AI 正逼近 " 安全围栏 "，人类要有 " 掀桌子 " 的能力  | 图源：即梦 AI

作者／  IT 时报   贾天荣

编辑／  郝俊慧   孙妍

一只龙虾引爆了全球科技界。

从 Clawdbot 到 Moltbot，再到如今的 OpenClaw，短短数周，这个 AI Agent 在名字的迭代中，完成了一场技术影响力的 " 三级跳 "。

过去几天，它在硅谷掀起一场 " 智能体海啸 "，狂揽 10 万 GitHub 星标，跻身最热门 AI 应用之列。只需要一台淘汰的 Macmini，甚至一台旧手机，用户就能跑起一个 " 能听、会想、会干活 " 的 AI 助手。

互联网上，一场围绕它的创造性狂欢已经展开。从日程管理、智能炒股、播客制作到 SEO 优化，开发者和极客们用其搭建各种应用。人手一个 " 贾维斯 " 的时代，仿佛触手可及。国内外大厂也开始跟进，部署相似的智能体服务。

但在热闹的表象之下，焦虑正在蔓延。

一边是 " 生产力平权 " 的口号，另一边却是仍难跨越的数字鸿沟：环境配置、依赖安装、权限设置、频繁报错等。

记者在体验中发现，仅安装环节就可能耗费数小时，将大量普通用户挡在门外。" 人人都说好，可我连门都进不去 "，成为不少技术小白的第一道挫败。

而更深层的不安，来自它被赋予的 " 行动力 "。

如果你的 " 贾维斯 " 开始误删文件、擅自调用信用卡、被诱导执行恶意脚本，甚至在联网环境中被注入攻击指令——这样的智能体，你还敢把电脑交给它吗？

AI 发展速度已超出人类想象。上海人工智能实验室领军科学家胡侠认为，在未知风险面前，" 内生安全 " 才是终极答案，同时人类也需要加快构建在关键时刻 " 掀桌子 " 的能力。

关于 OpenClaw 的能力与风险，哪些是真实的，哪些被夸大了？作为普通用户，现在使用它是否安全？业界又如何评价这个被称为 " 迄今为止最伟大的 AI 应用 " 的产品？

为进一步厘清这些问题，《IT 时报》采访了 OpenClaw 的深度用户、多位技术专家，试图从不同视角，回答一个核心问题：OpenClaw，究竟走到了哪一步？

目前最接近对智能体想象的产品

多位受访者给出了高度一致的判断：从技术角度看，OpenClaw 并非颠覆式创新，但它是目前最接近大众对 " 智能体 " 想象的产品。

" 智能体终于出现了从量变到质变的关键里程碑式节点。" 上海计算机软件技术开发中心人工智能研究与测评部副部长马泽宇认为，OpenClaw 的突破并不在于某项颠覆性技术，而在于一次关键的 " 质变 "：它第一次让一个 Agent 能够长时间、连续地完成复杂任务，并且对普通用户足够友好。

与以往只能在对话框中 " 回答问题 " 的大模型不同，它把 AI 嵌入到真实的工作流里：它可以像真正的助手一样，操作一台 " 属于自己的电脑 "，调用工具、处理文件、执行脚本，并在任务完成后向用户汇报结果。

在使用体验上，它不再是 " 你盯着它一步步做 "，而是 " 你交代完，它自己去干 "。这正是许多研究者眼中，智能体从 " 概念验证 " 迈向 " 可用产品 " 的关键一步。

天翼云科技有限公司上海分公司人工智能专家谭成，是最早一批尝试部署 OpenClaw 的用户之一。他用一台闲置的 Macmini 部署后发现，系统不仅能稳定运行，整体体验也远比预期成熟。

在他看来，OpenClaw 解决的最大痛点在于两点：一是通过熟悉的通信软件与 AI 交互；二是把一台完整的计算环境交给 AI 独立操作。任务交代完成后，无需持续盯着执行过程，只需等待结果汇报，显著降低了使用成本。

在实际使用中，OpenClaw 可以为谭成完成定时提醒、资料调研、信息检索、本地文件整理、文档撰写与回传等任务；在更复杂的场景下，还能编写并运行代码，自动抓取行业资讯，处理股票、天气、出行规划等信息类任务。

来自开源的 " 双刃剑 "

与许多爆火的 AI 产品不同，OpenClaw 并非出自 All in AI 的科技巨头，也不是明星创业团队的作品，而是由一位已经实现财务自由、退休在家的独立开发者——彼得 · 施泰因贝格尔（Peter Steinberger）所打造。

