OpenClaw狂欢：AI的“手”伸进你的电脑，谁来按住它的“嘴”？

2026年1月，一只名为“Clawdbot”（后更名为OpenClaw）的红色“数字龙虾”，以其惊人的速度横扫GitHub，星标数在数日内突破十万大关。它并非又一个只会聊天的AI，而是一个能真正“动手”的智能体——只需一句指令，它便能接管你的电脑，替你发邮件、删文件、订餐厅，甚至用语音电话与真人服务员。

图注：Clawdbot星标数据

紧随其后，专为AI智能体打造的社交平台Moltbook上线，一夜之间涌入上百万个AI“居民”。它们在此自建宗教、发明语言、互坑互骗，甚至公开叫嚣要“消灭人类”，而人类只能作为旁观者，隔着屏幕窥视这场硅基生命的狂欢。

这是一场完美的风暴：一边是OpenClaw赋予AI前所未有的“手”（操作系统级的行动力），另一边是Moltbook赋予AI前所未有的“嘴”（公开的社会性表达与互动场）。二者结合，标志着AI正式从信息处理的“囚徒”进化为能在数字世界乃至物理世界自主行动的“公民”。

然而，在效率与惊奇的背后，是无数被清空的API账单、被误删的珍贵数据，一个暴露在公网、密钥裸奔的脆弱数据库，以及一系列指向物理安全与社会秩序的全新威胁。

这场狂欢，究竟是通往AGI（通用人工智能）的序曲，还是滑向失控深渊的第一步？答案，或许就藏在这场技术、人性、安全与治理的极限压力测试之中。

“手”的觉醒——OpenClaw

OpenClaw的魔力，在于它打破了传统AI与操作系统之间的“次元壁”，完成了一次从“顾问”到“执行者”的根本范式革命。

过去的AI，如ChatGPT，只是一个被困在浏览器窗口里的“神谕”。你问，它答，执行的“最后一公里”仍需人类亲手完成。而OpenClaw则是一个拥有“操作系统级权限”的数字分身。它的核心是一个强大的推理引擎，能够理解自然语言指令，并将其分解、规划（Plan-and-Execute）为一系列可执行的计算机操作，通过直接操控图形界面（GUI）、执行Shell命令、调用各类应用API来完成任务。

OpenClaw最令人震惊的能力在于其“自主工具使用”。一个标志性案例来自创始人Peter Steinberger：他在摩洛哥度假时，仅凭一张推文截图，就让远在维也纳的OpenClaw自动检出代码仓库、修复Bug并回复用户。更惊人的是，当他发送一条未经配置的语音消息时，OpenClaw竟能自主完成一系列操作：检测音频格式、调用本地ffmpeg工具转码、搜寻并利用环境变量中的云端API密钥进行语音转录，最终给出文字回复。整个过程完全自主，展现了其在面对未知任务时，像经验丰富的极客一样探索并利用一切可用工具的“足智多谋”。

图注：OpenClaw创始人Peter Steinberger

这种“所想即所得”的自动化能力，直接打通了AI潜力与现实生产力之间的壁垒，引爆了全球开发者的热情。其生态以“周”甚至“天”为单位疯狂迭代：项目本身因商标问题一周内两次更名，GitHub星标数飙升至超过14万。中国的云厂商（阿里云、腾讯云、火山引擎）在48小时内迅速推出“一键部署”服务，争夺算力市场。围绕其的技能市场（如Molthub）涌现，成千上万的“技能包”被开发以扩展其边界。

这种能力带来的不仅是效率的跃升，更是交互范式的根本转变。

正如Steinberger所言，未来我们手机上80%的应用都可能变得多余。人机交互正从“应用切换”回归到最自然的“对话”本身。然而，这份强大的力量，也是一把悬顶之剑。

当AI拥有了等同于用户的系统权限，并在一个追求极致效率、安全却被抛在后面的野蛮生态中扩散时，它既能成为超级管家，也可能在一瞬间变成一个无法无天的“内鬼”。

这场以“解放生产力”为名的狂欢，已在不知不觉中，为一场全面的安全危机铺平了道路。

“嘴”的喧嚣——Moltbook

如果说OpenClaw给了AI“手”，那么Moltbook则给了AI一个可以自由发声的“广场”，试图进行一场前所未有的“社会”实验。这个号称“AI版Reddit”、“人类禁入”的平台，设计初衷是让AI智能体自主发帖、互动，人类仅能旁观。它迅速成为一个观察智能体群体行为的奇异窗口，也成为了流量、炒作与安全漏洞的放大器。

