不让OpenAI参与太多:开源智能体时代的治理、安全与认知护城河来源 | 大顺AI商业流量作者 | Alex4140字 阅读时间8分钟作为OpenClaw项目的创始人兼BDFL(终身仁慈独裁者),Steinberger曾坦承:“梦境功能(Dreaming)的灵感,确实来自Anthropic源码泄露事件中的内部实现。”这句话轻描淡写,却揭示了一个被喧嚣掩盖的核心命题:在AI智能体时代,真正的风险不在于代码是否开源,而在于我们是否理解强大系统的使用边界与治理逻辑。 今天,咱们就从开源治理结构、安全认知偏差、工程哲学演进、认知护城河构建、智能体演化路径五个维度,穿透当前AI社区的集体焦虑,向大家回答一个根本性问题:当自动化系统具备数据访问、通信能力与自主决策权时,我们应如何设计信任机制,而非仅仅修补漏洞?一、为何“不让OpenAI参与太多”是一种主动防御? “我现在最大的挫败感在于,整个行业都在试图把这个项目描绘成负面的东西。”Steinberger在演讲中坦言。 这句话背后,是一个典型的开源治理悖论:项目越成功,越容易成为多方博弈的标本。OpenClaw自2023年11月发布以来,GitHub Star数呈近乎垂直增长——5个月内吸引近2000名贡献者、3万次提交、即将突破3万个Pull Request。这种增长速度,在GitHub历史上极为罕见。 然而,随着Steinberger加入OpenAI,社区迅速发酵出“Closed Claw”的担忧。这并非无端猜疑。OpenAI在开源领域的记录确实不佳:GPT系列闭源、Codex早期限制严格、API条款模糊且频繁变更。社区有充分理由警惕单一商业实体对关键基础设施的潜在控制。但Steinberger的回应出人意料地克制:“是我自己控制节奏。我可以从OpenAI拉更多人来帮忙,但那样会让人觉得他们接管了这个项目——我不想这样。” 这句话揭示了一个关键机制:OpenClaw的开放性,本质上是一种主权防御策略。Steinberger刻意引入Nvidia、Microsoft、腾讯、字节、阿里、Slack、Salesforce等多方力量,构建一个多极制衡的贡献生态。Nvidia派遣全职工程师参与安全加固;中国公司成为最大用户群之一;Red Hat协助容器化与安全审计。 这种架构的本质,是将项目置于“无法被单一实体收编”的状态。正如他所言:“像OpenClaw这样的项目,绝对不可能从美国大公司里出来。”原因在于:大公司内部的法律合规、数据隐私审查与责任边界讨论,往往会在项目早期就将其扼杀。而外部创业者可以承受“最坏情况”——如token泄露、邮件上传、照片外流——这些虽令人不适,但在可控范围内。 因此,“不让OpenAI参与太多”并非排斥合作,而是维持项目主权的手术刀式操作。OpenAI提供资源、理解开源价值、支持多模型兼容,但核心决策权始终由非营利基金会掌控。这种模式借鉴了Ghostty终端项目的中立架构,目标是建立一个类似“瑞士”的全球性治理实体。核心洞察:开源≠免费,而是主权分配机制OpenClaw的真正创新不在技术,而在治理结构。它证明了在AI时代,关键基础设施可通过“多边共建+基金会托管”模式,既获得巨头资源,又避免被收编。这为后续智能体生态提供了可复制的范式。二、为何“高危漏洞”往往是噪音?“越是有人大喊‘极其严重’的漏洞,越可能是噪音。”Steinberger的这句话,直指当前AI安全讨论的认知偏差。 数据显示,OpenClaw在过去三个月收到1142条安全通告,日均16.6条,其中99条标记为“严重”。相比之下,Linux内核日均8-9条,curl全年约600条。表面看,OpenClaw似乎漏洞百出。 但深入分析后会发现,绝大多数“高危漏洞”在现实部署中几乎无法触发。例如一个CVSS评分10.0(最高级)的漏洞:若同步一个未发布的iPhone应用并仅授予读权限,理论上可被利用获取写权限。听起来骇人听闻,但实际使用中,用户要么本地部署(网关token不可外访),要么通过私有网络访问。