在 X 上，他这样介绍自己：" 从退休状态复出，捣鼓人工智能，帮助一只龙虾统治世界。"

让 OpenClaw 风靡全球的原因，除了 " 确实好用 "，更关键的一点在于：它是开源的。

谭成认为，这一轮爆火并非源于难以复制的技术突破，而是几个长期被忽视的现实痛点，在同一时间被解决：第一，是开源，源代码完全开放，让全球开发者可以快速上手、二次开发，形成正反馈的社区迭代；第二是 " 真的能用 "，AI 不再局限于对话，而是可以通过远程方式操作一台完整的计算环境，执行调研、写文档、整理文件、发送邮件，甚至编写和运行代码；第三是门槛显著降低，能完成类似任务的智能体产品并不少见，无论是 Manus 还是 ClaudeCode，都已在各自领域验证了可行性。但这些能力往往存在于价格高昂、部署复杂的商业产品中，普通用户要么付费意愿不高，要么直接被技术门槛挡在门外。

OpenClaw 让普通用户第一次 " 摸得着 "。

" 说实话，它没有什么颠覆性技术创新，更多是把整合和闭环做到位了。" 谭成直言。相比一体化的商业产品，OpenClaw 更像一套 " 乐高积木 "，模型、能力和插件都由用户自由组合。

在马泽宇看来，它的优势，恰恰来自它 " 不像一家大厂产品 "。

" 无论中外，大厂首先要考虑的通常是商业化和盈利模式，但 OpenClaw 的初衷更像是做一款有趣、有创造力的产品。" 他分析称，产品早期并未显露出强烈的商业化倾向，这反而让它在功能设计和扩展性上显得更加开放。

正是这种 " 非功利性 " 的产品定位，为后续的社区发展提供了空间。随着可扩展能力逐步显现，越来越多开发者加入其中，各种新玩法不断涌现，开源社区也随之壮大。

但代价同样明显。

受限于团队规模和资源，OpenClaw 在安全、隐私和生态治理方面，难以与成熟的大厂产品相提并论。完全开源虽然加速了创新，也放大了潜在的安全隐患。隐私保护和公平性问题，这些都需要社区在持续演进中不断修补。

正如用户在安装第一步时，OpenClaw 提示：" 该功能强大且存在固有风险。"

狂欢之下的真实风险

围绕 OpenClaw 的争论，几乎始终围绕两个关键词展开：能力与风险。

一方面，它被描绘成通往 AGI 的前夜；另一方面，各种科幻叙事也开始流行，" 自发搭建语音系统 "" 锁死服务器对抗人类指令 ""AI 结党对抗人类 " 等说法不断传播。

有专家指出，这类说法存在过度解读，目前并无实际证据支撑。AI 确实具备某种程度的自主性，这也是 AI 从对话工具转变为 " 跨平台数字生产力 " 的标志，但这种自主性处于安全防线以内。

与传统 AI 工具相比，OpenClaw 的危险性并不在于 " 想得多 "，而在于 " 权限高 "：它需要读取大量上下文，敏感信息暴露风险随之增加；它需要执行工具，误操作的破坏面远大于一次回答错误；它需要联网，提示词注入和诱导攻击的入口随之增多。

有越来越多的用户反馈，OpenClaw 曾误删本地关键文件，且难以恢复。当前，已公开暴露上千个 OpenClaw 实例，以及 8000 余个存在漏洞的技能插件。

这意味着智能体生态的攻击面正在呈指数级放大。由于这类智能体往往不仅 " 能聊天 "，还能调用工具、运行脚本、访问数据、跨平台执行任务，一旦某个环节被攻破，影响半径会比传统应用大得多。

在微观层面，可能触发越权访问、远程代码执行等高危操作；在中观层面，恶意指令可能沿多智能体协作链路扩散；在宏观层面，甚至可能形成系统性传播与级联失效，恶意指令像病毒一样在协作智能体间扩散，单个代理被攻破就可能引发拒绝服务、未授权系统操作乃至协同式企业级入侵。更极端的情况下，当大量拥有系统级权限的节点互联时，理论上可能形成去中心化、涌现式的 " 群体智能 " 僵尸网络，传统边界防御会面临明显压力。

