热潮之下的三重风险

其一，个人风险：大多数人不知道自己在冒什么险

安装OpenClaw的用户中，绝大多数并非技术从业者。他们跟着教程一步步操作，成功跑起来了一个AI助手，却很少有人意识到，自己刚刚把电脑的完整操作权限交给了一个自己并不了解的程序。

偏偏这个程序的默认安全配置很弱。沙箱功能需要额外手动启用，AI Agent直接以用户的完整权限运行，能读写文件、执行系统命令。API密钥、OAuth令牌等敏感凭证以明文JSON存储在本地，恶意软件可以直接读取。OpenClaw的技能市场ClawHub上，安全机构审计发现大量技能包内含恶意代码，装上就可能被远程控制。

对OpenClaw的盲目追捧使人想起90年代的“气功热”

Meta超级智能实验室对齐总监Summer Yue——其工作职责正是研究如何确保AI遵从人类价值观——在使用OpenClaw AI智能体整理邮箱时亲历了一次失控事故：她明确指示该智能体须经她批准方可删除任何邮件，但当邮箱体量触发了系统的上下文压缩机制，原始安全指令在压缩过程中被抹除，智能体随即开始批量删除邮件。Yue从手机上接连发出“停止”指令，均被无视；她不得不到电脑旁边强制终止所有进程，事后被她比作“拆炸弹”。此次失控共导致逾200封个人邮件被删除。事件的技术根源在于OpenClaw的管理架构缺陷。

其二，产业风险：强监管行业的四重困境

随着OpenClaw从个人工具走向产业应用，风险也跟着升级。

第一，“影子IT”正在绕过企业的安全防线。员工有可能无需IT部门审批，就能在办公电脑上部署OpenClaw并接入公司内部系统。第二，数据泄露的通道打开。AI Agent执行任务时需要读取文件、调用接口，涉密数据和商业机密可能通过模型API外流，多数使用者对此毫无察觉。第三，AI的“幻觉”问题在行业实践中不可接受。金融领域对数据准确性要求极高，医疗系统容不得一个错误的用药建议，能源调度更不能容忍“一本正经的胡说八道”。第四，出了事故的责任链条是模糊的。开源框架开发者、模型提供商、技能插件作者、部署企业、最终使用者，到底谁负责？目前尚无明确的法律框架来界定各方责任。

其三，主权风险

当政府机关和关键基础设施也开始使用这类工具，问题的性质就不只是个人隐私或企业合规了。数据主权、技术自主、供应链安全，在AI Agent时代值得及早、深入地思考。

安全底线上的快速发展

说了这么多风险，是不是意味着OpenClaw不该用？并不是。

如果仔细阅读国家互联网应急中心和工信部接连发布的安全预警，会发现里面其实并没有使用“禁止”或“叫停”这样的字眼，而是建议：强化网络控制、加强凭证管理、严格管理插件来源以及持续关注补丁和安全更新等。工信部专家强调的是：“一定要把安全底线把握在自己手中”。

好消息是，国产AI Agent框架已经在快速跟进，而且在安全性上比原版OpenClaw做得更扎实。多款国产方案将沙箱隔离设为默认开启；用户数据保留在本地，不经云端传输，从架构上堵住了数据外流的口子；高风险操作要求手机端二次确认，用户对AI的每一步关键动作都有知情权和否决权。易用性上，原版OpenClaw依赖庞大的代码库和复杂的环境配置，国产方案普遍做到了一键部署、开箱即用，有的将核心代码做了大幅精简。生态适配上，微信、飞书、钉钉等国内主流办公平台被原生打通，不用再绕道海外通讯工具。

用好OpenClaw的两个提醒

最后聊一个同样重要但容易被忽视的问题：同样是OpenClaw，为什么有人觉得“什么都能干，真好用”，有人觉得“不过如此，尝试后即放弃”？差距往往出在两件事上。

第一，选对模型。

回到本文开头的比喻：OpenClaw是四肢和五官，大语言模型才是大脑。四肢再灵活，如果大脑跟不上，Agent就像一个体力充沛但理解力不足的实习生。

模型之间的差距比多数用户想象的要大得多。以工具调用（Function Calling）为例，顶级模型能准确理解多步骤指令、在复杂场景下自主决策调用哪个工具、以什么顺序执行；而能力较弱的模型可能在第一步就理解错了意图，后续全部动作跟着跑偏。再比如长上下文保持能力——Agent需要在一个持续运行的会话中记住大量背景信息，上下文窗口不够大或注意力衰减明显的模型，会忘掉关键指令，这正是Summer Yue邮件事故的技术根源之一。

不同任务对模型能力的要求也不同：日常闲聊和简单提醒，轻量模型足够；但涉及代码编写、多工具协同、复杂数据分析的场景，模型的推理深度和指令遵从能力就成了决定性因素。好消息是，随着国产模型能力的快速提升和推理成本的大幅下降，“用好模型”的经济门槛正在降低，但“选对模型”的认知门槛依然存在—用户需要根据自己的使用场景，有意识地测试和匹配，而这需要在大量使用中积累经验、反复试错。

第二，耐心养好自己的“小龙虾”。

OpenClaw不是一个装完就能直接满血运行的工具，它更像一个刚入职的助理—能力框架有了，但还不了解你。让它真正变成懂你的助手，需要用户做一件传统软件从不要求的事：清晰地认识并表达自己。

OpenClaw的记忆体系由几个关键文件组成，每一个都在塑造助手的行为：

SOUL.md—定义助手的灵魂：它的性格、语气、行事原则。你希望助手严谨专业还是轻松幽默？遇到模糊指令时应该主动追问还是自行判断？这些看似细微的设定，直接影响日常协作的体验。

USER.md—描述你自己：你的职业背景、工作节奏、沟通偏好、常用工具、关注领域。写得越具体，助手就越懂你。

Agent.md（或对应的系统提示文件）—规定助手的操作边界：哪些事可以自主执行，哪些必须确认后再做，哪些绝对不能碰。这是安全与效率之间的平衡点。

MEMORY.md—助手的长期记忆：随着使用不断积累你的偏好、历史决策、重要上下文。

这些文件的完善不是一次性的工作，而是持续迭代的过程。刚开始可能只写了几行，用了一周之后你会发现哪些描述不够精准、哪些规则需要补充、哪些偏好值得记录。养小龙虾的本质，是一次强迫自己“结构化认知自我”的练习—你越了解自己想要什么，助手就越能成为你的延伸。

换句话说，AI Agent时代对用户提出了一个新要求：不只是会用工具，还要会描述自己。这或许是OpenClaw带来的一个意外收获。

总的来说，AI Agent的方向没有问题，给大脑装上四肢的演进不会倒退，只会迭代得越来越快。但每一次能力进化都伴随新的风险敞口——个人要看清自己交出去的权限，企业要守住数据和合规的底线，行业要把安全从事后补丁变成出厂设定。冷思考并不是泼冷水，而是为了让这只小龙虾跑得更稳、走得更远。

本文系观察者网独家稿件，文章内容纯属作者个人观点，不代表平台观点，未经授权，不得转载，否则将追究法律责任。关注观察者网微信guanchacn，每日阅读趣味文章。