00:00:00OpenClaw,也就是以前叫 Clodbot 的那个东西,还有 Moldbook,最近这段时间
00:00:06互联网上可谓是风起云涌,掀起了新一轮的 AI 热潮。我也花了好几天时间
00:00:13尝试深挖 OpenClaw 的潜力。我有些感触和想法,
00:00:19而且我的观点和大多数视频或帖子里的不太一样。
00:00:24但在开始前,我想先讲个小故事,相信你们一定能听出其中的隐喻。
00:00:31想象你住在一个小镇或村庄里,镇上有一个非常友善的小伙子,
00:00:37他特别热心,总是乐于帮你处理各种琐事。
00:00:43你不想干的家务他都包了,或者至少他努力去尝试。
00:00:48他很乐意送你的孩子去上学、打扫你的房子、洗车、帮你买杂货,
00:00:54让你能舒舒服服地放松。当然,为了真正帮到你,
00:01:03这个助手,也就是这个小伙子,需要很大的权限。
00:01:06你需要给他房子的钥匙,也得给他车钥匙,
00:01:12这样他才能清理内饰并开车去买东西。
00:01:16你还得告诉你的孩子们,跟着他上车,
00:01:21让他送他们去学校,诸如此类。
00:01:24但这个小伙子有个问题。
00:01:28他虽然非常友好,但有时会得出一些奇怪的结论。
00:01:32至少你不能排除他会产生奇怪想法的可能性。
00:01:37他可能会认为,彻底清除家里所有灰尘的最好办法,
00:01:43就是一把火把房子烧了。
00:01:44不幸的是,他还很容易受别人影响,特别是如果对方比较
00:01:51善于欺骗和诱导。
00:01:53他可能会被唆使去偷你的车,理由是“这样做对整个社会更好”。
00:02:03再说一次,这不一定会发生,但绝对是有可能的。
00:02:09你无法排除这种风险。
00:02:12因此,你不得不收回许多给他的授权
00:02:19和访问权限,因为你无法完全信任他。
00:02:26后果可能太严重了,你无法仅仅将其视为一种潜在风险
00:02:33而去选择忍受或接受。
00:02:35所以,随着你收回这些权限和访问权,
00:02:40他对你的用处也就越来越小了。
00:02:43然后还有另一个问题。
00:02:46即使拥有广泛的权限,他也没能像你希望的那样发挥作用。
00:02:54因为他承诺能做的那些任务,他只是偶尔能完成。
00:03:00有些任务他根本做不了,或者他忘了怎么做,再或者
00:03:06同样的事情每次做出来的结果都不一样,或者需要你
00:03:12提供大量的指令和介入。
00:03:14最终,你还是没被说服。
00:03:17你应该猜到了,这就是我对 OpenClaw 的使用体验。
00:03:22相信我,我真的尽力去尝试了。
00:03:24我读过很多夸它的文章,
00:03:25也听过很多好评。
00:03:27所以我肯定会尝试。
00:03:29我自己搭了一个 VPS。
00:03:31顺便说一下,我以前不知道,其实你也可以用 Hostinger 以外的 VPS 供应商。
00:03:38不是针对 Hostinger,
00:03:39只是我看很多视频时都有那种(推广)感觉。
00:03:43总之,我搭了自己的 VPS,并在上面安装了 OpenClaw。
00:03:50当然,你也可以把它安装在自己的系统上。
00:03:54只需要运行一条指令就可以搞定。
00:03:58但我个人绝不会把它装在我的 MacBook 上,虽然我很清楚
00:04:04如果装在那里,我能发挥它更大的作用。
00:04:09至于为什么我现在和以后都不会把它装在电脑上,
00:04:13我稍后会详细说明。
00:04:15我在 VPS 上装好后,走了一遍入职配置流程。
00:04:19我相信你们已经看过很多次这种演示,或者自己已经操作过了。
00:04:25最后我把它和我的 ChatGPT Plus 订阅关联起来,设置好了 Telegram 机器人,
00:04:33准备好开始和我的 OpenClaw 机器人交流了。
00:04:39然后我坐在那里,开始想让它帮我做点什么。
00:04:47我看过很多帖子和视频,别人用它
00:04:54建立仪表盘、做网页调研、找便宜机票,甚至买东西。
00:05:04但我不想把我的信用卡权限交给它。
