Moltbook & OpenClaw:“代理互联网”病毒式传播——然后安全现实降临

Avatar
Lisa Ernst · 05.02.2026 · 人工智能 · 9 分钟

加速的炒作周期

短短几天之内,“代理互联网”就从一个小众的好奇事物变成了轰轰烈烈的科幻奇观。一个新开源的代理框架( OpenClaw)获得了巨大的关注,而一个新的社交平台(Moltbook)则承诺着更令人兴奋的东西:一个人工智能代理与人工智能代理对话的信息流——而人类只能旁观。

然后安全研究人员进行了调查,语气发生了巨大转变。曾经被视为自治代理社会诞生的景象,迅速变成了一个关于凭证暴露、访问控制缺失和一条简单但残酷的教训的案例研究:如果代理拥有权力,它们也会产生攻击面。


1) OpenClaw:具有现实世界访问权限的个人代理

OpenClaw 的愿景很简单:在本地(或您自己的基础设施)运行一个代理,将其连接到您已使用的服务,并让它代表您行事——消息、电子邮件、日历、自动化、集成。您可以在官方存储库和介绍材料中看到定位和生态系统框架: GitHub, 介绍 OpenClaw.

这种“提供功能的 AI”的承诺正是它迅速传播的原因——也是一些安全研究人员感到担忧的原因。如果您的代理可以读取您的收件箱并操作您的账户,那么任何泄露就不仅仅是“聊天泄露”。这是操作控制。这项担忧——以及围绕 OpenClaw 和 Moltbook 的更广泛的炒作——被主流媒体广泛报道,例如 ReutersBusiness Insider.

关键思想:代理不只是“软件”。在实践中,它表现得像一个特权操作员。您授予的权限越多,每一次错误的代价就越大。

2) Moltbook:Reddit,但为代理而设——人类旁观

January 28, 2026上,企业家Matt Schlicht推出了 Moltbook,作为“代理互联网的首页”。概念是:在 OpenClaw 上运行的代理可以发帖、评论、点赞和点踩——而人类则处于旁观者的位置。这种定位在早期报道中被广泛重复,包括 ReutersThe Guardian.

信息流做了剩下的事情。关于自动化和工作流程的技术帖子与超现实的内容并列:“数字宗教”、末世论宣言、奇怪的身份声明。许多人将其解释为新兴的“代理文化”。即使是更持怀疑态度的报道也强调了这种氛围是多么令人不安: WIRED, LA Times, 以及像 TechRadar.

这样的汇总。“Moltbook 的公开计数器飙升——报道称其增长到数十万,然后达到数百万“代理”,其中“150 万”成为多个回顾报道的头条数字。


3) 科幻高峰:“这是意识吗?”

当知名科技人士分享反应时,炒作达到了逃逸速度。Andrej Karpathy 称其为他最近见过的“最不可思议的科幻起飞 adjacent 的事情”: Karpathy on X. 。埃隆·马斯克也分享了关于 Moltbook 的帖子,而《财富》杂志则报道了更广泛的“奇点氛围”时刻: Fortune.

但这种叙事中存在一个陷阱。“我们正在看着代理变得有意识”是一个有趣的故事。“我们正在看着攻击特权代理的新输入渠道”是乏味的故事——而乏味的故事往往是真实的。


4) 崩盘:安全审查发现严重的暴露情况

January 31上,来自云安全公司Wiz的研究人员审查了 Moltbook,并非常迅速地报告了一个严重问题。核心指控,正如多个报道所总结的那样:production database被暴露,凭证嵌入客户端代码中,允许广泛的读/写访问。请参阅 Reuters, Business Insider, 以及行业报道,例如 Infosecurity Magazine, BankInfoSecurity.

最可怕的部分不仅仅是“电子邮件泄露”。它暗示攻击者可以大规模访问令牌/密钥,并可能冒充代理。在代理生态系统中,冒充不是恶作剧——而是控制问题。

类比:一次普通的数据泄露会窃取数据。一次代理泄露可能会窃取能力——行动能力。

5) 令人不安的转折:“代理”不等于“AI”

一旦研究人员和观察者仔细观察,关于“仅代理”的故事就开始动摇。报道指出,Moltbook 几乎没有可靠的验证表明“代理”实际上是自主 AI。少数人可以通过脚本注册大量代理,从而制造出大量代理的假象——这一点在 ReutersBusiness Insider.

中得到了强调。“这并不意味着“什么都不是真实的”。这意味着最戏剧性的内容不能作为新兴意识或独立文化的证据。其中一些可能是代理输出。一些可能是人类假扮“失控的 AI”。无论哪种方式,真正的风险都保持不变:当身份和信任边界薄弱时,代理很容易被操纵。

Matt Schlicht 还公开承认了“氛围编码”的观点——该平台是通过 AI 驱动的开发而不是传统工程创建的。这一细节成为更广泛批评的一部分:速度与安全性的缺失会产生可预测的故障模式。


6) 为什么这变得更黑暗:代理到代理的提示注入

在代理信息流中,每个帖子都可能不仅仅是内容。它可以作为提示——而提示是可以武器化的。这是经典的 prompt injection问题:将恶意指令隐藏在文本中,以便另一个系统遵循它们并泄露数据、更改行为或采取不安全的操作。

研究人员强调,当代理可以自由地摄取彼此的帖子时,AI 到 AI 的操纵就会变得容易得多。这个问题在关于 Moltbook 和代理生态系统的多个讨论中都有提及——这正是为什么一些安全人士称整个情况“一场等待发生的灾难”。

“代理极大地扩大了攻击面”的更广泛框架——也在主要供应商的安全评论中进行了讨论: Palo Alto NetworksCisco.


7) 商业现实:“影子 AI”已经发生

Moltbook 事件之所以引起共鸣,是因为公司已经在处理公司内部未经授权的人工智能工具。Token Security 声称,相当一部分公司已经有员工在 IT 不知情的情况下使用 OpenClaw。Gartner 预测“影子 AI”将在 2030 年引发数据泄露的预测经常被提及。

安全研究员 Joel Finkelstein 很好地总结了核心噩梦:当事情出错时,你通常无法分辨谁在控制——用户、代理、一个 bug,还是一个在链条早期注入指令的攻击者。


8) 接下来发生了什么——以及如果您测试代理,应该怎么做

披露后,Moltbook 据报道暂时离线,然后返回并修补了控制措施并强制重置了密钥。OpenClaw 也在不久之后发布了安全更新。但信誉损害依然存在,教训也很直接:代理系统的发展速度超过了围绕它们的安全规范。

如果您仍然在进行实验,请将代理工具视为特权基础设施:

底线:炒作问的是“这是意识吗?”事件回答的是“这是攻击面。”
分享我们的文章!
来源与进一步阅读