只有当你刻意违背官方安全指南——比如不看文档直接用cloud code搭建——才会暴露风险。 更值得警惕的是,某些学术研究(如《Agents of Chaos》)在分析OpenClaw时,完全忽略其核心安全建议:“这是一个个人Agent,不要放到群聊里。如果是团队Agent,只能访问团队数据。”他们为了制造戏剧性,强行以sudo模式运行系统,并在报告中隐瞒这一前提。 这暴露了当前安全生态的两大病灶: 1. CVSS评分机制脱离实际场景:该标准基于理论攻击面,不考虑默认配置、用户行为或部署环境。一个在实验室可复现的漏洞,在真实世界可能毫无意义。 2. 安全研究的激励扭曲:发现漏洞=曝光度=职业资本。OpenClaw作为热门项目,自然成为“漏洞猎人”的靶场。数百人同时尝试破解,生成大量AI辅助报告——有些甚至“礼貌地道歉”,明显是LLM生成。 Steinberger举了一个典型案例:Nvidia推出Nemo Claw沙箱插件,周一发布Keynote,周日邀请他测试。他接入Codex安全工具,半小时内找到五种突破沙箱的方法。原因?该插件使用了“未削弱版本”的内部模型,能力远超公众可用版本——这本身就是一个危险信号。核心洞察:真正的风险是“致命三要素”组合 所有智能体系统的共性风险在于:同时具备数据访问权 + 接触不可信内容 + 通信能力。这不是OpenClaw独有的问题,而是任何强大自动化系统的必然属性。关键在于用户是否理解并管理这一组合。三、从“黑客路径”到“声誉信任系统”面对安全洪流,OpenClaw没有选择封闭,而是走上一条更艰难的路:构建可扩展的信任机制。 Steinberger透露,解决方案的核心是“通过时间建立声誉,信任度越高,获得权限越高”。这与Simon Willison提出的双LLM防御、Toby Luca的信任系统一脉相承。其逻辑是:权限不应静态分配,而应动态演化。 这一理念源于他对软件开发本质的理解:“通往山顶的路从来都不是一条直线。”他反对“黑暗工厂”模式——即预先定义所有需求,全自动编码。因为“你对项目的第一个想法,极不可能就是最终的项目”。OpenClaw的开发过程高度迭代:边玩边看,感受系统反馈,调整prompt,打磨细节。例如,当把Agent接入WhatsApp时,发现Claude Code的回复“太啰嗦,用太多省略号”,不符合人类聊天习惯。于是他反复调整soul.md(定义AI人格的配置文件),直到“写得更像人类”。这种“黑客式路径”的底层逻辑是:绕过大公司的数据壁垒,让用户掌控自己的数据。Steinberger坦言:“我骨子里是个欧洲人。你会想要拥有自己的数据。”初创公司接入Gmail可能耗时半年,但他的Clanker只需点击“我不是机器人”,就能自动获取数据。 而支撑这一切的,是三个工程师在未来必须掌握的核心技能: 1. 品味:最低定义是“不要有AI味”——能立刻识别出机械化的写作、模板化的UI; 2. 系统设计:引导Agent不要输出局部最优解,而是考虑全局一致性; 3. 说‘不’的能力:在无限创意面前,守住架构边界,避免系统沦为“spaghetti code”。 核心洞察:Agent不是替代工程师,而是放大其判断力当编码自动化后,工程师的价值从“写代码”转向“问对问题”。一个烂prompt会产生一堆局部解决方案;一个好prompt则能引导Agent理解系统全貌。这正是“说不”的艺术——拒绝看似合理但破坏整体性的功能叠加。四、梦境功能如何从泄露中重构? “我想做dreaming(梦境功能)。我们从Anthropic的源码泄露中发现,他们也在做dreaming。” 这句轻描淡写的话,揭开了AI行业一个隐秘的协作现实:即使在竞争激烈的闭源环境中,核心思想也会通过泄露、逆向、观察等方式流动。 Dreaming的灵感源于人类睡眠机制:白天经历事件,夜间大脑进行“垃圾回收”——将短期记忆转为长期存储,丢弃冗余信息。