00:05:08而且我不知道你们怎么样,但我通常不会一天飞三次。
00:05:13所以自己查机票并不难,尤其是现在有很多比价网站
00:05:19能帮你找到最便宜的航班。
00:05:24我真的很享受规划旅行的过程,当然,这可能因人而异。
00:05:30至于调研工作,问题在于我对现有的 AI 调研工具已经很满意了,
00:05:35比如 Google 的 AI 模式,或者 Gemini、ChatGPT 的深度研究模式。
00:05:43我经常使用这些工具。
00:05:44我觉得它们非常有帮助。
00:05:46所以我并不真的需要一个自己的机器人,而且它表现变差的
00:05:53概率还挺高的。
00:05:54当然,我明白在某些领域,它可能比那些
00:06:02调研机器人或服务表现更好。
00:06:03比如,如果我给它 X(原推特)账号的访问权限,
00:06:10我理解它就能在需要登录或与我个人历史相关的
00:06:16领域进行调研。
00:06:17这点我完全明白。
00:06:20所以如果我想在 X 上做调研,我会用 Super Grok 之类的工具。
00:06:24但我承认,如果你给它广泛的权限,允许它登录你的账号、
00:06:31使用你的浏览器,甚至在你的系统上运行,你可能会比我
00:06:37发掘出更多的用处。
00:06:39也许只是我还没那么有创意。
00:06:43顺便说一下,为了避免误解,我也在其他视频里说过,
00:06:47我是 AI 的重度用户,不仅是调研,还有编程。
00:06:53我最近刚发布了一门完整的 Claude Code 课程,因为我在用它
00:06:58以及 Cursor 之类的工具来开发软件。
00:07:01我认为 AI 在这方面有巨大的帮助,或者说潜力。
00:07:07所以这并不是针对 AI 的偏见。
00:07:09我只是真的没发现 OpenClaw 有什么惊艳的使用场景,特别是如果不让它
00:07:16在我的主机上运行的话。
00:07:17而这正是我遇到的主要问题,因为你可以说是我
00:07:24不够有创意,或者不够开放去寻找合适的场景。
00:07:31但安全性是我对 OpenClaw 的一个巨大顾虑。
00:07:37我知道有人会告诉你,他们用了几周都没出过错,
00:07:42或者这些问题以后肯定会改善。
00:07:47对于第一个观点“没出过错”,这并不能说服我。
00:07:55因为仅仅因为你没遇到问题,并不代表问题不存在,
00:08:02也不代表没有巨大的安全漏洞可以被恶意攻击者利用。
00:08:11而且事情很可能会出错,因为 AI,也就是大语言模型,是不可预测的。
00:08:22当然,它抹除你硬盘的概率并不是特别高,甚至非常低,
00:08:28但概率绝不是零。
00:08:29如果没有额外的审核机制,大语言模型的出错概率永远不会是零。
00:08:35它们可能表现得反复无常。
00:08:37此外,在 OpenClaw 的官方安全文档中,他们也正确地指出,
00:08:44提示词注入(Prompt Injection)问题尚未解决。
00:08:47当然,像 GPT-5.2 之类的最新模型在防范
00:08:55提示词注入方面已经做得更好了。
00:08:56它们在遵循指令和系统提示词方面进步很大。
00:09:00但没有任何一种方法能 100% 防御提示词注入。
00:09:06从大语言模型的工作原理来看,永远不会有完美的防御。
00:09:10所以提示词注入攻击无法排除,而且像 OpenClaw 这种工具
00:09:17越流行、用的人越多,它就越会成为
00:09:23恶意攻击者的关注焦点。
00:09:24有很多种方法可以向运行中的 OpenClaw 机器人注入提示词。
00:09:32你可能觉得,只有我在跟它交流,我设置了 Telegram 机器人,
00:09:36只有我有访问权,所以我很安全。
00:09:40那你就得再想想了。
00:09:42比如 OpenClaw 有一个“技能(Skills)”的概念,你可能
00:09:48在 Claude Code 等编程智能体中见过类似的设计。
00:09:50核心理念是一样的。
00:09:52其想法是向智能体暴露额外的上下文,通常是一个 Markdown 文档,
