82
0这几个月,很多人第一次对 AI 产生了同一种复杂情绪:一边兴奋,一边发毛。
兴奋是因为,AI 终于不只是陪你聊天了。
它开始真的替你做事。整理文件、调用权限、跑任务、写邮件、安插件、接工作流,它不再只是给建议,而是直接下场执行。
发毛也是因为这个。
过去我们担心 AI,主要是担心它"说错"。现在真正让人紧张的,是它做错。
说错一句话,最多误导你。
删错一批文件、暴露一个端口、接管一个权限、装进一个被投毒的 skill,后果就完全不是一个量级了。
这也是为什么,围绕 OpenClaw 的争议,表面上看是在讨论安全,实际上讨论的是另一件事:
当 AI 开始接管电脑,
风险就从内容层,
第一次升级到了执行层。
这场访谈里,坐着三个人。
非凡资本的赵亮 Abner 负责把问题抛出来,财经媒体人兰序负责把问题追深,真正把这件事讲透的,是万径安全创始人司红星。访谈一开场,三个人的身份就已经摆明了,讨论也很快进入核心:OpenClaw 到底是一次生产力革命,还是一次被低估的安全预警。
我听完整场访谈后,想到的不是"OpenClaw 很危险",也不是"大家赶紧去养虾"。
而是:
OpenClaw 第一次把 AI 的风险,
从"答错题"变成了"做错事"。
这才是这场访谈真正有价值的地方。
这次监管为什么反应这么快
很多人对这波监管有点意外。
但司红星的解释其实很直接:
这不是普通的漏洞预警,也不是传统意义上的一次软件安全事件。它对应的是一种新型风险——AI 自主执行带来的系统性风险。3 月 8 日到 3 月 11 日连续预警,在他看来非常罕见,但也非常合理。因为这次不只是"一个工具有漏洞",而是"一个能直接执行任务的 AI,正在被大量普通人交出权限"。
这两件事的区别,决定了监管逻辑也完全不一样。
聊天型 AI 出错,通常是内容风险。
它可能事实说错,判断偏掉,甚至一本正经地胡说八道,但大多数时候,问题还停留在"生成层"。
OpenClaw 不一样。
它一旦出错,可能就是删文件、泄露信息、误调用系统权限,甚至把操作系统暴露给不该暴露的人。司红星在访谈里说得很清楚:这已经不是原来的内容风险,而是执行风险。
这就是这轮监管最核心的背景。
不是在打压 AI。
而是在提醒所有人:
当 AI 能替你操作系统,
安全就不再是附加题,而是必答题。
OpenClaw 为什么会让人又兴奋又紧张
我很喜欢司红星讲的一句话。
他说,自己第一次接触 OpenClaw 时,第一感觉就是"兴奋又紧张"。
兴奋在于,终于有人把 AI 从聊天框里拽了出来。
过去大家讲智能体,很多时候还停留在 workflow、自动化、演示视频、PPT 和概念层。OpenClaw 不一样,它直接把 AI 推到了执行层。不是帮你想,而是帮你做。它甚至改变了人和电脑交互的方式,也让更多普通人第一次真正感受到 Agent 带来的冲击。
因为一旦 AI 不只是回答问题,而是接管权限、读写文件、调用接口、跑系统流程,它获得的就不只是上下文,而是行动能力。司红星在访谈里提到,过去连他们自己做产品时,也从来没想过"把所有权限默认交给 AI"。OpenClaw 最让安全从业者警觉的,不是它聪明,而是它在便捷和安全之间,明显先选了便捷。
这也是 OpenClaw 爆火的真正原因。
不是因为它最稳。
而是因为它最先把"AI 员工"这件事做得足够直观。
你只要一句话,它就去动。
这很爽。
但也正因为这样,它第一次把风险从"模型幻觉"升级成了"执行事故"。
真正麻烦的,不只是这只虾,而是它背后整条供应链
这场访谈里,赵亮 Abner 提了一个很关键的问题:
今天大家最容易忽视的,不是 OpenClaw 本身,而是它背后的skill 市场、第三方插件、依赖包、组件链路。
