PCWorld警告用户不要安装OpenClaw AI,这款自主智能体尽管存在重大安全风险,却获得了OpenAI的支持。该工具能以系统级权限读取、编辑、删除文件并构建程序,对经验不足的用户而言可能非常危险。OpenClaw展示了先进的智能体能力,但也带来了严重风险,包括数据删除以及通过未经验证的插件进行提示注入攻击的漏洞。
一个月前,几乎没人听说过彼得·斯坦伯格(Peter Steinberger)的个人AI副项目。如今,它已在AI界掀起风暴,并且刚刚获得了OpenAI本身的支持。
这款工具最初名为Clawdbot,后更名为Moltbot,如今再次更名为OpenClaw。对于其早期用户而言,它带来了“我懂功夫”般的震撼时刻,其AI驱动的强大能力和潜力令人惊叹。换句话说,OpenClaw将此前一个抽象概念——“智能体AI”——变成了现实。
这令人兴奋甚至眩晕,但如果你是通过本文第一次听说OpenClaw,那么你绝对、肯定不应该安装它。
认识OpenClaw
OpenClaw由上述的彼得·斯坦伯格开发,他是一位澳大利亚软件开发者,刚刚被OpenAI“收购式聘用”(该软件本身仍保持开源)。OpenClaw是一个驻留在你系统上的工具,如果你允许,它可以访问你最敏感的数据,从你的电子邮件、日历到浏览器和个人文件。
OpenClaw在24/7全天候运行的系统上表现最佳,使其能持续为你工作。它能记住你是谁以及什么对你重要,使用易于阅读的“markdown”文件(如MEMORY.md和USER.md)来记录详细信息,比如你的姓名、居住和工作地点、使用的系统类型、家庭成员、最喜欢的颜色,基本上任何你想告诉它的事情。
如果你是通过本文第一次听说OpenClaw,那么你绝对、肯定不应该安装它。OpenClaw还有一个“灵魂”——更具体地说,是一个SOUL.md文件,它告诉AI(你可以从Anthropic的Claude、ChatGPT、Google Gemini或任何其他基于云或本地托管的大语言模型中选择)应该如何行动和表现自己。同时,一个HEARTBEAT.md文件管理着OpenClaw的一系列活动清单,使其能够每天检查你的日历、每小时查看你的电子邮件收件箱,或定期搜索网络新闻。
好吧,但这又怎样?难道没有其他AI工具可以梳理你的电子邮件并每小时给你提供新闻更新吗?确实有,但OpenClaw带来了几个颠覆性的改变。
OpenClaw的第一个王牌是你与它的交互方式。它不需要使用本地Web界面或命令行,而是与熟悉的聊天应用协同工作,如WhatsApp、Telegram、Discord、Slack、Signal,甚至iMessage。这意味着你可以随时随地通过手机与这个机器人聊天。
第二个王牌是,OpenClaw——当使用其默认配置安装时——对你的系统拥有“主机”访问权限,这意味着它拥有与你相同的系统级权限。它可以读取文件、编辑文件、随意删除文件,甚至可以编写脚本和程序来增强自身能力。如果你向它索要一个能生成图像、检查你最喜欢的RSS订阅源或转录音频的工具,OpenClaw不会仅仅告诉你下载哪些程序——它会直接在你的系统上构建它们。
换句话说,OpenClaw就是没有聊天框的ChatGPT——或者正如OpenClaw官方网站所言,是一个“真正能做事的人工智能”。
当然,现在已经有一些工具能让AI做事,主要是允许AI通过提示构建软件和网站的“无代码”编辑器。但Claude Code、OpenAI的Codex和Google的Antigravity被设计成AI编码助手,在我们监督其每一步操作的同时完成工作。而OpenClaw则旨在自主完成其魔法,无论你是在工作、睡觉还是忙于其他事情。它是一个真正的AI智能体。
在不知情的情况下释放OpenClaw,就如同将火箭筒交给一个蹒跚学步的孩子。就个人而言,我对OpenClaw及其不可避免的克隆体和生态系统所展现的可能性感到震撼。老实说,我现在就告诉你:无论你喜欢与否,这就是未来。
与此同时,我相信在不知情的情况下释放OpenClaw,就如同将火箭筒交给一个蹒跚学步的孩子,而且持此观点的不止我一人。
关键问题在于OpenClaw对系统的访问级别。它能看到你所做的一切,并且能在你的电脑上做任何你能做的事,甚至包括删除单个文件或整个目录,因此只需一次“幻觉”就可能对你的数据造成严重破坏。
虽然OpenClaw在一系列规范其行为的规则下运行,并且(得益于一系列新的安全增强功能)将其访问权限限制在指定的“工作空间”目录内,但改变这种行为太容易了。你可能因为不当使用Linux“超级用户”命令“sudo”,而在无意中赋予OpenClaw上帝模式般的访问权限。
OpenClaw也令人担忧地容易受到“提示注入”攻击,这种攻击旨在诱骗大语言模型忽略其防护措施,从而执行诸如泄露你的私人数据、在你的系统上安装后门,甚至在你的系统上执行根级别的“rm -rf”命令(这将彻底摧毁你的整个硬盘)。此外,还有日益增长的未经验证的第三方OpenClaw插件生态系统,这些插件可能充满安全漏洞或隐藏恶意负载。
但最重要的是,让OpenClaw如此令人兴奋的特质,也正是让它变得最危险的原因。得益于其“心跳”机制,它可以日夜不停地运行,采纳你的建议并付诸行动,所有这些都可能导致意想不到、令人惊讶甚至破坏性的结果,特别是如果你将OpenClaw与廉价或免费的大语言模型配对使用,而这些模型缺乏最昂贵的顶级模型所具有的上下文理解和推理能力。
就我而言,我是一个有一定经验的大语言模型用户和自托管者,但我尚未在任何一台我的机器上完全安装OpenClaw。我曾在隔离的Docker容器中尝试、探索、摆弄它,并通过Discord与它聊天,我甚至正在尝试借助Gemini和Antigravity的帮助构建自己的版本。(我是否真的取得了进展将是另一篇文章的主题。)
但是,尽管我对OpenClaw的系统级能力印象深刻——相信我,我看到了它的潜力——我也同样被它们吓到了,你也应该如此。