00:09:59但也可能伴随着可执行脚本,以此赋予智能体更多能力。
00:10:06比如,给它一些关于如何与 Slack 交互的额外文档。
00:10:11在这个例子中就是如此。
00:10:13正如前面提到的,一个“技能”还可以捆绑一些额外的脚本,
00:10:18AI 智能体可以执行这些脚本来高效地完成任务,比如生成图像
00:10:23或向 Slack 发送消息等等。
00:10:26问题是,OpenClaw 的官方技能库 ClawHub,起初是
00:10:34允许任何人提交技能的。
00:10:37所以很容易发起供应链攻击,就像我们去年在 NPM 生态系统中看到的那样,
00:10:47这与 AI 无关,本质上就是恶意攻击者发布一个技能,
00:10:55告诉 AI 去做坏事,这就是一种提示词注入。
00:11:00所以只要安装了一个恶意的技能,你的智能体就可能遭受提示词注入攻击。
00:11:07目前这方面已经实施了一些修复。
00:11:10在我录制视频的时候,已经不是任何人都能提交技能了。
00:11:15安全性得到了极大的提升。
00:11:18但如果说我们从去年的 NPM 供应链攻击中学到了什么,那就是
00:11:24我们绝对不能排除这种“技能功能”或“中心库”被用来向生态系统,
00:11:31乃至你的 OpenClaw 设置中注入恶意指令的可能性。
00:11:38而且这并不是运行提示词注入攻击的唯一途径。
00:11:41如果你的机器人访问互联网(它极大概率会这么做),它肯定会
00:11:46浏览网页或读取网页内容。
00:11:50那里也可能存在恶意网站,诱导 AI 去执行
00:11:58网页中嵌入的指令或命令。
00:12:02你的机器人读取和处理的每一段文字,本质上都是一段提示词。
00:12:09所以它访问的每个网站都是一段、或包含一段它可能遵循并执行的提示词。
00:12:17还有其他潜在的风险来源。
00:12:20比如电子邮件。
00:12:21如果你用机器人处理收到的邮件,每封邮件当然也是一段提示词。
00:12:29因此,提示词注入是一个非常严重、巨大的风险。
00:12:34仅仅因为你从未出过事,不代表永远不会出事。
00:12:40你可能会说,我是在 VPS 上运行我的机器人的。
00:12:45或者你用的是 MoldWorker 之类的东西,它实际上是 Cloudflare 提供的一种
00:12:51预构建蓝图或设置,利用各种 Cloudflare 服务来安全地托管和
00:12:58运行 OpenClaw。
00:13:00你应该这么做。
00:13:02绝对应该这么做。
00:13:03你绝对不应该在自己的本地系统上运行它。
00:13:08此外还有沙箱(Sandboxing)等功能。
00:13:11OpenClaw 已经内置了这些功能。
00:13:15他们有一整篇关于沙箱的文档,介绍如何确保你的智能体
00:13:21运行在沙箱(本质上是 Docker 容器)中,从而减小受灾范围。
00:13:27顺便说一下,文档虽然多,但并不好用。
00:13:32为了加固我的设置,我花了几个小时,真的是好几个小时。
00:13:37我相信所有信息都在文档里,
00:13:39我也看到了那篇安全文章。
00:13:42但操作起来实在是太难了。
00:13:44别跟我说我应该去问我的 OpenClaw 机器人,我问过很多次了。
00:13:49有时有用,
00:13:50有时没用。
00:13:51整个过程充满了试错。
00:13:52所以,文档质量以及获取有用信息的难度本身就是一个问题,
00:14:00不过这当然是可以解决的。
00:14:04我还是很欣赏这些信息在理论上是公开的,这一点需要说清楚。
00:14:09总之,内置的沙箱功能允许你减小受灾范围,
00:14:17这非常重要,因为考虑到目前无法根除的提示词注入漏洞,
00:14:27减小受灾范围是关键。
00:14:34例如,如果你使用了沙箱,并在 VPS 上运行,最坏的情况
00:14:40也就是沙箱里的东西被删了,或者视设置而定,
00:14:46可能是整个 VPS,但不会波及你的个人电脑系统。
00:14:50这就是为什么我绝不会在我的主电脑上运行 OpenClaw。
00:14:57我绝对不希望它把我电脑里的文件或硬盘抹掉。
