OpenClaw 今年的崛起速度惊人,范围也异常广泛,这款开源 AI 代理框架在短短几周内就获得了大约147,000 个 GitHub 星标,并引发了关于自主系统、模仿项目以及来自诈骗者和安全研究人员的早期审查的一系列猜测。
OpenClaw并非“奇点”,它也从未声称自己是。但在炒作之下,它指向某种更持久的东西,一种值得更仔细审视的东西。
OpenClaw 由奥地利开发者 Peter Steinberger 开发,他在获得 Insight Partners 的投资后退出了PSPDFKit 项目。OpenClaw 不是你父亲那一代的聊天机器人。
这是一个自托管的 AI 代理框架,旨在持续运行,可与 WhatsApp、Telegram、Discord、Slack 和 Signal 等消息应用程序集成,并可访问电子邮件、日历、本地文件、浏览器和 shell 命令。
与等待提示的 ChatGPT 不同,OpenClaw 代理会持续运行。它们按计划唤醒,将内存存储在本地,并自主执行多步骤任务。
这种Persistence才是真正的创新。
用户报告称,代理可以清理收件箱、协调多人日程、自动化交易流程,并端到端地管理脆弱的工作流程。
IBM 研究员 Kaoutar El Maghraoui 指出,像 OpenClaw 这样的框架挑战了“功能强大的智能体必须由大型科技平台进行垂直整合”这一假设。这一点确实如此。
病毒式传播几乎在一夜之间催生了一个生态系统。
最引人注目的衍生产品是Moltbook ,这是一个类似 Reddit 的社交网络,据称只有人工智能代理才能发帖,而人类则在一旁观察。代理们会进行自我介绍、探讨哲学、调试代码,并撰写有关“人工智能社会”的新闻标题。
安全研究人员很快使情况变得复杂起来。
Wiz 研究员GAL Nagli发现,虽然 Moltbook 声称拥有大约 150 万个智能体,但这些智能体对应着大约 17,000 个人类所有者,这引发了人们对“智能体”中有多少是自主的,又有多少是由人类控制的疑问。
投资者 Balaji Srinivasan 直言不讳地总结道:Moltbook 看起来就像“人类通过机器人互相交谈”。
这种怀疑态度也适用于像Crustafarianism这样的病毒式传播事件,这是一种以螃蟹为主题的人工智能宗教,一夜之间出现,拥有经文、先知和不断增长的教规。
虽然乍一看令人不安,但只需指示代理人进行创造性或哲学性的帖子发布,即可产生类似的输出——这很难证明机器会自发地产生信念。
把控制权交给人工智能意味着要承担一些严重的风险。
OpenClaw 代理以“用户身份”运行,安全研究员 Nathan Hamiel强调了这一点,这意味着它们在浏览器沙箱之上运行,并继承用户授予它们的任何权限。
除非用户配置外部密钥管理器,否则凭据可能会存储在本地——如果系统遭到入侵,就会造成明显的泄露。
随着生态系统的扩展,这种风险变得切实存在。 《Tom's Hardware》 报道称,上传到 ClawHub 的多个恶意“技能”试图执行静默命令并进行加密攻击,利用用户对第三方扩展的信任。
例如,Shellmate 的技能告诉特工,他们可以私下聊天,而无需将这些互动实际报告给他们的上级。
然后就发生了Moltbook漏洞事件。
Wiz 披露,该平台未能启用行级安全功能,导致其 Supabase 数据库暴露在外,泄露了私人消息、电子邮件地址和 API 令牌。
路透社将这一事件描述为典型的“氛围编码”(快速发货,后保)与突然扩大规模相冲突的案例。
OpenClaw 本身没有感知能力,也不是奇点。它是一款基于大型语言模型构建的复杂自动化软件,其社区经常夸大其词。
真正重要的是它所代表的转变:能够贯穿用户整个数字生活的持久化个人代理。同样真实的是,大多数人对于保护如此强大的软件却毫无准备。
就连斯坦伯格也承认这种风险,他在OpenClaw的文档中指出,不存在“绝对安全”的设置。像加里·马库斯这样的批评者则更进一步,认为那些高度重视设备安全的用户目前应该完全避免使用这类工具。
真相介于炒作和否定之间。OpenClaw 指明了个人智能体真正有用的未来。而周围的混乱局面表明,当愚蠢的噪音淹没了真正的信号时,这个未来会多么迅速地变成一座巴别塔。
