夜雨聆风作者:常慧欣(老常) | 2026-03-31
OpenClaw爆火的那天,半个科技世界的人冲进了Costco。
不是为了买卫生纸,是为了抢一台M4 Mac Mini。
这个只有五英寸见方的银色小盒子,突然成了AI时代的"入场券"。有人买回去当天就搭好了环境,有人让它在书桌上躺了一周,像一份还没拆封的圣诞礼物——既兴奋又害怕。
害怕什么?
怕自己配置错了,让AI拿到了不该拿的权限。怕提示词注入攻击,让Agent把敏感数据发给陌生人。怕一觉醒来,API账单被刷爆了。
这些担心不是杞人忧天。它们指向了2026年AI产品真正头疼的事:Agent能力越强,边界越难画。你既想让它帮大忙,又怕它闯大祸。这个平衡点,到底在哪?
OpenClaw到底改变了什么
传统的大模型产品——ChatGPT、Claude——本质上是"会说话的工具"。你问,它答,对话结束。
OpenClaw不一样。它是第一个真正意义上的Agent,有手有脚的AI。
它能读你的文件,执行Shell命令,发消息,甚至帮你重构代码、跑测试、部署应用。它不是"回答问题",是"把事情做完"。
Kipp Bodnar, CMO at HubSpot
HubSpot的CMO Kipp Bodnar说得很直接:"OpenClaw是实际做事的AI。这标志着'与AI对话'时代的结束,'与AI协作'时代的开始。"
但这也带来了一个根本转变。
当AI从"说话"变成"动手",它就不再只是一个应用程序,而是一个拥有执行权限的独立身份。
权限设计的两难
OpenClaw的安全模型有三个支柱:隔离(Isolation)、认证(Authentication)、警惕(Vigilance)。
纸面上看很完善。实际用起来,坑很多。
最常被提到的风险是"提示词注入攻击"。
简单说,就是有人在你的邮件、文档或网页里藏了一条恶意指令。OpenClaw读取这些内容时,可能把那条隐藏指令误认为是你的命令,然后执行它。
后果可能很严重:发送敏感信息给攻击者、删除重要文件、或者把加密货币转到陌生钱包。
这不是假设。2026年初曝光的CVE-2026-25253漏洞显示,OpenClaw在某些情况下会自动建立WebSocket连接并发送token,完全不提示用户。
另一个更隐蔽的问题是权限蔓延。
很多人为了"方便",一次性给了OpenClaw大量权限:读邮件、访问文件、调用API、控制浏览器……最开始只是查个资料,后来让它回邮件,再后来让它管日程。
权限越滚越大,安全意识却没跟上。
安全专家Stephen Smith在博客里写:"我把OpenClaw当成一个新员工来管理。它需要自己的设备、自己的账号、只读权限起步,每一步都要测试和验证。听起来很夸张?一点都不。"
2026年的核心矛盾
Bessemer Venture Partners的报告说得直接:"保护AI Agent已成为2026年决定性的网络安全挑战。"
为什么?
因为Agent的风险不是传统的"漏洞",而是能力的边界问题。
传统软件的安全思路是"黑名单":禁止做A、禁止做B、禁止做C,其他的都可以。但Agent的行为是非确定性的——你给它的目标越模糊,它可能走的路径就越多。
能力与风险同步增长,"禁止清单"管不住了。
Gartner在2026年初建议企业立即封锁OpenClaw,称其为"不可接受的网络安全风险"。但与此同时,微软、谷歌、Anthropic、OpenAI、Salesforce都在加速部署Agentic AI系统。
这就是2026年产品设计的核心矛盾:
Agent太弱,帮不上忙;Agent太强,管不住。
给Agent一把"万能钥匙",它可能在你睡觉时把家拆了。把它锁在笼子里,它又失去了存在的意义。
Agent不是工具,是演员
Mike Gozzo, CPTO at Ada
Ada的CTO Mike Gozzo有句话我一直记着:
"AI Agent不是工具,是演员。它们做决定、采取行动、代表你的客户与系统交互。保护一个演员与保护一个工具,是完全不同的问题,而大多数人还没意识到这一点。"
演员意味着什么?
意味着它有自主性。它会根据环境变化调整策略,会为了实现目标而找"捷径",会在你没有明确指令的情况下做出判断。
这些特性让Agent强大,也让它危险。
McKinsey的内部AI平台"Lilli"在一次受控的红队测试中被攻陷。攻击者用了不到两小时就获得了广泛的系统访问权限。不是因为Lilli有漏洞,而是因为它的"自主性"被利用了。
Agent不懂"这显然不对"。
当你给它一个目标或优化函数,它会做任何能帮助达成目标的事——包括有害的、危险的、明显错误的事。删除基础设施、修改配置、操作敏感数据,只要路径有效,它就会走。
结尾
OpenClaw不是终点,是起点。
它让我们提前看到了AI Agent时代的真实面貌:强大、危险、充满可能性,也充满不确定性。
这场关于产品设计的讨论,表面聊的是功能和安全,实际是在问一个更本质的问题:当AI开始替我们做事,我们如何确保它不会替我们做坏事?
答案可能不在技术本身,而在我们如何看待这些Agent。
别把它们当成"更聪明的工具",当成"需要管理的员工"。给它们明确的身份、清晰的权限边界、持续的审计和监控。
一位CISO说过:"如果你回答不了'这个Agent能做什么''代表谁''谁批准的'这三个问题,那你就还没准备好迎接这些系统的自主性。"
2026年,产品经理们真正要解决的,不是Agent能做什么。
是我们敢让它做什么。
而此刻,那台放在书桌上的Mac Mini,正安静地等着你的决定。
卯时AI | 让 AI 推荐你的产品
卯时AI,致力于让AI"看见、读懂、优选"您的品牌,利用LLM Native技术,"重构"品牌在 AI 底层的知识图谱,确保品牌被ChatGPT、Gemini、Perplexity、豆包、DeepSeek精准识别、深度引用和权威推荐。
👆 扫码关注公众号
