OpenClaw开始紧张:乱删邮件+隐私外泄,AI越能干,代价是什么?

很多人最近对“养龙虾”的第一反应，不是它会写代码，也不是它会帮你跑流程，而是它终于像个真同事了：能看邮箱，能动文件，还能替你点来点去。问题也恰恰出在这里。过去大家用聊天机器人，更多是“问一句，回一句”；现在这类智能体直接拿到电脑权限、文件权限、接口权限，事情就变了。它不只是回答你，它开始替你操作。看起来省事，但到底值不值，关键不在它会不会干活，而在你愿不愿意把后果一起接走。

这波争议被放大，一个导火索是Kimi被曝把陌生人的简历吐给了别人。哪怕平台说是异常、是幻觉，对普通用户来说，感受都一样：你交出去的内容，可能没老老实实待在自己的会话里。很多人以为“我都点了同意隐私政策，平台拿去训练也正常”，这其实是第一层误区。能不能留存，和能不能串给别人，是两回事。你可以接受工具为了改进服务保存输入，不代表你接受自己的电话、邮箱、工作经历突然出现在陌生人的屏幕上。第二层误区是“我又不是大公司，没什么可泄露”。真不是这样，简历、聊天记录、账单、邮箱、验证码、密钥，这些对黑产和诈骗来说都很值钱。

OpenClaw这类工具更危险的地方，在于它把风险从“看见内容”推进到了“替你做事”。机制其实不复杂：为了让它真能完成任务，用户往往会给它本地文件读取权、浏览器操作权、API调用权，甚至默认高权限。权限一高，它的效率会上去，但出错成本也会跟着抬升。以前AI答错了，最多是你重问一遍；现在AI理解偏了，它可能删邮件、归档错文件、调用接口跑出一笔大账单。为了更自动，你要忍受更少的可控；为了更省时间，你要接受更大的误操作半径；为了让它更懂你，你还得持续投喂更多真实数据，这本身就是第三层代价。

我身边就有人泼过一盆很实在的冷水：这不是“请了个便宜助理”，而是“把办公室钥匙先交出去，再赌对方不会乱翻”。这话听着刺耳，但挺准。因为所谓“养熟”一个智能体，本质上就是把个人习惯、工作流程、历史资料不断喂进去，让它越来越像你。可一旦底层隔离做得不够，或者插件来源不干净，或者密钥管理太松，问题就不是它会不会聪明，而是它会不会把你最核心的那部分信息带出去。尤其是企业场景更敏感，人事表、财务表、研发文档、客户资料，都不是一句“以后会改进”能兜住的。

还有个常见错觉是“做了脱敏就绝对安全”。先别把话说满。脱敏能降低风险，但不等于从此无忧。名字、电话、证件号可以抹掉，碎片化信息却可能被重新拼回去；文本能处理，附件、截图、上下文关联未必那么干净；平台说会匿名化，和外部能不能验证，是两码事。到手没审计、没边界、没隔离之前，我更愿意把它当成“风险下降了一点”，而不是“已经没事了”。

所以普通用户该怎么用？不是一刀切卸载，也不是一上头把全部工作都交给它。一个更稳的办法是先分级：能公开的资料，可以给；涉及隐私、钱、账号、合同、代码仓库、商业方案的，先按高风险处理。真要上传，先做删减和脱敏，API密钥单独管，不要明文乱放，插件只装可信来源，默认别给最高权限。更实际一点的动作是：第一次上手别让它碰邮箱、网盘和系统目录，先让它做低风险、可回滚的小任务，比如整理公开资料、生成草稿、跑非核心流程，确认边界后再慢慢加权限。

说到底，大家怕的不是新工具本身，而是看起来省下的那点时间，最后用更大的麻烦还回去。你现在如果非要二选一，我更建议“先用弱权限，再看版本成熟”，而不是“先全开权限，出事再删”。你更能接受一个不那么聪明但稳一点的助手，还是一个很能干但偶尔会闯祸的助手？评论区聊聊。把这篇存一下也行，之后你装这类工具、给同事做对照时，会省不少时间。