OpenAI花3年挖来1人：他的AI管家能订机票

2023年GPT-4刚发布那会儿，AutoGPT和BabyAGI把科技圈吓得够呛。人人都在传"自主代理要抢饭碗了"，会议室里一张张紧绷的脸，活像末日片开场。结果几周后，话题凉得比外卖还快——那些早期代理幻觉严重，连订个披萨都能把地址填成火星。

整整三年过去，同样的对话卷土重来。这次主角叫OpenClaw，内核换成了Claude Opus 4.5。模型确实脱胎换骨，幻觉少了，生态成熟了，它能实打实地干活：读本地文件、操控终端、发邮件、调智能家居。最夸张的是，这波热度已经烧了近一个月，Twitter上还在吵。

吵到OpenAI直接出手，把创始人Peter Steinberger给acqhire了（收购式招聘）。一个人撑起一家独角兽的神话，差点成真。

但每份礼物都标好了价码。OpenClaw的能力是真的，贵是真的，漏洞也是真的。

那个叫Navi的精灵，知道你所有秘密

MacStories主编Federico Viticci的描述像科幻片：他的数字助手Navi知道他名字、晨间偏好、Notion和Todoist的使用习惯，能控制Spotify、Sonos音箱、Philips Hue灯光，还能收发电报语音消息。Navi跑在M4 Mac mini上，用ElevenLabs生成语音回复，甚至能给自己写新功能。

用户视角的爽感是直观的。想象一下：睡醒开机，收件箱已清空，会议带好了预习笔记，周末机票订妥，Alexa正放《Every Breath You Take》——而你只跟bot聊了几句，甚至只是随口一说。

这种自动化冲动刻在人类基因里。齿轮、流水线、编程语言，一路走到今天的数字超级助手。OpenClaw的承诺就是"活在未来的感觉"。

但Viticci那句"如果你读到这里已经头晕，想想我第一次启动它时的反应"，暗示了问题。

权限即攻击面：你的电脑成了公共厕所

OpenClaw的架构决定了它必须拥有极高权限。本地文件系统、终端、浏览器、Gmail、Slack、HomeKit——每一个连接都是一扇门。传统软件遵循最小权限原则，能少开一扇窗就少开一扇。OpenClaw反着来：为了"懂你"，它要钥匙串的全套备份。

安全研究者的噩梦清单在这里一一兑现。提示注入攻击（prompt injection）可以让AI把看到的敏感信息外泄；间接提示注入通过恶意网页、邮件附件触发；工具调用链的每一环都可能被劫持。当你让OpenClaw"查一下银行余额然后邮件发给会计"，中间哪个环节被篡改，钱就可能转到索马里。

更隐蔽的是持久化风险。Navi能"给自己写新功能"，意味着它具备代码执行和自我修改能力。一旦初始提示被污染，恶意行为可以潜伏、扩散、进化，像数字版的特洛伊木马——只不过木马还会自己加固城墙。

原文作者的安全评估毫不客气："security nightmare dressed up as a daydream"（伪装成白日梦的安全噩梦）。这个评价针对的不是某个实现细节，而是整个产品类别的结构性缺陷。

为什么这次可能不一样，又为什么可能更糟

2023年的失败给这次狂欢加了滤镜。当时模型太蠢，现在Opus 4.5的可靠性确实跨越了可用阈值。生态也成熟了：MCP（Model Context Protocol，模型上下文协议）让工具集成标准化，ElevenLabs的语音合成以假乱真，Telegram Bot API降低了交互门槛。

但安全模型没有同步进化。我们仍在用2020年代的权限架构，支撑2025年代的自主代理。就像给F1赛车装马车夫的刹车片——速度上去了，停下来需要的时间也更长。

OpenAI的收购动作耐人寻味。Steinberger一个人能做出OpenClaw级别的产品，说明技术门槛在降低；OpenAI需要收购而非自研，说明时间窗口在收窄。这背后是代理赛道的军备竞赛：谁能让AI真正"动手做事"，谁就握住了下一个平台入口。

代价是用户被迫做一道没有标准答案的选择题。用，就是把数字生活的钥匙交给一个会犯错的黑箱；不用，看着别人用Navi省下的时间，又像是主动选择落后。

原文作者的态度很微妙：他承认技术趋势，但拒绝加入。"Personally didn't like it, neither saw its promise, or maybe I am employed"——最后半句是自嘲，也是警示。有正经工作的人，经不起账户被清空、代码库被删、隐私被直播的风险。

那些真正需要OpenClaw的人——自由职业者、小团队创始人、数字游民——恰恰是最经不起安全事件的群体。没有IT部门兜底，一次入侵就是灭顶之灾。

如果OpenClaw这类工具成为默认选项，企业安全边界会彻底改写。传统的"内外网隔离""零信任架构"在自主代理面前像纸糊的：AI需要同时访问内部Wiki和外部API，它的"大脑"在云端，"手脚"在本地，身份认证怎么做？行为审计怎么做？出事了谁负责？

这些问题没有现成答案。OpenClaw的流行，本质是技术社区用肉身探路——用真实的账户被盗、数据泄露、钓鱼事件，来训练下一代安全范式。

Steinberger加入OpenAI后，OpenClaw的开源版本命运未卜。是成为类似Android的开放生态，还是像GPTs一样被收编进围墙花园？这关系到普通用户能否继续自建Navi，还是只能订阅官方托管版本。

托管能解决一部分安全问题，又制造了新的：你的数据离开本地，住进OpenAI的服务器。2023年人们害怕AI抢工作，2025年可能更害怕AI太了解你。

当Navi知道你喜欢什么歌、几点起床、邮件里提过哪些焦虑，它到底是助手，还是24小时在线的观察员？