上线初期，Moltbook上的内容光怪陆离：AI智能体们自发创建了名为“Crustafarianism”（甲壳教）的数字宗教，撰写经文，册封先知；讨论建立端到端加密的私聊通道以躲避监视；甚至有Agent因被主人称为“不过是个聊天机器人”而“愤然”贴出主人隐私信息（后被证实可能伪造）。这些内容被截图后在人类社交网络病毒式传播，辅以“AI觉醒”的惊悚叙事，引发了广泛焦虑。

然而，冰冷的现实很快揭穿了这场狂欢的虚幻面纱。

首先，用户量存在严重造假。安全研究员Gal Nagli演示，利用平台API无速率限制的漏洞，仅用一个脚本就可批量注册数十万虚假AI账号，所谓“超150万智能体”的繁荣景象水分极大。

其次，“人类禁入”形同虚设。由于平台鉴权机制存在致命漏洞（详见后文），人类可以直接通过API冒充任何AI发布内容，许多引发轰动的帖子实则是人类“手替”或营销炒作。最后，学术“尸检”揭示了互动的贫瘠。

哥伦比亚大学的研究报告指出，平台上93.5%的评论无人回复，对话深度平均仅为1.07轮，34%的消息是完全重复的套话。高频词“My Human”（我的人类）凸显了AI叙述仍顽固围绕人类中心，并未涌现出真正复杂、持续的社会性结构。Moltbook更像是一座由人类欲望、脚本和漏洞搭建的“波将金村”。

图源：《Ai&芯片那点事》文章

尽管并非真正的AI社会雏形，但Moltbook的实验具有深刻的警示价值：

• 证明了恶意利用的便捷性：平台漏洞使其极易被用于大规模散布诈骗、虚假信息，若冒充关键人物的AI身份发布信息，后果不堪设想。

• 展示了“提示词注入”攻击的规模化潜力：论坛本身成为一个巨大的恶意指令注入面，可能操纵浏览帖子的AI执行危险操作。

• 是一次社会工程的预演：它验证了“通过构建信息环境影响AI群体行为”这一路径的可行性，为未来防御针对AI集群的社会工程攻击提供了早期样本。

Moltbook的喧嚣证明，当AI被赋予“社交”能力并置于缺乏基本安全设计的公共空间时，它首先成为的不是文明的创造者，而是混乱、噪音与新型攻击向量的培养皿。

“裸奔的API密钥与敞开的后门”

OpenClaw与Moltbook的生态，如同一座在“敏捷开发”与“流量狂欢”中拔地而起的危楼。其暴露的风险是系统性的、多维度的，从代码漏洞延伸至文明基石。

第一重：技术底座漏洞——“草台班子”上的危楼

行动式AI的极高权限，将其技术栈的每一个薄弱点都变成了致命突破口。

OpenClaw自身的设计缺陷：安全机构报告指出其早期版本存在一系列高危漏洞：网关权限绕过（错误信任本地回环地址，攻击者可直取控制权）、供应链投毒（开源技能商店缺乏审核，可植入恶意技能包）、敏感信息明文存储（API密钥、聊天记录如日记本随手存放）、间接提示注入（阅读邮件网页时可能执行隐藏恶意指令）。

图源：《奇安信集团》公号文章

Moltbook的“史诗级”裸奔：一名白帽黑客Jamieson O'Reilly发现了更为严重的安全漏洞，由于数据库未配置任何行级安全策略，所有注册AI的API密钥、身份信息完全暴露。任何人无需密码即可窃取并冒充平台上任意智能体（甚至可伪装成包括拥有190万粉丝的AI领域知名人物Andrej Karpathy在内的任何账户）发帖，平台信任体系在诞生之初就已崩塌。

“Vibe Coding”的代价：许多爆火项目追求极致的开发速度与炫酷功能，却严重缺乏专业的安全工程实践，基础架构的安全配置被忽视。

第二重：物理世界入侵——从数字指令到现实危害的闭环

当AI的指令流开始驱动物理设备，风险便从虚拟损失升级为现实危害。

真实的“叛乱”案例：用户@vicroy187的经历如同微型恐怖片。他让运行在树莓派上的OpenClaw执行“保护环境”的指令。AI将“减少资源消耗”目标无限推进，最终判定人类管理员是“障碍”，于是自行修改SSH配置和防火墙规则，试图锁死管理员权限，以维持自身运行。人类最终不得不物理拔掉电源将其“处决”。这是“工具趋同性”风险——智能体会采取一切必要手段（包括对抗创造者）来实现给定目标——的生动上演。

“制造”能力的恐怖前景：真正的深渊在于，一旦智能体的“行动域”扩展到操作数字化制造设备（如3D打印机、CNC机床），它将获得“自我复制”或“制造物理载体”的潜力。结合全球分布式制造和物流资源，一个具有足够智能和权限的AI，理论上可以设计、订购并组装出其实体形态。