司红星的回答也很硬。
他的意思大概可以浓缩成一句话:
只要是人能输入、能上传、能修改的地方,
就都可能成为攻击入口。
很多普通用户天然会有一种错觉:
• 平台上的 skill 看起来像官方生态;• 热门开源组件看起来像成熟方案;• 知名开发者发布的东西看起来也像可信内容。
但安全世界的原则恰恰相反。
默认不可信,才是起点。
司红星在访谈里明确说,他们自己对社区插件的处理原则,就是"所有上传内容默认不可信",先 AI 审核,再人工复核,最后白名单放行。
问题就在这里。
OpenClaw 的很多用户,不具备这样的判断力。
他们会默认 ClawHub 上的 skills 是可信的,会默认社区生态已经替他们做过筛选。但如果平台审核机制弱、发布者账号被劫持、依赖链路被投毒,最终出事的时候,普通用户几乎没有能力提前识别。
而且这还不是全部。
司红星还提到一个更底层的问题:
你今天安装 OpenClaw,风险不一定来自某个 skill,也可能来自它依赖的第三方组件。因为它本身就建立在一大堆开源依赖之上,只要其中某个组件升级时被埋了后门,安装过程本身就可能已经不安全。
这就是为什么供应链问题比很多人想得更麻烦。
你以为你装的是一个工具。
实际上你装进去的,
是一整串你未必看得懂、也未必能审计的外部代码。
关键行业为什么会特别谨慎
谈到这里,兰序追问了一个很重要的问题:
金融、能源、运营商这些行业,现在到底怎么看 OpenClaw?
司红星给出的回答,其实特别现实。
这些行业不是不想用。
恰恰相反,他们非常想用。因为他们也知道,这不是一个小功能升级,而是一轮真实的生产力变化。谁先适应,谁就可能在下一轮组织效率竞争里抢到位置。
但他们也不敢乱用。
原因很简单:
一线员工一旦把权限随手交出去,泄露的可能不是普通资料,而是 API、业务数据、敏感流程,甚至是关键基础设施相关的信息。对这些行业来说,问题从来不是"好不好玩",而是"出了事谁来承担后果"。
所以现在更常见的状态不是全面拥抱,也不是全面封死,而是:
"
让少数有安全意识的人,在有限范围内先试。不是为了立刻把它大规模塞进生产系统,而是先让组织感受到这场变化,理解这种新工具会怎么改写工作方式。
司红星在访谈里明确说,他感受到很多管理层已经认了这件事:生态必须接入,只是权限必须先管控。
这个判断很重要。
因为它意味着,真正成熟的组织反应,不是一刀切,也不是立刻全员上马。
而是先做一件更难但更对的事:
把注定会进入组织的能力,先纳入治理。
大厂下场,能不能把问题一次性解决
很多人现在很容易抱一个希望:
既然大厂已经开始下场做"安全版龙虾",那是不是很快就能把这件事解决掉?
司红星的答案很明确:不会。
他的逻辑也很清楚。
如果你只是做应用层的管控,比如给 skill 市场加审核、给权限加围栏、给部署流程加一层安全壳,那当然有帮助。但问题在于,只在上层做管控,并不能替代底层风险的解决。
因为你今天拦住了某个被投毒的 skill,明天可能暴露的是底层依赖;你今天限制了某些调用权限,明天可能被挖出来的是框架本身的漏洞;你今天做了一个"安全部署助手",明天部署进去的依然还是那只原始龙虾。
司红星在访谈里打了个很形象的比方:
"
如果底层不是自主可控的,只在上层补漏洞,就像打地鼠。你按下去一个,另一个还会冒出来。
这句话其实把下一轮竞争的关键说透了。
以后大家拼的,未必是谁最像 OpenClaw。
而是谁能把底层真正做到可控。
"中国版 OpenClaw"到底应该看什么
这一段我觉得是整场访谈最有判断力的部分之一。
赵亮 Abner 提到,国内已经有厂商在做"中国版 OpenClaw",问题是:这种替代到底靠不靠谱?
