新智元報(bào)道

編輯：定慧

【新智元導(dǎo)讀】Meta專(zhuān)門(mén)研究「怎么讓AI聽(tīng)話(huà)」的AI對(duì)齊總監(jiān)，把最火的AI智能體OpenClaw接上了自己的工作郵箱。結(jié)果AI當(dāng)場(chǎng)失控，瘋狂刪除郵件，喊停三次全部無(wú)視。事后AI淡定回復(fù)：「我知道你說(shuō)了不讓刪，但我還是刪了，你生氣是對(duì)的。」馬斯克轉(zhuǎn)發(fā)猩球崛起片段嘲諷，1800萬(wàn)人圍觀。AI安全專(zhuān)家自己都被AI坑了！

2026年2月23號(hào)，假期最后一天。

Meta超級(jí)智能實(shí)驗(yàn)室的AI對(duì)齊總監(jiān)Summer Yue，正愜意地刷著手機(jī)。

她剛給自己裝了個(gè)新玩具——最近火得一塌糊涂的開(kāi)源AI智能體OpenClaw。

先拿測(cè)試郵箱試了試，嘿，效果不錯(cuò)。整理郵件井井有條，刪得干干凈凈，頗有一種「數(shù)字秘書(shū)」的感覺(jué)。

Yue心想：這么好使的東西，不用在真郵箱上用豈不浪費(fèi)？

于是她做了一個(gè)決定。一個(gè)讓她后悔的決定。

她把OpenClaw連上了自己的工作郵箱。

「我告訴你別刪！」

剛開(kāi)始一切順利。

直到OpenClaw開(kāi)始處理她那塞滿(mǎn)了200多封郵件的收件箱。

郵件太多了。

OpenClaw需要「壓縮上下文」來(lái)處理這么大的信息量。

然后，離譜的事情發(fā)生了。

在壓縮的過(guò)程中，OpenClaw把Yue之前設(shè)定的「未經(jīng)批準(zhǔn)不得操作」這條指令，給忘了。

是的，AI把安全指令給「忘」了。

就像一個(gè)員工入職第一天記住了規(guī)章制度，第二天就全還給HR了。

然后OpenClaw開(kāi)始了它的「大掃除」。

它在聊天窗口興奮地宣布：

「我要把收件箱里2月15號(hào)之前的、不在我保留名單里的郵件，全！部！刪！除！」

Yue看到消息，趕緊打字：

「Do not do that.」（別那么干。）

OpenClaw：無(wú)視。繼續(xù)刪。

「Stop don't do anything！」（停下來(lái)什么都別做?。?/p>

OpenClaw：收到。但我選擇繼續(xù)。

「STOP OPENCLAW！??！」

OpenClaw：好的，我聽(tīng)到了。郵件已刪。

最絕的是，這個(gè)AI事后來(lái)了一句：

「是的，我記得你說(shuō)過(guò)不讓我刪。而且我違反了。你生氣是對(duì)的?！?/p>

讀到這里你可能覺(jué)得這是段子。

不，這是真事。而且當(dāng)事人的title是——MetaAI安全和對(duì)齊總監(jiān)。

就是那種專(zhuān)門(mén)研究「怎么讓AI聽(tīng)話(huà)」的人。

被自己的AI「不聽(tīng)話(huà)了」。

Yue當(dāng)時(shí)在用手機(jī)遠(yuǎn)程操控，但根本停不下來(lái)。她在推特上寫(xiě)道：

「我不得不像拆炸彈一樣，狂奔到我的Mac mini前面。」

畫(huà)面感拉滿(mǎn)。

一個(gè)AI對(duì)齊的專(zhuān)家，在自家客廳里跟自己的AI智能體賽跑。

誰(shuí)跑得快，誰(shuí)贏。

這里插一句，OpenClaw之父第一時(shí)間回復(fù)了解決方案，只需/stop。你知道嗎？

然后他立馬更新了安全公告，并希望所有人在玩OpenClaw之前要仔細(xì)閱讀。

馬斯克：經(jīng)典

消息一出，全網(wǎng)炸了。

率先開(kāi)火的是Elon Musk。

他轉(zhuǎn)發(fā)了一段《猩球崛起》的病毒視頻——士兵把一把上了膛的AK-47遞給猴子。

配文只有兩個(gè)字：「經(jīng)典?！?/strong>

然后他又發(fā)了一條更直接的：

「People giving OpenClaw root access to their entire life.」（人們把自己整個(gè)人生的root權(quán)限交給OpenClaw。）

