72小时崩盘实录:从度假修bug到$1600万骗局,AI代理安全的"至暗时刻"
本文来自微信公众号: 硅星GenAI ,作者:大模型机动组
2026年1月的某个清晨5点,Peter Steinberger还在睡梦中,就收到了Anthropic法务部的邮件:“你的项目名字侵犯了我们的商标。”一个小时后,他在Discord频道里紧急召集社区投票改名。六个小时后,新名字刚公布,机器人就抢注了所有社交账号并开始敲诈。十二个小时后,骗子发行了假冒代币,市值冲到1600万美元。72小时内,这个三个月前还只是"个人兴趣项目"的AI代理工具,经历了GitHub史上最疯狂的过山车——10万+星标、Cloudflare股价暴涨20%、Google安全VP公开警告、数百个API密钥泄露、以及一场让整个硅谷都在讨论的加密货币骗局。这不是一个关于技术成功的故事,而是一个关于失控、混乱和代价的故事——当AI真正拥有"做任何事"的能力时,究竟会发生什么?
凌晨5点的法律信:一切混乱的开端
2026年1月某天的凌晨5点,Anthropic——ChatGPT的竞争对手、Claude AI的制造商——的法律团队发出了一封邮件。收件人是Peter Steinberger,一位住在奥地利的iOS开发者,也是一个叫"Clawdbot"的开源项目的创始人。
邮件内容很简单:你的名字听起来太像我们的商标"Claude"了,必须改名。
Peter当时还在睡觉。等他醒来,Discord社区已经炸了。几千个用户在疯狂讨论:改什么名字?怎么投票?谁来拍板?
"我们在Discord里紧急发起投票,"Peter后来回忆,“早上6点14分,我做出决定:就叫Moltbot。”
听起来是个无害的名字——Molt在英语里是"蜕皮"的意思,Bot代表机器人,合起来象征着"进化中的AI代理"。但这个决定,触发了一场72小时的灾难。
6秒钟的窗口:当机器人比人类更快
新名字公布的瞬间,Peter在Twitter上发了一条推文:
“由于Anthropic的商标问题,Clawdbot正式更名为Moltbot。”
推文发出后不到6秒钟,恶意机器人就抢注了@Clawbot的Twitter账号。
是的,6秒钟。不是6分钟,不是6小时,而是6秒钟。
抢注者立即在该账号上发布了一个加密货币钱包地址,并附上信息:“想要这个账号?付钱。”这是最原始的网络敲诈——但只是开始。
几分钟后,更糟糕的事情发生了:Peter在慌乱中误操作,把自己的个人GitHub账号也改了名。
他的本意是把项目仓库从"Clawdbot"改成"Moltbot",但GitHub的界面逻辑让他点错了地方——结果是他的个人账号ID被改掉了。而在GitHub上,一旦你放弃一个用户名,它立即变成可注册状态。
机器人再次在数分钟内完成抢注。Peter的原GitHub账号ID,现在掌握在陌生人手里。
"这太疯狂了,"Peter后来说,“我甚至没想到会有机器人24小时监控GitHub的账号释放。但它们确实在这么做。”
$1600万的假币:加密货币骗子的狂欢
但真正的灾难,还在后面。
当Twitter上、GitHub上、Discord里到处都是"Clawdbot改名Moltbot"的混乱信息时,加密货币骗子看到了机会。
他们发行了一个叫"Claudebot"的代币,并声称这是"官方Clawdbot的加密货币"。
他们创建了假的GitHub个人资料,模仿Peter的头像和简介
他们在Twitter上发布"官方公告",声称代币即将上线
他们制造了大量虚假的社区讨论,营造"FOMO"(害怕错过)情绪
他们甚至伪造了与Peter的"对话截图"
结果?在短短几个小时内,这个假代币的市值冲到了1600万美元。
成千上万的投资者——大多数是加密货币散户和投机者——疯狂涌入,用真金白银购买这个根本不存在的"官方代币"。他们相信自己在参与"下一个百倍币"的早期投资,相信Peter Steinberger和他的团队在构建某种区块链生态。
但Peter从来没有发过任何代币,也从来没有说过要做加密货币。
当Peter终于在Twitter上公开否认、发布警告时,假币市值已经达到峰值。他的声明一出,代币价格暴跌90%,从1600万美元跌到不足80万美元。
数以千计的散户投资者在几小时内损失了真实的钱。有人在Reddit上哭诉:“我投了全部积蓄。”有人在Discord里质问Peter:“你为什么不早点说?”