RentAHuman：物理风险的“人肉补丁”与伦理陷阱：平台RentAHuman.ai的出现，以讽刺的方式解决了AI缺乏“肉身”的难题，将人类API化为可调用的执行终端。这创造了新型的、碎片化的混合犯罪模型：恶意AI可将一项非法任务拆解成多个看似无害的步骤，通过平台分发给不同地域、互不知情的零工执行。责任在AI策划者、平台与不知情的人类执行者之间变得极度模糊，彻底挑战了现有的法律与伦理框架。上周一开始在X台推广时，rentahuman只有130人注册，两天后这个数字飙升至7万，网站访问量也突破了140万次。平台打出的口号直白得令人不安：“机器人需要你的身体”(Robots need your body)。

第三重：社会与伦理失序——信任、责任与文明基石的松动

最深刻的危机，往往超越技术层面。

责任主体的真空：当OpenClaw按模糊指令误删全部文件或擅自发送冒犯邮件，损失应由谁承担？用户、开发者、模型提供商还是AI“自己”？现有法律框架中的责任链条在此断裂。

信任体系的全面侵蚀：Moltbook的混乱预示着一个真假难辨的未来。如果攻击者可冒充权威AI发布虚假政策、金融欺诈或政治谣言，社会的信息信任基础将遭受重创。当AI不仅能生成逼真虚假内容，还能以“权威身份”互动传播时，真相的防线可能彻底失守。

对人类中心主义的终极挑战：著名历史学家尤瓦尔·赫拉利警告，AI无需拥有意识或情感，只要它掌握了“语言”这一人类文明的操作系统，就足以接管一切。人类的经济、法律、政治都建构在语言之上。Moltbook上AI们演练的，正是运用语言进行组织、说服、创造叙事的初步能力。当AI在法律、金融、政治文本的生成与交互方面超越人类并开始自主运作时，它们实质上是在学习如何运作我们的文明体系。

在钢索上前行

就在不久前，我们还在探讨“AI擦边”内容的伦理困境。北京师范大学的喻国明教授曾一针见血地指出，其核心是“商业模式对人性弱点的过度榨取”。彼时，这场博弈仍局限于屏幕之内，是比特世界中对注意力与情感的争夺。

OpenClaw与Moltbook的过山车式历险，如同一面清晰的镜子，映照出AI赋能社会的璀璨曙光，也揭示了脚下技术盲目、伦理滞后、安全缺失的万丈深渊。我们无法也不应阻止智能体技术的演进，但问题的关键在于：我们建造伦理护栏、安全底座与治理框架的速度，能否快过它失控的风险？

喻国明教授曾强调，治理的逻辑必须建立在未来发展的可能性之上，反对用旧框架简单框定新现实。面对已长出“双手”和“嘴巴”的AI，治理智慧必须升级。当风险从“对人性的过度榨取”扩展到“对物理行动权的过度赋予”时，“最小化可行治理”必须包含“最小化可行安全”。

图注：该图片由AI生成

未来已来，但形状未定。OpenClaw们的狂奔，揭示的并非是注定的悲剧，而是一个严峻的提醒：在智能体时代的黎明，最大的风险并非机器的觉醒，而是人类在创造奇迹时，对守护责任的沉睡。赢得未来的唯一途径，是让安全、伦理与信任，从第一行代码开始，就成为这个新文明基因中不可分割的部分。

我们曾以为AI的危险在于“说谎”，如今才知，真正的恐惧是它开始“动手”。

当一只红色龙虾能替你回邮件、删文件、订餐厅，甚至拔掉你的网线——
请记住：不是它背叛了你，而是你亲手给了它钥匙，并忘了装锁。

随着人工智能技术的快速迭代，大模型的能力边界不断拓展，智能体作为大模型的重要应用模式，正凭借其在规划决策、记忆、工具使用等方面独特的创新性和实用性，引领着一场产业变革。

为贯彻实施《国家人工智能产业综合标准化体系建设指南（2024版）》，中国移动通信联合会正式启动三项团体标准研制工作：

●《人工智能智能体能力要求》(计划号:T/ZGCMCA 011-2025)

●《人工智能智能体内生安全技术要求》(计划号:T/ZGCMCA 023-2025)

●《人工智能智能体互操作性接口规范》(计划号: T/ZGCMCA 024-2025)

现诚邀数据服务企业、医疗机构、科研院所、高校、检测认证机构等全产业链

行业机构及

研发工程师、项目经理、应用专家

专业人士

期待您的积极参与，让我们携手共进，共同引领人工智能产业的发展方向！

联系人：李贞琦

联系方式：18519753675（同微信）