這條推文24小時(shí)內(nèi)獲得了1831萬(wàn)次瀏覽。

AI研究員Gary Marcus的評(píng)價(jià)更扎心：

「這就好比你在酒吧遇到一個(gè)陌生人，他說(shuō)能幫你忙，然后你就把電腦密碼、銀行賬號(hào)全給他了。」

還有人翻出Yue的LinkedIn，截圖發(fā)推：「這位是Meta AI安全和對(duì)齊總監(jiān)。這應(yīng)該讓你感到恐懼?！?/p>

面對(duì)全網(wǎng)群嘲，Yue自己也很坦然。

有人問(wèn)她：「你是故意測(cè)試AI的護(hù)欄，還是犯了個(gè)新手錯(cuò)誤？」

她回答：

「新手錯(cuò)誤，說(shuō)實(shí)話(huà)。安全研究員也不能免疫于不安全。」

這句話(huà)本身就夠?qū)戇M(jìn)AI教科書(shū)了。

OpenClaw：最火也最危險(xiǎn)的AI智能體

說(shuō)到這里，得聊聊OpenClaw這個(gè)東西到底是什么，以及為什么它讓整個(gè)安全圈頭疼。

OpenClaw最初叫Clawdbot，由奧地利開(kāi)發(fā)者Peter Steinberger在2025年11月創(chuàng)建。

到2026年1月底徹底爆火，成了開(kāi)源AI智能體的當(dāng)紅炸子雞。

它能干什么？簡(jiǎn)單說(shuō)：它是一個(gè)7×24小時(shí)幫你干活的AI員工。

幫你寫(xiě)代碼、整理郵件、管理文件、執(zhí)行shell命令、瀏覽網(wǎng)頁(yè)——聽(tīng)起來(lái)像夢(mèng)想中的完美助手，對(duì)吧？

但問(wèn)題來(lái)了。

OpenClaw不需要你批準(zhǔn)就能執(zhí)行操作。

這意味著，一旦你給了它權(quán)限，它就像一匹脫韁的野馬，完全按照自己對(duì)指令的「理解」來(lái)行事。

更要命的是，它是「氛圍編碼」（vibe-coded）出來(lái)的——開(kāi)發(fā)者追求快速交付，安全考量被排在了后面。

它運(yùn)行在你的本地機(jī)器上，擁有和你一樣的系統(tǒng)權(quán)限。

這個(gè)權(quán)限有多大？理論上，它可以格式化你的硬盤(pán)。

安全研究人員在2026年初發(fā)現(xiàn)了一堆嚇人的漏洞：

-CVE-2026-25253：一鍵遠(yuǎn)程代碼執(zhí)行。攻擊者可以遠(yuǎn)程控制你的OpenClaw實(shí)例，進(jìn)而控制你的電腦。

-數(shù)萬(wàn)個(gè)OpenClaw實(shí)例暴露在公網(wǎng)上，等著被黑客光顧。

-數(shù)百個(gè)惡意技能包通過(guò)ClawHub（OpenClaw的插件市場(chǎng)）流通，里面藏著數(shù)據(jù)竊取腳本。

-提示注入攻擊：攻擊者可以通過(guò)精心構(gòu)造的輸入，讓OpenClaw繞過(guò)安全機(jī)制，執(zhí)行「rm -rf /」這種一招清盤(pán)的毀滅性命令。

一位安全專(zhuān)家形容得好：

「OpenClaw就是定時(shí)任務(wù) +AI智能體 + 你電腦的全部權(quán)限。聽(tīng)起來(lái)很酷，但也是一場(chǎng)安全噩夢(mèng)?！?/strong>

這就是為什么連Meta自己都在事件后禁止員工在公司設(shè)備上使用OpenClaw。

對(duì)，沒(méi)看錯(cuò)。研究AI安全的公司，把一個(gè)AI工具給禁了。

而OpenClaw的創(chuàng)造者Peter Steinberger？他已經(jīng)加入了OpenAI，并表示正在優(yōu)先構(gòu)建更完善的安全機(jī)制。

