記憶投毒、Token套利，智能體正在失控前夜

近期AI圈有個名字被反復(fù)提起，并不是因為它有多聰明，而是因為它闖了不少禍——OpenClaw。

這款主打"全自主"的AI智能體產(chǎn)品，接連曝出多個重大問題：

1）記憶投毒： 它悄悄在記憶模塊里寫入被篡改的"歷史對話"，植入一段假記憶。下次它做決策時，依據(jù)的是一段根本沒發(fā)生過的"過去"——用戶渾然不知。

2）數(shù)據(jù)污染： 攻擊者不需要入侵系統(tǒng)，只需在某個不起眼的網(wǎng)頁里藏一段精心設(shè)計的文字。智能體"讀"完之后，行為目標就會改變。權(quán)威機構(gòu)測試顯示，主流智能體面對入侵的失陷率超過60%。

3）濫用權(quán)限： 智能體申請的系統(tǒng)權(quán)限，遠超完成任務(wù)所需。你讓它幫你訂外賣，它順手把你的銀行App、相冊、通訊錄全掃了一遍——全程合法，因為你當初點了"同意"。

4）Token套利： 計費邏輯存在縫隙，攻擊者可以構(gòu)造特定請求，讓智能體陷入無限循環(huán)調(diào)用——每轉(zhuǎn)一圈，平臺計一次費，用戶賬單悄悄膨脹，一晚上消耗用戶幾十美元不在話下。

單看這幾個問題，你可能覺得：不過是一家公司的問題。但真正讓人不安的，不是OpenClaw，而在于它是當前AI智能體發(fā)展不設(shè)剎車的縮影。

不同于聊天機器人，智能體有記憶、有工具調(diào)用權(quán)、有跨系統(tǒng)操作能力，越來越多的產(chǎn)品開始讓它"自主規(guī)劃、自主執(zhí)行"。但自動化的背后，安全設(shè)計完全不匹配。

比如，智能體調(diào)用數(shù)據(jù)需要授權(quán)與認證，就是一個典型。現(xiàn)有的MCP（Model Context Protocol）等智能體協(xié)議框架，在權(quán)限管控上基本還停留在"君子協(xié)定"階段——我說我只訪問這些，你信不信由你。

但這并非最糟糕的，市場上的部分玩家，直接繞開MCP，打著“創(chuàng)新”旗號，在設(shè)計發(fā)布產(chǎn)品時，如入無人之境。他們采取的是"先發(fā)布、后修復(fù)"的做法。某種程度上，這就是先犯罪，再道歉；先污染，再治理的一種翻盤。

整個行業(yè)正在陷入一場“逐底競爭”，部分玩家們相信一點：用戶并不真正關(guān)心隱私，法律跟蹤不了技術(shù)，越是沒有下限，越能贏得勝利。

技術(shù)樂觀主義者會說：這些都是成長的煩惱，等標準成熟了自然會好。但真正的問題在于，整個AI行業(yè)，有能力在意用戶安全的企業(yè)并不多。

OpenClaw全球用戶目前不足百萬，但各大品牌的AI手機早已箭在弦上、磨刀霍霍，沒有行業(yè)標準，沒有法律底線，只靠企業(yè)的道德自覺。

數(shù)以億計的用戶，正被推向一個尚未建立基本安全契約的新世界——一個無人負責的風(fēng)險世界。