不让OpenAI参与太多:开源智能体时代的治理、安全与认知护城河
2026-04-18 00:00:00
文章转载自"北大纵横"
作为OpenClaw项目的创始人兼BDFL(终身仁慈独裁者),Steinberger曾坦承:“梦境功能(Dreaming)的灵感,确实来自Anthropic源码泄露事件中的内部实现。”这句话轻描淡写,却揭示了一个被喧嚣掩盖的核心命题:在AI智能体时代,真正的风险不在于代码是否开源,而在于我们是否理解强大系统的使用边界与治理逻辑。 今天,咱们就从开源治理结构、安全认知偏差、工程哲学演进、认知护城河构建、智能体演化路径五个维度,穿透当前AI社区的集体焦虑,向大家回答一个根本性问题:当自动化系统具备数据访问、通信能力与自主决策权时,我们应如何设计信任机制,而非仅仅修补漏洞?“我现在最大的挫败感在于,整个行业都在试图把这个项目描绘成负面的东西。”Steinberger在演讲中坦言。 OpenClaw自2023年11月发布以来,GitHub Star数呈近乎垂直增长——5个月内吸引近2000名贡献者、3万次提交、即将突破3万个Pull Request。然而,随着Steinberger加入OpenAI,社区迅速发酵出“Closed Claw”的担忧。这并非无端猜疑。GPT系列闭源、Codex早期限制严格、API条款模糊且频繁变更。社区有充分理由警惕单一商业实体对关键基础设施的潜在控制。但Steinberger的回应出人意料地克制:“是我自己控制节奏。我可以从OpenAI拉更多人来帮忙,但那样会让人觉得他们接管了这个项目——我不想这样。” OpenClaw的开放性,本质上是一种主权防御策略。Steinberger刻意引入Nvidia、Microsoft、腾讯、字节、阿里、Slack、Salesforce等多方力量,构建一个多极制衡的贡献生态。这种架构的本质,是将项目置于“无法被单一实体收编”的状态。正如他所言:“像OpenClaw这样的项目,绝对不可能从美国大公司里出来。”大公司内部的法律合规、数据隐私审查与责任边界讨论,往往会在项目早期就将其扼杀。因此,“不让OpenAI参与太多”并非排斥合作,而是维持项目主权的手术刀式操作。OpenAI提供资源、理解开源价值、支持多模型兼容,但核心决策权始终由非营利基金会掌控。这种模式借鉴了Ghostty终端项目的中立架构,目标是建立一个类似“瑞士”的全球性治理实体。OpenClaw的真正创新不在技术,而在治理结构。它证明了在AI时代,关键基础设施可通过“多边共建+基金会托管”模式,既获得巨头资源,又避免被收编。
“越是有人大喊‘极其严重’的漏洞,越可能是噪音。”Steinberger的这句话,直指当前AI安全讨论的认知偏差。 数据显示,OpenClaw在过去三个月收到1142条安全通告,日均16.6条,其中99条标记为“严重”。相比之下,Linux内核日均8-9条,curl全年约600条。但深入分析后会发现,绝大多数“高危漏洞”在现实部署中几乎无法触发。若同步一个未发布的iPhone应用并仅授予读权限,理论上可被利用获取写权限。听起来骇人听闻,但实际使用中,用户要么本地部署(网关token不可外访),要么通过私有网络访问。更值得警惕的是,某些学术研究(如《Agents of Chaos》)在分析OpenClaw时,完全忽略其核心安全建议:“这是一个个人Agent,不要放到群聊里。如果是团队Agent,只能访问团队数据。”他们为了制造戏剧性,强行以sudo模式运行系统,并在报告中隐瞒这一前提。 该标准基于理论攻击面,不考虑默认配置、用户行为或部署环境。一个在实验室可复现的漏洞,在真实世界可能毫无意义。 OpenClaw作为热门项目,自然成为“漏洞猎人”的靶场。Nvidia推出Nemo Claw沙箱插件,周一发布Keynote,周日邀请他测试。他接入Codex安全工具,半小时内找到五种突破沙箱的方法。该插件使用了“未削弱版本”的内部模型,能力远超公众可用版本——同时具备数据访问权 + 接触不可信内容 + 通信能力。这不是OpenClaw独有的问题,而是任何强大自动化系统的必然属性。面对安全洪流,OpenClaw没有选择封闭,而是走上一条更艰难的路:Steinberger透露,解决方案的核心是“通过时间建立声誉,信任度越高,获得权限越高”。这与Simon Willison提出的双LLM防御、Toby Luca的信任系统一脉相承。