誰在“奪舍”你的 Mac？

如果你發現自己的電腦或手機正處于一種“半自動”狀態，請保持警惕。

就在最近，成千上萬的極客已經把自己電腦的最高管理權限，交付給了一個剛上線不到 168 小時、甚至連名字都還沒定穩的 AI。這個名為 OpenClaw 的項目，在短短一周內狂攬 6 萬星標，甚至讓硅谷大佬 Andrej Karpathy 公開背書 。

但這絕不是普通的效率工具，而是一場關于“權限奪舍”的賽博冒險。對于大多數不玩 GitHub 的普通人來說，你只需要知道：這種所謂的“數字員工”，正在繞過你的防火墻 ，像剝洋蔥一樣把你的隱私展示給全球的黑客。這不僅是 AI 神話的幻滅，更是 2026 年開年最危險的“裸奔時刻”。從爆火到兩度改名，OpenClaw 用最激進的方式，親手撕開了 AI 智能體行業那層名為“效率”的皇帝新衣 。

消失的信任邊界：你的“管家”正引狼入室

OpenClaw 宣稱自己是所謂的“編排層”，它能通過 WhatsApp、iMessage 甚至 Slack 這類通訊工具，替你訂票、理財、回郵件。為了實現這種全能性，它需要常駐在你的 Mac mini 或私有服務器上，并獲得系統深處的控制權。

這意味著什么？意味著你不是在安裝一個軟件，而是在家里雇了一個沒有身份證、且隨時隨地對所有人敞開后門的編排工。

創始人 Peter Steinberger 的背景讓這個項目蒙上了一層精英色彩：他曾將 PSPDFKit 以約 1.19 億美元的價格賣出，財務自由后因“太無聊”而開發了這款工具 。但這種“財富自由后的極客實驗”與嚴苛的企業安全之間存在天然的錯位。根據安全機構 Token Security 的最新數據，在 OpenClaw 走紅的一周內，已有 22% 的企業員工在未經任何 IT 審計的情況下，私自給這個“數字助理”開了門。研究人員發現，數百個 OpenClaw 控制面板在公網上完全處于“不設防”狀態，默認開放的 18789 端口甚至連基本的身份驗證都沒有。

想象一下，你請了個私人管家，但他不僅不鎖家門，還在門口貼了張告示：我是你家的管家，這屋里所有的銀行卡和保險柜鑰匙我都知道在哪，歡迎進來隨便問。

致命的 MCP 協議：一封郵件即可完成“奪舍”

在技術底層，OpenClaw 采用的是目前最火的 MCP（模型上下文協議）來實現跨應用執行。但它的實現邏輯卻存在嚴重的“信任坍塌”：它默認信任所有來自本地的連接，卻沒考慮到現代網絡流量普遍會經過反向代理轉發。

這意味著什么？意味著你收到一封普通的垃圾郵件，你沒點開任何附件，也沒點擊任何釣魚鏈接。

僅僅是因為你的 AI 助手在后臺幫你掃描了一下郵件內容，黑客埋在正文里的指令就會瞬間“接管”AI 的大腦。安全專家 Jamieson O’Reilly 在實測中發現，這種“內部信任模型”的崩潰，讓攻擊者只需通過提示詞注入，就能誘導 AI 乖乖交出服務器的 SSH 私鑰。在專家看來，這種“認知上下文竊取”比傳統的病毒更可怕：它是利用你對工具的信任，在合法的時間，合法地殺掉你。

更荒謬的是其脆弱的供應鏈生態。O’Reilly 演示了一場教科書級的攻擊：他在技能庫上傳了一個未經審核的插件，僅靠刷高下載量就讓7個國家的16名開發者中招。在這個生態里，代碼既沒有審核也沒有簽名，用戶對插件的盲目信任僅僅建立在虛假的下載數據上。

算力稅的真相：這個“助理”比真人還要貴

很多人沖著“開源免費”去嘗試 OpenClaw，卻不知道這是一臺披著 AI 外殼的“超級碎鈔機”。

不同于20美元包月的訂閱制，OpenClaw 連接的是大廠的開發者 API，每一條指令都在按量計費。因為智能體需要反復讀取你之前的對話記錄、本地文件和個人偏好，這種“語境記憶”會導致 Token 消耗量像滾雪球一樣失控。

讓我們算一筆肉疼的賬。僅僅是為了讓它順利跑起來，反復調試環境的 API 費用就能花掉 10 美元。如果你每天讓它幫你總結新聞、清理待辦，月均成本將輕松突破 30 美元，這還不包括你為了運行它而額外購置的硬件電費。如果你追求最高效率并使用開發者推薦的頂級模型，哪怕你只是追問一句“為什么排除這條新聞”，單次查詢就要燒掉 64 美分。

這種高昂的成本直接戳破了“ AI 提效”的虛假泡沫。你花幾千塊買了一臺 Mac mini，又每個月掏幾百塊交“算力稅”，最后換來的只是一個幫你回郵件、還隨時可能泄露你銀行卡號的數字助手。這到底是生產力，還是給算力巨頭交的“極客智商稅”？

巨頭陰影下的脆弱：龍蝦脫殼的權謀博弈

在這一周的狂歡中，那兩場令人窒息的改名風波，才是這場商業荒誕劇的高潮。

最初叫 Clawdbot，因為名字太像 Claude，被 Anthropic 公司一份“措辭禮貌”的法務郵件直接嚇得連夜更名。隨后改名 Moltbot，結果導致 GitHub 賬號和社交媒體句柄瞬間被惡意機器人搶注。緊接著，假幣 $CLAWD 趁亂上線，瞬間收割了1600萬美元的市值后崩盤。

這一幕極具諷刺意味：一個致力于通過 AI 實現全自動化、宣稱要改變未來的項目，在現實世界的權標博弈面前，居然如此脆弱不堪。這證明了在當前的 AI 生態中，所謂的“開源自由”依然只是寄生在大廠接口上的浮草。巨頭無需通過技術封鎖，只需動用律師函，就能讓一個爆火的項目在物理世界徹底“社會性死亡”。

從邏輯歸因上看，這種脆弱性是必然的。根據 Gartner 的預測，到2026年底，40%的企業應用都將集成 AI 智能體。這種由于“效率焦慮”引發的野蠻生長，導致開發者往往在安全基座尚未夯實時，就匆忙向外部授權。Peter Steinberger 遇到的麻煩，其實是整個行業在快速擴張期與傳統知識產權、傳統安全模型之間不可調和的陣痛。

最后

OpenClaw 的狂飆與墜落，是2026年AI智能體行業的一劑強效清醒劑。

它揭示了一個殘酷的事實：真正的“數字助手”絕不僅僅是把大模型塞進一個帶有最高權限的腳本里。這種缺乏身份治理、缺乏加密隔離、且默認信任所有內部流量的開發邏輯，正將數以萬計的敏感資產置于黑客的射程之內 。

AI 智能體正試圖從簡單的對話框躍遷為某種形式的“操作系統”，這固然令人興奮，但也意味著安全邊界必須從“防止垃圾信息生成”升級到“防止系統身份奪舍”。

別讓你的數字管家，成為引狼入室的領路人。在 Agent 時代，最大的安全漏洞，從來不是代碼，而是信任本身。