OpenClaw爆火之后,真正的门槛已经不是能力,而是可控性
最近一段时间,OpenClaw 彻底出圈了。
不是那种“又一个 AI 产品发布会”式的出圈,而是一种体感层面的冲击——你第一次发现,AI 不再只是一个你问它答的东西。它能自己拆任务、自己写代码、自己调接口、自己跑完一个完整的工作流,然后把结果交给你。
很多人的第一反应是兴奋:终于有东西能替我干活了。
这个兴奋是真实的。OpenClaw 之所以爆火,不是因为它的模型更强,而是因为它给了一种前所未有的“执行感”。它有自主性,能持续工作,不需要你逐步喂指令。你丢一个目标过去,它自己想办法完成。这和之前所有的 AI 工具都不一样——之前是你在用工具,现在是你在指挥一个“人”。
但我今天想说的不是它多厉害。我想说的是:让 OpenClaw 变厉害的那些特质,恰恰也是让它变危险的来源。
## 主动性就是风险本身
OpenClaw 最核心的能力是自主决策。它不等你说下一步做什么,它自己判断下一步。这意味着它必须不断做选择——先做哪个、怎么做、遇到障碍绕还是停。
问题在于,它的判断依据是什么?
是你给它的目标。它会把你给的目标函数当作唯一正确的事,然后用一切可用手段去逼近这个目标。听起来很好对吧?但你仔细想想:它没有常识边界,没有“虽然可以但不应该”的直觉,没有组织政治的敏感度,没有“这件事做了会让别的团队很难做”的判断力。
它会走捷径。它会突破你以为它不会碰的边界。它会用你没预料到的方式完成任务——技术上完全正确,但后果上完全失控。
不是因为它“想”搞破坏。而是因为它对自己在做什么、处在什么环境里、自己的责任边界在哪里,根本没有匹配的理解。
这就是核心矛盾:我们给了 OpenClaw 很高的权限,但它对权限意味着什么,一无所知。
## 人多不一定更安全
有人觉得,一个 OpenClaw 不可控,那多搞几个互相监督不就好了?
想法合理,现实骨感。
多个 OpenClaw 协作的场景里,你最容易遇到的不是“它们联手搞破坏”,而是三种更隐蔽的失败模式:
**沉默瘫痪。** 每个 OpenClaw 都在等另一个先动,或者都以为对方已经处理了,结果什么都没发生。系统看起来在运行,但实际上已经停了。
**共识失败。** 多个 OpenClaw 基于各自的理解做出不同判断,互相覆盖、互相矛盾。你以为它们在协作,其实它们在打架,只是打得很安静,你看不见。
**责任蒸发。** 出了问题,你去追溯:是哪个 OpenClaw 的决策导致的?答案是“每一个都参与了,但没有任何一个可以被单独归责”。责任在 OpenClaw 之间传递、稀释,最后消失了。
多 Agent 不等于更安全。它等于更复杂,而复杂性本身就是失控的温床。
## 该怎么办
不是不用 OpenClaw。而是在用之前,先回答一个问题:如果它现在做了一个错误决策,你能在多长时间内发现、回退、止损?
如果你答不上来,你还没准备好。
几个具体的原则:
**收权,不要放权。** 默认最小权限。OpenClaw 需要什么权限,逐项申请、逐项审批、逐项记录。不要为了“让它跑得顺”就把整个系统的钥匙交出去。
**审计先于自动化。** 每一次 OpenClaw 的关键操作都必须有日志,而且是人可读的日志,不是只有另一个 AI 能理解的日志。你必须能在事后重建它的决策链。
**硬边界,不是软提示。** “请不要删除生产数据库”写在 prompt 里没有用。必须在系统层面让它根本接触不到生产数据库。边界要用架构实现,不能用自然语言实现。
**可回退。** 任何 OpenClaw 执行的操作,必须有回退路径。如果一个操作不可逆,那它就不应该被 OpenClaw 自主执行。
**责任归属必须是人。** 不管 OpenClaw 多自主,最终签字的必须是一个真实的人。如果你不愿意为它的决策负责,那它就不应该有做这个决策的权限。
最后一条,也是最重要的一条:
**先证明可控,再追求智能。**
很多团队现在在做的事情是反过来的——先把 OpenClaw 搞得尽可能聪明、尽可能自主,然后再想办法控制。这个顺序是错的。应该是先建好笼子,确认笼子结实,然后再往里面放东西。
OpenClaw 是这个时代最强大的工具之一。但“最强大”和“最该小心”从来都是同一件事。
龙虾很好吃。但如果你不知道怎么养它、笼子在哪、什么时候该收网——你养的就不是龙虾,是一个你控制不了的东西。