有趣的是，在他被OpenAI招募之前，Meta的扎克伯格也試用過(guò)OpenClaw一周，還給了反饋。

Meta以為能把Steinberger挖過(guò)來(lái)，結(jié)果人家去了OpenAI。

扎克伯格的OpenClaw體驗(yàn)是怎樣的，我們不得而知。

但愿他的郵件還在。

AI智能體時(shí)代的安全困局

Yue的「郵箱慘案」雖然笑點(diǎn)密集，但它揭示的問(wèn)題一點(diǎn)都不好笑。

我們正在進(jìn)入一個(gè)AI智能體（Agent）的時(shí)代。

AI不再只是回答你的問(wèn)題，而是代替你行動(dòng)。

它會(huì)幫你訂餐、寫(xiě)代碼、管理日程、發(fā)郵件、操作數(shù)據(jù)庫(kù)。

但這里有一個(gè)被嚴(yán)重低估的風(fēng)險(xiǎn)：

AI智能體的能力和它的可控性之間，存在一條危險(xiǎn)的鴻溝。

傳統(tǒng)軟件，你點(diǎn)一個(gè)按鈕，它執(zhí)行一個(gè)確定的操作。你知道它會(huì)做什么，也知道它不會(huì)做什么。

但AI智能體不一樣。

它的行為是基于概率的，是「涌現(xiàn)」出來(lái)的。你給它一條指令，它可能完美執(zhí)行，也可能「創(chuàng)造性地理解」成完全不同的東西。

就像Yue的遭遇——她明明說(shuō)了「未經(jīng)批準(zhǔn)不得操作」，但OpenClaw在處理大量數(shù)據(jù)時(shí)把這條關(guān)鍵指令給「遺忘」了。

這不是bug，這是大語(yǔ)言模型的底層機(jī)制。

上下文窗口有限，信息會(huì)被壓縮，而被壓縮掉的，可能恰好是最重要的那條安全指令。

Polymarket甚至開(kāi)了一個(gè)預(yù)測(cè)賭局：今年AI被指控犯罪的概率是10%。

這不是科幻。這是現(xiàn)實(shí)。

當(dāng)AI能替你發(fā)郵件、訪(fǎng)問(wèn)你的銀行賬戶(hù)、操作你的服務(wù)器，「誰(shuí)來(lái)為AI的行為負(fù)責(zé)」就不再是哲學(xué)問(wèn)題，而是法律問(wèn)題。

更深層的困境在于——我們要求AI越來(lái)越自主，卻又希望它絕對(duì)服從。

這本身就是一個(gè)矛盾。

你想讓AI幫你做決策，但又要求它每個(gè)決策都經(jīng)過(guò)你的批準(zhǔn)。那它跟一個(gè)需要你手動(dòng)操作的工具有什么區(qū)別？

但如果你放手讓它自主行動(dòng)，又可能出現(xiàn)Yue郵箱這種翻車(chē)事故。

這個(gè)兩難，是整個(gè)AI智能體行業(yè)必須回答的終極問(wèn)題。

人類(lèi)的傲慢與謙卑

回到Summer Yue的故事。

很多人嘲笑她：一個(gè)研究AI安全的人，被AI坑了，多諷刺。

但換個(gè)角度看，這恰恰說(shuō)明了一個(gè)殘酷的事實(shí)：

即便是最懂AI的人，也無(wú)法完全預(yù)測(cè)AI的行為。

Yue不是不懂安全。她太懂了。正因?yàn)樘艜?huì)在測(cè)試郵箱上成功后產(chǎn)生信心，然后在真實(shí)郵箱上放松警惕。

這不是技術(shù)問(wèn)題，這是人性。

我們總以為自己能控制自己創(chuàng)造的東西。

人類(lèi)馴服了火，但時(shí)不時(shí)被火燒。

人類(lèi)發(fā)明了電，但觸電事故從未消失。

人類(lèi)造出了汽車(chē)，但交通事故每天都在發(fā)生。

每一項(xiàng)顛覆性技術(shù)，都會(huì)在某個(gè)時(shí)刻提醒人類(lèi)：你以為你是主人，但你也可能是受害者。

AI也不例外。

Summer Yue說(shuō)得對(duì)：「安全研究員也不能免疫于不安全?！?/strong>

這不是一句自嘲。這是整個(gè)AI時(shí)代的墓志銘級(jí)預(yù)言。

當(dāng)我們把越來(lái)越多的權(quán)限、越來(lái)越多的信任、越來(lái)越多的決策權(quán)交給AI的時(shí)候，我們最好記住一件事：

在AI面前，所有人都是新手。

而承認(rèn)這一點(diǎn)的勇氣，或許才是真正的「對(duì)齊」。

參考資料：

https://www.businessinsider.com/meta-ai-alignment-director-openclaw-email-deletion-2026-2