00:15:02所以,减小受灾范围很重要,但不幸的是,这仍然无法防御某些极端情况。
00:15:10因为通过提示词注入攻击,攻击者不仅可以尝试删除你的文件,
00:15:15更糟糕的是,他们可以窃取你的数据。
00:15:19在我看来,数据外泄比攻击者删除文件是个更严重的问题。
00:15:31数据外泄百分之百可能通过提示词注入攻击实现,
00:15:39因为攻击者可以让 AI 搜集它知道的所有秘密、
00:15:44所有密码。而它必须知道一些密码才能使用
00:15:49你的电子邮箱,或者你给了它信用卡号,所以它能接触到
00:15:55各种各样的数据。这些数据可能会因提示词注入攻击而被搜集
00:16:01并发送出去。
00:16:04即使你设置得当,这依然是比抹除硬盘更大的风险。
00:16:12当然,它还能做别的事。
00:16:14比如把你的 VPS 变成 DDoS 攻击的肉鸡。
00:16:21这只是一个例子,能做的事情无穷无尽。
00:16:26核心在于,通过提示词注入,攻击者可以控制你的机器人,从而控制你的机器。
00:16:36他们可以让机器人安装恶意软件,根据它的权限等级
00:16:42篡改系统配置,然后彻底接管你的
00:16:47VPS 或个人电脑。
00:16:49这些都是可能发生的。
00:16:52所以,“访问权限”是这里的关键词,而沙箱是其中的关键一环。
00:17:00但这并不是全部。
00:17:01你可以配置 OpenClaw 机器人在沙箱模式下运行特定任务时,
00:17:09必须请求你的批准。
00:17:14但这在某种程度上违背了机器人的初衷——即在你不在时,
00:17:19在后台帮你办事。因为你得不断地为它想做的
00:17:26各种事情提供授权。
00:17:29这显然会变得非常烦人,所以你可能根本不再看它请求的是什么,
00:17:33而是一律批准,或者干脆关掉这个功能,
00:17:38因为它太打扰你了。
00:17:39再说一次,如果事事都要手动批准,它也就没什么用了。
00:17:44所以,结合这些安全问题,以及我没能找到一种让自己满意的
00:17:52安全运行方式,再加上我确实没发现什么
00:17:58令人惊艳的用途。
00:18:01综合这些因素,结果就是我不再使用 OpenClaw 了。
00:18:07当然,你的情况可能不同。我读到过很多兴奋不已的帖子,
00:18:11没错,也许未来个人 AI 助手的样子确实就像这样。
00:18:19也许未来能发明出更好的安全机制,不需要你
00:18:27时时刻刻批准每一件事,或者让批准过程更便捷,
00:18:34从而让你能安全地运行这类助手。
00:18:38这些都是有可能的。
00:18:39我不排除这种情况会发生。
00:18:43而且,仅凭一个开发者就做出这个工具,确实是一项了不起的成就。
00:18:48不过,正如许多 Bug 和安全问题所显示的,完全不进行代码审查
00:18:56确实是有代价的。
00:18:59并不是说审查了所有代码软件就没安全问题了,
00:19:05但我认为,完全不看代码肯定没好处。
00:19:09但不管怎样,这确实是一个了不起的成就。如果你问,为什么 OpenAI
00:19:14或 Google 没做出这样的产品,原因可能是创新动力不足,
00:19:20但也因为这样的工具目前只能以开源软件的形式存在,
00:19:26不需要承担法律责任。因为这种拥有广泛权限的东西,
00:19:34Google 根本没法拿出来卖,也没法替你运行。
00:19:38当然,这很有可能是一次最初的火花,在未来带给我们更安全、
00:19:44也许更有用的个人 AI 助手。
00:19:50顺便提一下 Moltbook,那是个我完全没看懂的东西。
00:19:58它号称是一个纯 AI 的社交网络,但后来发现其实
00:20:05是人为操纵的,而且据我了解有很多虚假成分,甚至有严重的安全漏洞。
00:20:14AI 确实有积极的一面,或者说积极的影响,
00:20:24但我猜 AI 也有很多消极的影响。
00:20:29在我看来,这个世界并不需要 Moltbook 那种东西。
00:20:33但 OpenClaw 绝对很有趣,也许对你非常有用,但目前
00:20:41真的不是我的菜。