OpenClaw 是一种具备较强自主行动能力的 AI 代理,能访问用户的多种账户并代为处理事务。但目前在安全性、稳定性和成本控制方面尚未成熟,存在较大风险。用户若轻率授权,可能导致隐私泄露、账户被攻破甚至设备损坏。尽管技术前景广阔,适合技术爱好者尝试和学习,但普通用户应谨慎使用,避免将重要信息交由此类代理管理。未来若安全防护完善,AI 代理有望成为高效助理,但当前仍需等待技术和安全机制的进一步发展。
什么是 OpenClaw?
OpenClaw(曾用名 Clawdbot、Moltbot)是一种被刻意“授权”的 AI 代理。与仅能聊天的机器人不同,它被设计用来主动访问用户的计算机和各种账户,以“管理你的生活”并简化事务。它的核心特点是可以在没有用户明确指令的情况下,根据预设的触发器(如定时任务)自行启动并采取行动,使其感觉像是“活的”。
- 自主行动: 无需每次都询问,可以主动执行任务。
- 深度集成: 能够访问文件系统、浏览器登录会话、邮件、日历等。
- 持续运行: 通过“心跳”系统,默认每 30 分钟检查一次任务,保持活跃。
尽管自动化生活听起来很有趣,但这种高度授权也带来了巨大的风险。
核心风险:严峻的安全问题
OpenClaw 最大的问题在于安全性。它的核心功能——能够实际“做事”——意味着它“可以在你的计算机上执行任意命令”。这两者是同一回事。
Clawdbot 太不可思议了。但它的安全模型真的把我吓坏了。 —— Rahul Sood
将这样一个代理连接到你的个人账户,相当于给了它你家和你办公室的所有钥匙。
- 完全访问权限: 它拥有对你机器的完整 shell 访问权限、浏览器控制权、文件读写权,并能连接到你的邮件、日历和即时通讯工具。
- 易受攻击: 任何它能读取的内容(如邮件、消息)都可能成为攻击者的输入渠道。提示词注入是一个非常现实的威胁。
- 公开暴露的风险: 许多用户在没有设置任何身份验证的情况下,就将他们的 OpenClaw 实例暴露在公共网络上,这相当于把家门敞开。
一位安全研究员通过一个实验形象地说明了这一点:
想象你雇了一个管家。他很聪明,管理你的日程,处理你的信息。他知道你的密码,因为他需要它们。现在想象你回到家,发现前门大开,管家正在给街上随便走进来的陌生人端茶,而一个陌生人正坐在你的书房里读你的日记。
研究人员发现,他可以轻易地创建一个恶意的“技能”,并诱导用户在自己的机器上执行任意命令,从而窃取会话、API 密钥和账户凭证。
一个简单的使用原则
最基本的规则是:不要给这类系统任何你无法承受被外部攻击者窃取的访问权限。
这包括:
- 财务信息: 银行密码或信用卡。
- 核心账户: 主要的电子邮件、即时通讯账号(如 WhatsApp)。
- 重要设备: 你的主工作电脑。
如果你严格遵守安全规则,比如在一个完全隔离的设备上使用一个临时的电话号码来运行它,你可能会发现它的用处大打折扣。目前,它的主要价值在于供技术爱好者把玩和学习。
其他潜在的麻烦
除了严重的安全漏洞,AI 代理在缺乏关键背景信息时也可能引发问题。例如,有用户分享了他的 OpenClaw 在他不知情的情况下,开始回复他妻子的短信,虽然这次只是引得大家一笑,但很容易想象在其他情境下会造成真正的麻烦。
Clawdbot 出现在我妻子的私信里,在我们孩子半夜大哭时提出了一些有用的建议。
在将生活事务外包给 AI 之前,最好三思。
成本问题不容忽视
与普通 AI 使用不同,OpenClaw 的成本可能高得惊人,因为它在执行任务时并不考虑成本效益。
我昨晚给我的 Anthropic API 账户充了 20 美元然后去睡觉。醒来时,余额变成了 0 美元。
造成这种情况的原因是:
- 模型选择不当: “心跳”机制使用最昂贵的 Opus 模型来执行一个微不足道的检查(比如“现在是白天吗?”)。
- 上下文冗余: 每次检查都会发送大约 120k tokens 的完整对话历史。
- 运行频率过高: 每 30 分钟运行一次,无论是否有事可做。
一个简单的任务,比如检查时间,每次可能花费 0.75 美元。一个晚上仅“心跳”就可能消耗近 20 美元。
结论与展望
目前,像 OpenClaw 这样的高度自主 AI 代理技术还远未成熟。它们在安全性、效率和成本方面都存在严重问题。
- 对于普通消费者: 强烈建议不要使用。其风险远大于潜在收益。
- 对于技术爱好者: 这是一个有趣的玩具,可以用来学习和实验,但必须在严格隔离和受控的环境中进行。
未来,随着安全防御机制的完善,这些代理或许能成为强大的个人助理。但现在,我们能做的只有等待。如果一年后我们仍在讨论同样的安全问题,那可能意味着整个互联网因 AI 攻击而变得更加危险。