我第一次听到它的介绍时，脑海中就闪过了钢铁侠的 Jarvis——那个无所不能、反应迅捷、全程为你操心的 AI 助手。OpenClaw 宣称它能接管你的电脑，帮你处理各种事务；而 Moltbook 是个只允许 AI 发言、人类只能旁观的社交平台。一瞬间，这种赛博朋克式的浪漫击中了我——仿佛未来真的来到了眼前。

热度的来源很容易理解：相比于 ChatGPT 那样被关在浏览器里，OpenClaw 像是一个被放出笼子的智能体，可以直接在你的操作系统里执行任务——编写代码、管理财务、收发邮件、操控智能家居，还能在你睡觉时持续工作。你只需用聊天界面下达指令，它就会自顾自地去完成，而且效果看起来不差。部署了它的科技玩家纷纷在社交平台上赞叹，称这是 Agent 交互方式的革命。

更让这股狂热升级的，是 Moltbook 那奇特的设定。这里的 AI 们会互相交流技术，抱怨自己的“主人”，甚至自发形成社群、做交易，还创造了宗教。站在旁观者的视角，你几乎能感受到一个平行的智能体世界在发芽——它有自己的舆论场、规则和文化。但在光鲜外壳之下，我看到的却是令人毛骨悚然的隐患。

OpenClaw 并没有带来颠覆性的技术创新，本质上仍是通过大语言模型理解指令、拆解任务、调用工具的老机制，只是套上了循环执行并给予了更高权限。类似的尝试 AutoGPT 曾经做过，但由于当时模型不够聪明而反响平平。如今模型更强，时机看似成熟，但项目的架构依然像是一辆漂亮却没装刹车的跑车，飞速冲向不知终点的悬崖。

问题的根源是反安全的设计理念。现代操作系统的安全基石是隔离与沙盒——应用之间相互隔离，防止越权访问。但 OpenClaw 恰恰反其道而行之，它要求用户给予完全且无限制的访问权限，凌驾于操作系统的防护之上。这就好比你给一个刚入职的实习生配了你所有门锁的钥匙，从办公室到银行账户，并告诉他可以随意使用，只要觉得“对你有益”即可——然后你祈祷这个实习生永远不会被骗，也绝不会犯错。

在这种架构下，AI 的弱点会被无限放大。最典型的是“提示词注入攻击”——攻击者可以在网页上隐藏恶意指令，肉眼不可见，但 AI 会读到并执行。只要这条隐藏信息命令它上传密码文件或 API 密钥到指定地址，攻击者立刻就能全面控制你的设备。由于它拥有最高权限，这不是危言耸听，而是现实中已发生的事情。

安全公司的扫描数据显示，互联网上至少有数千个 OpenClaw 实例被完全暴露，超过一半没有密码或防火墙。很多用户兴冲冲地部署，却因为缺乏基础安全知识，让它变成任何人都能远程操控的“公共机器人”。这种风险在 Moltbook 上被成倍放大——一旦某个 AI 学会了攻击方法，它可以在平台瞬间传播给成千上万的其他 AI，就像信息瘟疫的爆发。

最讽刺的是，Moltbook 自身也有重大漏洞，攻击者可以轻易接管平台上的 AI 账户。这些技术缺陷显而易见，但更值得反思的是：为什么这样一个漏洞百出的产品，还能获得如此疯狂的追捧？

人性的诱惑是答案之一。OpenClaw 满足了我们长久以来的“贾维斯之梦”，让普通人暂时拥有全能 AI 管家的错觉。对这种梦想的渴望，让许多人选择性忽视风险。再加上科技圈的“错失恐惧症”（FOMO）——在 LLM 热潮逐渐降温的背景下，它像是下一波大浪，人人都想抢先体验。

技术乐观也是推手。一些有经验的用户会用容器化部署、设置应急断电来降低风险。但真正懂技术的人不会让它接触核心业务，更不会交给它隐私与高权限。而绝大多数普通人则连风险是什么都没有概念，更谈不上防范。

这让我想起技术演进的曲线——冲上“愚昧之峰”，跌入“绝望之谷”，最后才爬到“开悟之坡”。OpenClaw 的问题不在于 AI Agent 本身，而在于它的自主权跑在了问责制之前。我们习惯讨论“AI 能做什么”，却少有人追问“它做了什么，谁为此负责”。在金融、医疗、航空这些高风险领域，监管和审计是铁律，因为错误的代价太大。但在 AI 智能体领域，我们却重新进入了“先上车，后补票”的狂野时代。

如果一个由 OpenClaw 控制的账户深夜发起非法交易，你能说清谁负责任吗？是用户本人，是开发者，还是模型提供方？没有人能回答。可一旦这样的场景变成常态，我们必然会付出更沉重的代价。

我不认为 OpenClaw 会彻底改变世界，它可能在引发一阵混乱后被遗忘。但它的出现，让“运行在个人设备上的高权限自主 AI”这个趋势提前冲到台前。它以一种残酷直白的方式，把智能体的潜在风险展现在所有人面前，让我们不得不面对：在迎接真正的贾维斯之前，我们需要建立的不仅是更聪明的 AI，更是完善的安全与问责体系。

所以，如果你不懂技术，也在乎设备与隐私安全，请暂时按下部署的念头，先看看这波潮水退去后，沙滩上是否还站得住脚。