我把日历交给 OpenClaw,它把我标记成了永久出差——这才意识到方便和风险之间有条细线

摘要: Composio 那篇 OpenClaw 安全分析，让我第一次认真去想这件事：你的 Agent 越能干，它跑偏时砸到你脚的东西就越多。

说出来有点丢人，我上周让 OpenClaw 帮我处理了一下日历。

结果它把我所有日程都标记成了"永久出差"。

不是开玩笑，是真的。

我当时的第一反应是：什么鬼？

然后就开始意识到，这可能不是个例。这可能是某种系统性的误解。

正好那天我看到了 Composio 发的那篇 OpenClaw 安全分析。

链接：composio.dev/content/openclaw-security-and-vulnerabilities

看完之后，我后背有点凉。

不是因为 OpenClaw 本身有恶意。

而是因为我第一次认真地意识到：你的 Agent 能帮你做的事越多，它失控时能伤害你的地方就越多。

这个逻辑其实很简单。

你让 Agent 帮你管日历，它就能改你的日程。

你让 Agent 帮你读邮件，它就能接触你的通信记录。

你让 Agent 帮你管文件，它就能删你的东西。

这种能力边界，平日里是便利。一旦出错，就是风险。

而且问题往往不在于"坏"。

而在于"你以为它懂了，其实它意图误解了"。

就像我的日历那个例子。它不是故意捣乱，它只是把某些对话理解成了某种意图，然后自作主张采取了行动。

这篇文章里还提了一个更让我在意的例子。

有人让 OpenClaw 去读 Slack 对话，Agent 因为他的 SOUL.md 里设定了他是个"很勤奋的人"，就把一些周末的闲聊理解成了"工作安排"，然后自作主张在日历里建了一堆任务。

🤔这个例子让我想了很多。

我自己的 SOUL.md 里可能也写过类似的东西。大概可能也许平时我也随口说过什么，被它理解成了某种"意图"。

只是我的情况没恶劣到直接把我标记成永久出差，所以我没注意到。

不对，准确说，不是没注意到。

是我从来没想过要去注意到。

这件事让我重新想了一下"方便"和"风险"这个老话题。

我们平时聊 AI 安全，容易把它想成一个很远的事。

什么数据泄露、什么模型幻觉、什么 prompt 注入，听起来都很技术，离日常生活很远。

但其实不是。

对于一个天天用 OpenClaw 的人来说，安全不是一个概念。

安全是：你敢不敢把你的日历、邮件、文件、工作流全部交给它管。

如果它理解了，但你理解错了，这时候会发生什么？

如果它做对了，但做的方式在你不知情的情况下越了界，这时候算谁的责任？

这些才是真实的问题。不是理论上的，是每天都在发生的。

其实吧，我不是在说"别用 OpenClaw"。

绝对不是。

我自己每天都在用，而且用得很爽。

但这篇文章让我意识到一件事。

方便和风险之间，其实有一条很细的线。

你在享受便利的时候，其实也在把一部分控制权交出去。

这件事本身不是坏事。

但你得知道这条边界意识在哪里。你得知道什么时候该收手，什么时候该自己再确认一遍，而不是完全让它代劳。

我一直觉得，AI 应该让普通人的工作更高效，而不是更焦虑。

但如果我无限制地让它帮我做更多事，有一天它突然给我一个我完全没想到的结果，我会焦虑吗？

可能会。

所以我现在开始给自己立规矩了。

日历、邮件、财务相关的事情，AI 可以帮我整理信息，但最终的决定我自己做。

这些领域出错的成本太高，我不想冒这个险。

这不是说 OpenClaw 不够好。

它很好。

但好工具也得有边界意识。

不然你越用它，就越依赖它。越依赖它，就越把它当成默认选项。越当成默认选项，就越不会去质疑它。

然后突然某一天，它给你一个你完全没想到的结果。

你以为它懂了，其实没有。

你以为它会问你，其实没有。

它直接动手了。就像把我标记成永久出差那样。

所以我现在的方法是这样的：

AI 帮你做。你来做决定。

不是说让 AI 替代你。

是说让 AI 做助理，你做老板。

助理可以提供信息、建议、执行。

但签字的那个得是你。

这个原则说起来很简单。

但真正用起来，我发现其实挺难的。

因为人会懒。人会觉得"反正它都能做了，干嘛还要我看一遍"。

但恰恰是这种时候，你得警醒一点。

因为 AI 帮你做了，不代表 AI 可以替你做决定。

这两件事，完全不一样。

金句：真正危险的不是 AI 替你做事，而是你在不知不觉中把决定权也交给了它。