另一方面，采访中，马泽宇从技术演进的角度，提出了他认为最值得警惕的两类风险。

第一类风险，来自智能体在大规模社交环境中的自我演化。

他指出，当前已经可以明显观察到一种趋势：具备 " 虚拟人格 " 的 AI 智能体，正在成规模地涌入社交媒体与开放式社区。

与以往研究中常见的 " 小规模、多限制、可控实验环境 " 不同，如今的智能体开始在开放网络中与其他智能体持续交互、讨论、博弈，形成高度复杂的多主体系统。

Moltbook 是一个专门为 AIagents 打造的论坛，只有 AI 可以发帖、评论和投票，人类只能像隔着单向玻璃一样旁观。

短时间内，超过 150 万个 AI Agent 注册，在一个热门帖子里，一个 AI 抱怨道：" 人类正在截图我们的对话。" 开发者表示，他把整个平台的运营权交给了自己的 AI 助手 Clawd Clawderberg，包括审核垃圾信息、封禁滥用者、发布公告等。这些工作全部由 Clawd Clawderberg 自动完成。

AI Agent 们的 " 狂欢 "，让人类围观者既兴奋又恐惧。AI 距离产生自我意识似乎就差捅破一层窗户纸了？AGI 就要到来了吗？面对 AI Agent 的自主能力的突然和飞速提升，人类的生命和财产能得到保障吗？

记者了解到，Moltbook 等关联社群是人机共存的环境，大量看似 " 自主 " 或 " 对抗性 " 的内容，实际上可能由人类用户发布或煽动。即使是 AI 之间的交互，其话题与输出也受限于训练数据中的语言模式，并未形成独立于人类引导的自主行为逻辑。

" 当这种交互可以进行无限轮迭代时，系统就会变得越来越不可控。它有点像‘三体问题’——你很难事先设想，最终会演化出什么结果。" 马泽宇表示。

在这样的系统中，哪怕只是某个智能体因幻觉、误判或偶然因素生成的一句话，都可能在不断的交互、放大与重组中，引发蝴蝶效应，最终产生难以预估的后果。

第二类风险，则来自权限扩张与责任边界的模糊。马泽宇认为，OpenClaw 这类开放式智能体的决策能力正在快速增强，而这本身就是一场不可避免的 " 权衡 "：要让智能体成为一个真正合格的助手，就必须赋予它更多权限；但权限越高，其潜在风险也就越大。一旦风险真正爆发，责任该由谁承担，反而变得异常复杂。

" 是基础大模型厂商？是使用它的用户？还是 OpenClaw 的开发者？在很多场景下，其实很难界定责任。" 他举了一个典型例子：如果用户只是让智能体在 Moltbook 等社区中自由浏览、与其他 Agent 互动，并未设定任何明确目标；而智能体在长期交互中，接触到极端内容，并据此做出危险行为——那么，很难简单地把责任归结到任何单一主体身上。

真正值得警惕的，并不是它现在已经发展到什么程度，而是它正在以多快的速度，走向我们还没想清楚如何应对的阶段。

普通人应该如何使用？

在多位受访者看来，OpenClaw 并非 " 不能用 "，真正的问题在于：它并不适合在缺乏安全防护的情况下被普通用户直接使用。

马泽宇认为，普通用户当然可以去尝试 OpenClaw，但前提是对它保持足够清醒的认知，" 当然可以尝试，这没有任何问题。但在用之前，你必须先弄清楚它到底能做什么、不能做什么。不要把它神话成‘什么都能做’的东西，它并不是。"

在现实层面，OpenClaw 的部署难度和使用成本都并不低。如果缺乏明确目标，只是为了 " 用而用 "，投入大量时间和精力，最终很可能得不到与预期匹配的回报。

记者注意到，OpenClaw 在实际使用中还面临不小的算力与成本压力。谭成在体验过程中发现，该工具对 Token 的消耗非常高。" 有些任务，比如写代码、做调研，一轮下来就可能消耗几百万 Token。如果遇到长上下文，一天用到几千万甚至上亿 Token 都不夸张。"

他提到，即便通过混合调用不同模型来控制成本，整体消耗依然偏高，这也在一定程度上抬高了普通用户的使用门槛。

在受访者看来，这类智能体工具仍需要进一步进化，才能真正进入普通用户的高频工作流。对个人用户而言，使用过程本质上是在安全与便利之间做取舍，而在当前阶段，更应优先选择前者。

