OpenClaw用3個月讓OpenAI破防

2023年GPT-4剛發布時，AutoGPT和BabyAGI曾讓全網陷入集體焦慮——"AI要搶飯碗了"的恐慌持續了不到一個月，這些早期自主代理就因幻覺頻發、執行崩壞而銷聲匿跡。三年后的今天，同樣的劇本正在重演，只是主角換成了OpenClaw。

區別在于，這次沒人再笑它是玩具。Anthropic的Claude Opus 4.5模型支撐下，OpenClaw能實打實操控你的本地文件、終端、瀏覽器、Gmail、Slack，甚至家里的智能家居。更反常的是，這場討論已經持續近一個月仍未降溫，逼得OpenAI直接出手——把創始人Peter Steinberger招安了。

一個"一人獨角獸"的傳說，正在硅谷最敏感的神經上跳舞。

從"未來已來"到"后門大開"

Federico Viticci在MacStories的實測描述堪稱理想生活范本：他給助手取名Navi，用Telegram聊天，對方知道他叫啥、晨間偏好、Notion和Todoist的使用習慣，還能操控Spotify、Sonos音箱、Philips Hue燈具。語音消息進，ElevenLabs合成的語音出，跑在他自己的M4 Mac mini服務器上——還能自我迭代新功能。

這種"數字管家"的愿景擊中了人類最原始的懶惰本能。從齒輪到傳送帶，從編程語言到現在的AI代理，自動化一直是技術演化的主線。但OpenClaw把這條線扯到了危險邊緣：它越能干，你暴露的 attack surface（攻擊面）就越夸張。

原文作者直截了當：這玩意"capable, expensive, and insecure"——能干、燒錢、還不安全。三個形容詞里，前兩個是賣點，最后一個是定時炸彈。

權限即漏洞：當AI拿到你的數字鑰匙

OpenClaw的架構設計決定了它必須擁有極高權限才能"成事"。瀏覽器自動化需要Cookie和登錄態，Gmail和Slack集成需要OAuth令牌，本地文件操作需要系統級訪問，智能家居控制則需要穿透家庭網絡。這些權限鏈條中的任何一環斷裂，都不是"數據泄露"四個字能概括的。

傳統軟件的安全模型是"最小權限原則"——只給完成任務必需的最低權限。OpenClaw完全反著來：為了讓它足夠"智能"，你得把數字生活的鑰匙串交到它手里。更麻煩的是，這些權限往往以明文或半加密形式存儲在本地配置中，一旦設備被攻破，攻擊者拿到的不是零散的賬號密碼，而是一整套自動化滲透工具。

Claude Opus 4.5的幻覺率確實比三年前的模型低得多，但"低得多"不等于零。想象一個場景：你讓Navi"清理一下舊的會議邀請"，它理解成了"刪除所有日歷事件"——在擁有寫權限的前提下，這種誤讀沒有二次確認機制，執行就是秒級。

生態成熟度是把雙刃劍

2023年的自主代理死在"什么都干不了"，2025年的OpenClaw贏在"什么都能干"。這個反轉背后是生態的成熟：瀏覽器自動化有Playwright和Puppeteer，語音合成有ElevenLabs，智能家居有成熟的API層，Telegram Bot框架開箱即用。

但生態成熟也意味著攻擊工具的成熟。針對Selenium的自動化攻擊、針對OAuth的token劫持、針對本地服務器的內網滲透——這些都不是理論風險，而是有成熟工具鏈的現實威脅。OpenClaw把用戶的機器變成了一個高度互聯的節點，而這個節點的"智能"恰好可以被反向利用。

原文作者提到自己"personally didn't like it, neither saw its promise"——個人不喜歡，也沒看出前景，還補了一句"maybe I am employed"。這句自嘲背后是個尖銳觀察：當你有正經工作時，把全部數字身份交給一個第三方代理的沖動會自然消退。OpenClaw的早期采用者畫像，恰恰是那些愿意用安全風險換取效率邊際收益的群體。

OpenAI的招安算哪一出？

Peter Steinberger被acqui-hired（收購式招聘）的時機耐人尋味。OpenClaw不是OpenAI的產品，底層模型用的是Anthropic的Claude，但OpenAI選擇用錢和職位鎖定這個人。一種解讀是防御性收購——防止競爭對手拿到自主代理的關鍵人才；另一種更現實的可能是，OpenAI看清了這個方向的安全隱患，想從內部把控。

無論動機如何，這筆交易暴露了行業的集體焦慮：自主代理是下一個必爭之地，但沒人想好怎么解決它帶來的信任危機。把創始人招進大廠，某種程度上是把創新風險 institutionalize（制度化）——讓個人項目的狂野生長，變成公司背書的可控實驗。

對普通用戶來說，這意味著OpenClaw式的體驗遲早會 mainstream（主流化），但會以更封裝、更受限的形式出現。

原文作者給了一條實用建議：如果你"truly motivated to use the tech"，確實有辦法繞過部分風險。比如把敏感操作隔離在虛擬機里，用專用設備跑代理服務，定期輪換API密鑰，對關鍵權限設置人工確認節點。但這些 workaround（變通方案）的復雜度，已經讓"未來已來"的魔法感大打折扣。

技術史上有太多"先跑起來再修剎車"的先例。OpenClaw的爭議在于，它把剎車的缺失當成了性能優勢來宣傳——越無縫、越自主、越懂你，就意味著越多的權限讓渡和越難追溯的責任鏈條。

當Navi在M4 Mac mini上播放《Every Breath You Take》時，歌詞里的" I'll be watching you"是個精心設計的雙關。問題是，誰在watching Navi？以及，當watching變成exploiting時，你有沒有斷開的開關？

這個問題，OpenAI花了一筆收購費也沒回答。而正在配置自己OpenClaw實例的用戶，有多少人在部署前完整審計過它的權限申請清單？