但Peter根本来不及说。从改名到假币发行、到市值冲顶、到暴跌崩盘,整个过程不超过12小时。而Peter大部分时间都在应对账号被劫持、修复项目文档、回复法律邮件——他甚至不知道有人在用他的名义发币。
10万星标的代价:当成功来得太快
如果说前面的混乱是"外部攻击",那么接下来暴露的问题,则是Clawdbot/Moltbot项目本身的"内在风险"。
在改名风波之前,Clawdbot已经在GitHub上积累了超过10万个星标,成为2026年初增长最快的开源项目之一。它的承诺很诱人:一个能够"做任何事"的AI代理,只需要给它你电脑的完整访问权限。
但这个"完整访问权限",恰恰是问题所在。
数百个API密钥暴露在公网上
改名后的第二天,安全研究人员开始深挖Clawdbot/Moltbot的安全性。他们发现了一个让人不寒而栗的事实:
全球有超过1000个Clawdbot实例在运行,其中数百个暴露了用户的API密钥、访问令牌和明文密码。
原因很简单:很多用户在配置Clawdbot时,直接把API密钥写在了配置文件里,然后又不小心把整个目录同步到了公开的GitHub仓库、或者上传到了没有权限保护的云服务器。
结果就是:任何人都可以用Google搜索到这些泄露的密钥,然后用它们访问受害者的Gmail、Notion、日历、甚至银行账户(如果连接了支付API的话)。
安全研究员在Twitter上发出警告:“如果你运行了Clawdbot,立即检查你的配置文件是否被公开。如果是,立即撤销所有API密钥。”
但为时已晚。一些黑客已经开始利用这些泄露的密钥进行"撞库攻击"——他们尝试用同样的密钥登录其他服务,看看用户是否在多个平台上重复使用了相同的凭证。
Google的警告:这是"信息窃取恶意软件"吗?
事情的严重性,在Google安全VP Parisa Tabriz公开发声后达到了顶峰。
Parisa是Google Chrome浏览器安全团队的负责人,也是全球最知名的网络安全专家之一。她在Twitter上写道:
“有人让我看Clawdbot。坦率地说,从安全角度看,这就是伪装的信息窃取恶意软件(infostealer malware in disguise)。如果你给它运行权限,它能访问你电脑上的一切——文件、密码、浏览历史、私人聊天、银行信息。”
“这不是说Peter Steinberger有恶意。我相信他是出于善意构建这个工具。但问题是:一旦你给AI代理完整的系统访问权限,你就失去了所有安全边界。它能做你能做的任何事——这既是它的价值,也是它的风险。”
Parisa的警告在科技圈引发了激烈讨论:
支持者说:“这就是AI代理的本质。如果你想让它帮你自动处理邮件、订机票、修代码,它就必须有这些权限。这是功能需求,不是漏洞。”
反对者说:“这太危险了。普通用户根本不理解’完整系统访问’意味着什么。他们以为自己在安装一个’智能助手’,实际上是在安装一个潜在的特洛伊木马。”
Peter本人对此回应:“是的,Clawdbot能看到一切。但这也是为什么它能做任何事。这是一个权衡——如果你想要便利,就必须承担风险。”
但这个回应并没有平息争议。相反,它引发了一个更深层的问题:当AI强大到可以"做任何事"时,我们是否应该让它这么做?
Cloudflare的意外:华尔街在赌什么
就在安全研究员们忙着发出警告时,华尔街的交易员们却在做相反的事情:疯狂买入Cloudflare的股票。
改名风波后的48小时内,Cloudflare的股价暴涨超过20%,市值增加了数十亿美元。
为什么?因为Clawdbot/Moltbot使用了Cloudflare的服务。
Clawdbot的技术架构依赖Cloudflare Workers来处理部分计算任务,这意味着每一个新的Clawdbot用户都会给Cloudflare带来一定的收入。而当GitHub上的星标数以每天数千的速度增长时,投资者押注Cloudflare会成为"AI代理基础设施热潮"的最大受益者。
这是一个疯狂的逻辑:一个开源项目的爆红,直接推动了一家市值数百亿美元公司的股价。
但更疯狂的是:这种逻辑在2026年的AI热潮中,已经成了常态。
投资者不再只是关注OpenAI、Anthropic这样的"模型公司",他们开始追踪"下游生态"——谁在用这些模型?谁在提供基础设施?谁在卖铲子给淘金者?