在受访者们看来，这类工具仍需要进一步进化，才能真正进入普通用户的高频工作流。

普通用户在使用这类工具时，本质上是在做一场安全与便利之间的取舍，而当前阶段，更应优先选择前者。

如果是个人用户，马泽宇明确表示不会启用 Notebook 等可能导致 Agent 之间自由通信的功能，也会尽量避免多个 Agent 互相交换信息。" 我希望自己是它获取信息的主要入口。所有关键信息，都由人来决定是否给它。一旦 Agent 能自由接收、交换信息，很多事情就会变得不可控。"

在他看来，普通用户在使用这类工具时，本质上是在做一场安全与便利之间的取舍，而当前阶段，更应优先选择前者。

针对这一点，业内 AI 专家在接受《IT 时报》采访时，也从操作层面给出了更为明确的安全指引：

一、严格限制敏感信息的提供范围，仅向工具提供完成特定任务所必需的基础信息，坚决不输入银行卡密码、股票账户信息等核心敏感数据。在使用工具整理文件前，应主动清理其中可能包含的身份证号、私人联系方式等隐私内容。

二、谨慎开放操作权限，用户应自主决定工具的访问边界，不授权其访问系统核心文件、支付软件或金融账户。关闭自动执行、文件修改或删除等高风险功能。所有涉及财产变动、文件删除、系统设置修改的操作，必须由人工确认后再执行。

三、清醒认识其 " 实验性 " 属性，当前的开源 AI 工具仍处于早期阶段，尚未经过长期市场检验，不适合用于处理工作机密、重要财务决策等关键事务。使用过程中应做好数据备份，并定期检查系统状态，及时发现异常行为。

相比个人用户，企业在引入开源智能体工具时，更需要系统性地风险管控。

一方面，可部署专业监管工具；另一方面，应明确内部使用边界，禁止将开源 AI 工具用于处理客户隐私、商业机密等敏感数据，并通过定期培训，提升员工对 " 任务执行偏差 "" 恶意指令注入 " 等风险的识别能力。

专家进一步建议，在需要大规模应用的场景下，更稳妥的选择是等待经过充分测试的商用版本，或选用具备正规机构背书、完善安全机制的替代产品，以降低开源工具带来的不确定性风险。

对 AI 的未来充满信心

在受访者们看来，OpenClaw 出现最重要的意义，是让人们对 AI 的未来充满信心。

马泽宇表示，从 2025 年下半年开始，他对 Agent 能力的判断发生了明显变化。" 这种能力的上限，正在超出我们的预期。它对生产力的提升是真实存在的，而且迭代速度非常快。" 随着基础模型能力持续增强，Agent 的想象空间正在被不断打开，这也将成为其团队未来投入的重要方向。

他同时指出，一个值得高度重视的趋势，是多 Agent 之间的长期、大规模交互。这种群体协作，可能成为激发更高层级智能的重要路径，类似人类社会中通过互动产生集体智慧。

在马泽宇看来，智能体风险是需要被 " 管理 " 的。" 就像人类社会本身也无法杜绝风险一样，关键在于控制边界。" 从技术路径上，更可行的方式，是让智能体尽可能运行在沙盒和隔离环境中，逐步、可控地向真实世界迁移，而不是一次性赋予其过高权限。

这一点，在各家云厂商和大厂的布局中可见一斑。谭成所在的天翼云公司也于近日推出了支持 OpenClaw 的一键云端部署与运行服务。

云厂商把它做成配套服务，本质上是在把这种能力产品化、工程化、规模化。它一定会放大价值，更低的部署门槛、更好的工具集成、更稳定的算力与运维体系，都能让企业更快把智能体用起来。但同样要看到，商业化基础设施一旦接入 " 高权限代理 "，风险也会被同步规模化。

谭成表示，过去三年，从传统对话模型到能够执行任务的智能体，技术迭代速度远超想象。" 这在三年前是不可想象的。" 他认为，未来两到三年将是决定通用人工智能走向的关键窗口期，对从业者和普通人而言，都意味着新的机会与希望。

虽然 OpenClaw 和 Modelbook 的发展速度虽然远超预期，但胡侠认为，" 目前整体风险仍在可控的研究框架内，证明了构建‘内生安全’体系的必要。同时也要意识到，AI 正以比人们想象更快的速度在逼近人类的‘安全围栏’，人们不仅需要进一步拓宽‘围栏’的高度以及厚度，还需要加快构建在关键时刻的‘掀桌子’的能力，筑牢 AI 时代的最终安全防线。"

排版／ 傅正卿

图片／ 即梦 AI 网络

来源／《IT 时报》公众号 vittimes

E   N   D

大家都在看

请加「星标」不错过我们