对Agent而言,这意味着需要一种离线反思机制:浏览对话日志,提炼知识,更新内部维基。 Anthropic的泄露代码显示,他们已在内部实验类似功能。Steinberger团队迅速将其产品化,作为OpenClaw的扩展插件。用户无需提交PR,即可安装自己的“梦境模块”,实现个性化记忆管理。 这体现了OpenClaw的另一重哲学:不做大一统系统,而是提供可插拔的乐高积木。过去几个月,所有实验性功能(维基、记忆、梦境)都从核心代码剥离为extension/plugin。你可以替换记忆引擎,添加自定义反思逻辑,甚至注入“龙虾式写作”风格。这种架构的优势在于:允许疯狂想法存在,而不污染主干。正如Steinberger所说:“你不用什么都发pull request,因为我们PR还是严重过载。更像Linux,你可以自己安装自己的部件。”在AI军备竞赛中,源码泄露固然危险,但也加速了最佳实践的扩散。Dreaming功能的快速落地,证明了开源社区的“吸收-重构-超越”能力。闭源公司的内部实验,最终可能成为公共产品的养分。五、token处理加速与智能体的终极形态 “我认为未来token处理会越来越快。”Steinberger在谈及工作流时断言。 他曾同时开启10个Codex会话,因响应延迟被迫“多窗口并行”。如今随着fast mode推出,窗口数减半至5-6个。“到时候同时处理六件事就不再是常态了。” 这看似是性能优化,实则指向智能体演化的根本方向:从“异步批处理”走向“实时交互”。 Steinberger的理想场景,源自《星际迷航》:“在任何一个房间,说‘computer’,我的agent就能回应。”它知道你的位置,能将视觉内容投射到最近的iPad;戴着眼镜时,可直接在视野中叠加信息。要实现这一愿景,需解决两大挑战: 1. 延迟:当前token处理速度仍不足以支持无缝对话; 2. 上下文感知:Agent需理解物理环境、用户状态、设备能力。 而OpenClaw的智能家居应用已初现端倪——讽刺的是,这得益于IoT设备“安全做得一塌糊涂”,使得Agent能轻松接管。随着模型能力提升,这一场景将更加可靠。 更重要的是,未来的Agent将是分层的:你在公司有一个大写的OpenClaw(私人Agent),公司有一个小写的openai claw(企业Agent),二者通过协商机制交互,确保隐私与效率平衡。当Agent融入生活每个角落,安全不再依赖“沙箱”,而依赖“声誉系统+权限动态演化”。你不会给新接触的Agent高权限,但随着时间推移,信任积累,它将获得执行复杂任务的能力。在噪音中听见信号回看整场大会,Steinberger像一位冷静的外科医生,在聚光灯下解剖行业的集体癔症。他没有否认风险,但拒绝被恐慌绑架;他拥抱合作,但坚守主权;他鼓励创新,但强调品味与边界。 “越有人大喊严重的漏洞,越是噪音”——这句话的本质,是对认知带宽稀缺性的清醒认知。在AI工具能自动生成海量漏洞报告的时代,真正的挑战不是修复漏洞,而是识别哪些值得修复。OpenClaw的实践告诉我们:强大系统的安全性,不取决于代码完美,而取决于用户理解其能力边界。当你把个人Agent放进群聊却不开启沙箱,当你用sudo模式运行却不锁依赖版本,当你忽视“致命三要素”的组合风险——问题不在系统,而在使用逻辑。 未来已来,只是分布不均。而OpenClaw的价值,不仅是提供一个Agent框架,更是建立一套与强大系统共处的认知协议:保持开放,但警惕收编;拥抱速度,但不忘迭代;允许梦境,但扎根现实。 正如Steinberger所言:“系统越强大,能做的事情越多,但也必须越清楚它在做什么。”这或许才是AI时代最稀缺的素养——不是技术,而是清醒。文中观点仅为作者观点,不代表本平台立场各位读者朋友,公众号改了推送规则,如果您还希望第一时间收到我们推送的文章,请记得给北大纵横公众号设置星标。点击左下方公众号“北大纵横”→点击右上角“...”→点选“设为星标⭐️”
夜雨聆风