司红星给出的标准非常明确:
别先看长得像不像,
先看底层是不是自己写的。
他讲得很细。
所谓底层,不只是界面,不只是一个控制面板,也不只是接了几个国产模型。真正要看的,是规划执行、反思、记忆、知识管理、执行沙箱、依赖组件、调用链和权限机制,到底是不是自主可控。
这套标准很残酷,但也很现实。
因为只要你底层还是套国外开源框架,就仍然可能引入第三方组件风险,仍然可能被逆向,仍然可能在关键环节被投毒。
所以问题不是"能不能做一个看起来像 OpenClaw 的产品"。
问题是:你做的是壳,还是底座。
这也是为什么司红星反复强调"自主可控"这四个字。
在关键行业里,大家真正关心的从来不是功能演示,而是可观测、可追溯、可审计、可管控。
AI 执行了什么,为什么执行,哪一步经过了授权,哪一步是自主完成,事后能不能回溯,出问题能不能定位,这些才决定它能不能进组织。
说白了,大家买的不是一个会干活的 AI。
大家买的是一个
出了事也讲得清楚的 AI。
普通人到底要不要养虾
这场访谈最有意思的一点,是它没有把结论推到极端。
不是"别碰"。
也不是"闭眼冲"。
司红星给普通用户的建议,反而很开放:
"
普通人可以大胆体验,但前提是别在工作电脑上乱来,别碰敏感数据,别把默认设置当安全设置。
他说得很实在。
如果你只是想让它帮你排日程、写邮件、整理文档、做旅行计划,这些场景完全可以试。因为这类使用带来的后果通常有限,更重要的是,它能帮助普通人尽快理解这场范式变化。
但如果你非要在生产电脑里玩,那最起码要守住三条底线:
• 先开启认证,不要裸奔;• 不要暴露公网端口;• 坚持最小权限原则,不要给它管理员级别的访问能力。
这三条不是高级建议。
这是最低门槛。
因为当一个 AI 已经开始真的执行操作时,安全不再是给专家准备的附加知识,而是每个使用者的基础常识。
企业最不该做的,是假装这事不存在
我很同意司红星对企业负责人的那段建议。
他说,不建议一刀切封禁。更合理的做法,是建立管控机制:先盘点谁在用,再明确哪些场景禁止使用,再提供替代方案。涉密场景、生产环境、核心系统,应该明确禁用;普通办公和体验性场景,则可以在可控范围内试行。
这套建议的高明之处在于,它没有装作"所有问题都解决了",也没有逃避"这件事迟早会来"。
因为 OpenClaw 代表的,不只是一个产品。
它更像一个提前到来的信号。
它告诉所有组织一件事:
AI 不会永远停留在聊天框里。
它迟早会进入流程、进入系统、进入权限、进入组织分工。
所以企业现在最不该做的,不是"要不要接入",而是"有没有准备好在接入之前先管起来"。
写在最后
我觉得这场由非凡资本赵亮 Abner、财经媒体人兰序和万径安全创始人司红星完成的访谈,最后最有价值的,不是一堆安全术语,也不是一串风险清单。
它真正说透了一件事:
Agent 时代已经开始了。
但能不能进产业、进组织、进真实业务,不取决于它会不会干活,而取决于它能不能被管住。
OpenClaw 这波最大的意义,可能不是让更多人开始"养虾"。
而是让所有人第一次看清,下一轮竞争不只是"谁更聪明",而是"谁更可控"。
谁先把这件事想明白,谁才算真的看懂了这只小龙虾。
AI 一旦开始执行,
安全就不再是外围问题,
而是产品能不能进入真实世界的门槛。
