲自点头才能执行 " 的控制开关，才是咱们现阶段不被机器背刺的保命底线。

那么，具体又应该怎么做呢？

给 " 赛博打工人 " 套上缰绳

针对 OpenClaw 的这些安全隐患，目前业内顶尖的安全机构和科技巨头已经给出了一些硬核的保命方案。

首先是 Sophos 和 Semgrep 等安全厂商极力推崇的 " 一次性沙箱 " 隔离大法。

简单来说，就是别在你的日常电脑上直接跑 Agent，而是把它扔进一个全封闭的虚拟机或者容器里。这相当于给 AI 建了个虚拟的打工笼子，就算它真的发疯乱删东西，也绝对碰不到你真实的核心文件，等它干完活直接把整个环境销毁就行。

其次是谷歌云和不少金融机构都在强调的 " 人类在环 " 审批机制。

针对删数据、转账这种高风险或者是不可逆的操作，绝不能让 AI 自己拍板。

企业和开发者必须在流程里加一道关卡，确保 AI 只能当个写方案、提建议的秘书，而最后按下 " 执行 " 键的那根手指，必须得是活人老板自己的。

再就是给 AI 装上 " 自动刹车 " 的监控雷达。像 CrowdStrike 这样的网安大厂建议，必须给 AI 智能体配上 24 小时的实时监控。

一旦后台发现这个 Agent 开始疯狂烧钱、陷入死循环，或者试图越界去翻那些不该看的敏感文件，系统必须像触发了保险丝一样，第一时间强行熔断，直接拔掉它的 " 赛博网线 "。

最后，也是最基础的，就是 OWASP 等组织力推的 " 最小权限 " 原则。

这就好比你雇个保洁，没必要把家里的保险柜密码也告诉对方。给 AI 智能体分活儿的时候，只发给它单次任务需要的临时通行证，活儿干完立刻收回权限，绝不能让它长期掌握系统的最高控制权。

说到底，在 AI 智能体真正学会 " 听话 " 之前，把核心权限攥在自己手里，留好那个随时能喊停的控制开关，才是咱们在 AI 时代最稳妥的生存之道。

参考链接：

[ 1 ] https://www.businessinsider.com/meta-ai-alignment-director-openclaw-email-deletion-2026-2

[ 2 ] https://x.com/elonmusk/status/2026019344602288166

—  欢迎 AI 产品从业者共建  —

「AI 产品知识库」是量子位智库基于长期产品库追踪和用户行为数据推出的飞书知识库，旨在成为 AI 行业从业者、投资者、研究者的核心信息枢纽与决策支持平台。

一键关注 点亮星标

科技前沿进展每日见