PCWorld审视了由彼得·斯坦伯格(Peter Steinberger)开发的AI智能体OpenClaw,该工具近期通过一次收购获得了OpenAI的支持。这款自主工具拥有系统级访问权限,能够读取、编辑、删除文件并构建程序,展示了强大的智能体AI能力。尽管它具有实现前所未有的自动化的潜力,但OpenClaw也带来了重大的安全风险,包括数据删除和提示注入漏洞,因此不建议新手立即安装。
一个月前,几乎没人听说过彼得·斯坦伯格的个人AI副业项目。如今,它已在AI界掀起风暴,并且刚刚获得了OpenAI本身的支持。
这款工具最初名为Clawdbot,后更名为Moltbot,如今再次更名为OpenClaw。对于其早期用户而言,它带来了“我懂功夫”般的震撼时刻,其AI驱动的强大能力和潜力令人震惊。换句话说,OpenClaw将此前一个抽象的概念——“智能体AI”——变成了现实。
这令人兴奋甚至眩晕,但如果这是你第一次听说OpenClaw,那么你绝对、肯定不应该安装它。
OpenClaw由前述的彼得·斯坦伯格开发,他是一位澳大利亚软件开发者,刚刚被OpenAI“收购式聘用”(该软件本身仍保持开源)。OpenClaw是一个驻留在你系统上的工具,如果你允许,它可以访问你最敏感的数据,从你的电子邮件、日历到浏览器和个人文件。
OpenClaw在24/7不间断运行的系统上表现最佳,使其能持续为你工作。它能记住你是谁以及对你而言重要的事项,使用易于阅读的“markdown”文件(如MEMORY.md和USER.md)来跟踪详细信息,例如你的姓名、居住和工作地点、使用的系统类型、家庭成员、最喜欢的颜色,基本上任何你想告诉它的事情。
OpenClaw还有一个“灵魂”——更具体地说,是一个SOUL.md文件,它告诉AI(你可以从Anthropic的Claude、ChatGPT、Google Gemini或任何其他基于云或本地托管的大语言模型中选择)应该如何行动和表现自己。同时,一个HEARTBEAT.md文件管理着OpenClaw的一系列活动清单,使其能够每天检查你的日历、每小时查看你的电子邮件收件箱,或定期搜索网络新闻。
好吧,但这又怎样?不是有很多AI工具可以梳理你的电子邮件并每小时给你提供新闻更新吗?确实有,但OpenClaw带来了几个改变游戏规则的特点。
OpenClaw的第一个王牌是你与它的交互方式。无需使用本地Web界面或命令行,OpenClaw可以与熟悉的聊天应用配合使用,如WhatsApp、Telegram、Discord、Slack、Signal,甚至iMessage。这意味着你可以随时随地通过手机与这个机器人聊天。
第二点是,OpenClaw——当使用其默认配置安装时——拥有对你系统的“主机”访问权限,这意味着它拥有与你相同的系统级权限。它可以读取文件、编辑文件、随意删除文件,甚至可以编写脚本和程序来增强自身能力。如果你向它索要一个能够生成图像、检查你最喜欢的RSS订阅源或转录音频的工具,OpenClaw不会仅仅告诉你下载哪些程序——它会直接在你的系统上构建它们。
换句话说,OpenClaw是没有聊天框的ChatGPT——或者正如OpenClaw官方网站所言,是一个“真正能做事的AI”。当然,现在已经有一些让AI做事的工具,即允许AI通过提示构建软件和网站的“无代码”编辑器。但Claude Code、OpenAI的Codex和Google的Antigravity被设计为AI编码助手,在我们监督其每一步操作的同时完成工作。而OpenClaw则旨在自主施展魔法,无论你是在工作、睡觉还是忙于其他事情。它是一个真正的AI智能体。
在不了解自己在做什么的情况下释放OpenClaw,就如同将火箭筒交给一个蹒跚学步的孩子。就个人而言,我对OpenClaw及其必然出现的克隆体和生态系统所蕴含的可能性感到震撼。老实说,我现在就告诉你:这就是未来,无论你喜欢与否。
与此同时,我认为在不了解自己在做什么的情况下释放OpenClaw,就如同将火箭筒交给一个蹒跚学步的孩子,而且持此观点的不止我一人。
关键问题在于OpenClaw对你系统的访问级别。它能看到你所做的一切,并且能在你的电脑上做任何你能做的事情,甚至包括删除单个文件或整个目录,因此,只需一次“幻觉”就可能对你的数据造成严重破坏。
虽然OpenClaw在一系列规范其行为的规则下运行,并且(得益于一系列新的安全增强功能)将其访问权限限制在指定的“工作空间”目录内,但改变这种行为太容易了。你可能因为不当使用Linux“超级用户”命令“sudo”而无意中赋予OpenClaw上帝模式般的访问权限。
OpenClaw也令人担忧地容易受到“提示注入”攻击,这种攻击旨在诱骗大语言模型忽略其安全护栏,执行诸如泄露你的私人数据、在你的系统上安装后门,甚至在你的系统上执行根级别的“rm -rf”命令(这将彻底清除你的整个硬盘驱动器)等操作。此外,还有日益增长的未经验证的第三方OpenClaw插件生态系统,这些插件可能充满安全漏洞或隐藏恶意负载。
但最重要的是,让OpenClaw如此令人兴奋的特质,也正是让它最危险的原因。得益于其“心跳”机制,它可以日夜不停地运行,采纳你的建议并付诸行动,所有这些都可能导致意想不到、令人惊讶甚至具有破坏性的结果,特别是如果你将OpenClaw与廉价或免费的大语言模型配对使用,而这些模型缺乏最昂贵顶级模型所具有的上下文理解和推理能力。
就我而言,我是一个有一定经验的大语言模型用户和自托管者,但我尚未在任何一台我的机器上完全安装OpenClaw。我曾在隔离的Docker容器中尝试、探索、摆弄它,并通过Discord与之聊天,我甚至正在尝试借助Gemini和Antigravity的帮助构建自己的版本。(我是否真的取得了进展将是另一个故事的主题。)
但是,尽管我对OpenClaw的系统级能力印象深刻——相信我,我看到了它的潜力——我也被它们吓到了,你也应该如此。