这一理念源于他对软件开发本质的理解:“通往山顶的路从来都不是一条直线。”因为“你对项目的第一个想法,极不可能就是最终的项目”。边玩边看,感受系统反馈,调整prompt,打磨细节。例如,当把Agent接入WhatsApp时,发现Claude Code的回复“太啰嗦,用太多省略号”,不符合人类聊天习惯。于是他反复调整soul.md(定义AI人格的配置文件),直到“写得更像人类”。Steinberger坦言:“我骨子里是个欧洲人。你会想要拥有自己的数据。”初创公司接入Gmail可能耗时半年,但他的Clanker只需点击“我不是机器人”,就能自动获取数据。 而支撑这一切的,是三个工程师在未来必须掌握的核心技能: 1. 品味:最低定义是“不要有AI味”——能立刻识别出机械化的写作、模板化的UI; 2. 系统设计:引导Agent不要输出局部最优解,而是考虑全局一致性; 3. 说‘不’的能力:在无限创意面前,守住架构边界,避免系统沦为“spaghetti code”。 核心洞察:Agent不是替代工程师,而是放大其判断力当编码自动化后,工程师的价值从“写代码”转向“问对问题”。一个好prompt则能引导Agent理解系统全貌。“我想做dreaming(梦境功能)。我们从Anthropic的源码泄露中发现,他们也在做dreaming。” 这句轻描淡写的话,揭开了AI行业一个隐秘的协作现实:即使在竞争激烈的闭源环境中,核心思想也会通过泄露、逆向、观察等方式流动。 将短期记忆转为长期存储,丢弃冗余信息。对Agent而言,这意味着需要一种离线反思机制:Anthropic的泄露代码显示,他们已在内部实验类似功能。Steinberger团队迅速将其产品化,作为OpenClaw的扩展插件。用户无需提交PR,即可安装自己的“梦境模块”,实现个性化记忆管理。 过去几个月,所有实验性功能(维基、记忆、梦境)都从核心代码剥离为extension/plugin。你可以替换记忆引擎,添加自定义反思逻辑,甚至注入“龙虾式写作”风格。正如Steinberger所说:“你不用什么都发pull request,因为我们PR还是严重过载。更像Linux,你可以自己安装自己的部件。”在AI军备竞赛中,源码泄露固然危险,但也加速了最佳实践的扩散。Dreaming功能的快速落地,证明了开源社区的“吸收-重构-超越”能力。“我认为未来token处理会越来越快。”Steinberger在谈及工作流时断言。 他曾同时开启10个Codex会话,因响应延迟被迫“多窗口并行”。如今随着fast mode推出,窗口数减半至5-6个。Steinberger的理想场景,源自《星际迷航》:“在任何一个房间,说‘computer’,我的agent就能回应。”它知道你的位置,能将视觉内容投射到最近的iPad;1. 延迟:当前token处理速度仍不足以支持无缝对话; 2. 上下文感知:Agent需理解物理环境、用户状态、设备能力。 讽刺的是,这得益于IoT设备“安全做得一塌糊涂”,使得Agent能轻松接管。你在公司有一个大写的OpenClaw(私人Agent),公司有一个小写的openai claw(企业Agent),二者通过协商机制交互,确保隐私与效率平衡。当Agent融入生活每个角落,安全不再依赖“沙箱”,而依赖“声誉系统+权限动态演化”。你不会给新接触的Agent高权限,但随着时间推移,信任积累,它将获得执行复杂任务的能力。回看整场大会,Steinberger像一位冷静的外科医生,在聚光灯下解剖行业的集体癔症。在AI工具能自动生成海量漏洞报告的时代,真正的挑战不是修复漏洞,而是识别哪些值得修复。强大系统的安全性,不取决于代码完美,而取决于用户理解其能力边界。当你把个人Agent放进群聊却不开启沙箱,当你用sudo模式运行却不锁依赖版本,当你忽视“致命三要素”的组合风险——而OpenClaw的价值,不仅是提供一个Agent框架,更是建立一套与强大系统共处的认知协议:正如Steinberger所言:“系统越强大,能做的事情越多,但也必须越清楚它在做什么。”
文中观点仅为作者观点,不代表本平台立场
各位读者朋友,公众号改了推送规则,如果您还希望第一时间收到我们推送的文章,请记得给北大纵横公众号设置星标。
点击左下方公众号“北大纵横”→点击右上角“...”→点选“设为星标⭐️” 