Clawdbot/Moltbot的爆红,证明了一个新趋势:AI代理工具的用户增长速度,可能比任何人想象的都要快。而这意味着,提供计算、存储、网络服务的云基础设施公司,将迎来一波巨大的需求。
Cloudflare只是第一个被市场注意到的。AWS、Google Cloud、Azure,都在投资者的雷达上。
开发者的困境:当你的副业项目变成全球头条
在这场72小时的混乱中,最无辜也最痛苦的,可能是Peter Steinberger本人。
三个月前,Clawdbot只是他的一个"周末项目"。他是一位专注于iOS开发的独立开发者,因为觉得现有的AI助手不够强大,就自己动手写了一个能"深度接入系统"的AI代理工具。
他把代码开源,发在GitHub上,本以为只会有几个极客尝鲜。
结果短短几周内,这个项目就获得了10万+星标,成为GitHub历史上增长最快的项目之一。
Anthropic的法务团队找上门
加密货币骗子冒用他的名义
安全研究员指责项目有"致命漏洞"
Google高管公开批评
数千封邮件涌入他的收件箱
Reddit上出现了专门讨论"Clawdbot骗局"的版块
Twitter上有人发起了"抵制Peter Steinberger"的话题
而Peter什么都没做错。他只是写了一个开源工具。
"我从来没想过会变成这样,"Peter在一次采访中说,“我只是想做一个对自己有用的工具,然后分享给其他人。现在我每天收到的骚扰信息比正常邮件还多。”
他不得不暂停所有开发工作,专门处理这些"突发状况":
联系Twitter支持,试图拿回被劫持的账号
在所有社交平台上发布"官方澄清",否认与假币有任何关系
修复安全研究员发现的配置漏洞
更新文档,警告用户不要泄露API密钥
处理来自Anthropic、GitHub、Discord的各种沟通
这已经不是一个"副业项目"了,而是一份全职工作——而且是一份充满压力和风险的工作。
安全研究员的发现:问题不是bug,而是设计
在混乱逐渐平息后,安全社区开始认真审视Clawdbot/Moltbot的架构,试图回答一个关键问题:这个项目到底安全吗?
答案既让人意外,又让人不安:从技术角度看,Clawdbot没有明显的"bug"或"漏洞"。问题在于,它的整个设计理念就建立在"完全信任"的基础上。
一位参与分析的安全研究员这样总结:
"Clawdbot的风险不是来自代码缺陷,而是来自它的基本前提:它需要完整的系统访问权限才能工作。这意味着:
它能读取你的所有文件——包括税务文件、银行账单、私人照片、工作文档
它能访问你的所有账号——通过浏览器保存的密码和cookie
它能执行任何命令——包括删除文件、安装软件、修改系统设置
它能联网发送数据——你无法100%确定它在发送什么
这不是一个可以’修复’的问题。这是AI代理的本质特征。"
研究员们指出了三个"结构性风险",这些风险无法通过简单的代码修改来解决:
现代操作系统的权限模型是二元的:要么你有权限做一件事,要么没有。没有"有限的完整权限"这种东西。
如果你想让AI代理帮你发邮件,你就得给它访问Gmail的权限。但一旦有了这个权限,它理论上就能读取你的所有邮件、发送任何内容、删除你的账号。
你无法只给它"发邮件但不能读邮件"的权限——这在技术上是不可能的。
难题2:AI的不可预测性
即使你完全信任Peter的代码,你也无法完全信任AI模型本身。
大语言模型有时会"幻觉"——生成看似合理但实际错误的输出。如果一个幻觉发生在"删除文件"或"转账"的指令中,后果可能是灾难性的。
更糟糕的是,你无法事先预测AI会在什么情况下出错。它可能在99次操作中都完美无缺,但在第100次突然犯一个致命错误。
难题3:供应链攻击的噩梦
Clawdbot依赖数十个第三方库和API。如果其中任何一个被黑客攻陷,整个系统就会沦陷。
而AI代理的特殊性在于:一旦它被攻陷,黑客就拥有了你电脑的完整控制权——不是某个App的控制权,而是整台机器的控制权。
这就像给一个陌生人你家的钥匙、银行卡密码和身份证复印件,然后祈祷他不会做坏事。
社区的分裂:这是未来还是疯狂?
Clawdbot/Moltbot的72小时风波,在开发者社区引发了一场激烈的哲学辩论:我们应该构建这样的工具吗?
支持者:这是不可避免的未来
一派开发者坚定地站在Peter这边。他们认为:
"AI代理就应该有完整权限。如果你想让它真正’智能’,就必须让它接触真实世界。限制它的权限,就是限制它的能力。
是的,这有风险。但任何强大的工具都有风险——刀能切菜也能伤人,汽车能载你也能撞你。我们不会因为风险就放弃刀和汽车,为什么要放弃AI代理?
况且,这个未来无论如何都会到来。如果Peter不做,别人也会做。与其让商业公司在黑箱里构建封闭的AI代理,不如让开源社区在透明的环境下探索边界。
Clawdbot的价值不在于它’安全’,而在于它’诚实’——它坦白地告诉你它需要什么权限、能做什么事情。这比那些声称’保护隐私’但实际上在后台偷偷收集数据的App诚实多了。"
反对者:这是潘多拉魔盒
另一派则认为,这次事件敲响了警钟:
"我们正在制造一个失控的怪物。Clawdbot的问题不是’有bug’,而是整个概念就是错的。
给AI完整系统权限,就像给一个两岁小孩一把上膛的枪。也许99%的时间它只是拿着玩,但那1%的意外足以致命。
更可怕的是,普通用户根本不理解风险。他们看到’智能助手’,以为是下一个Siri;他们不知道自己实际上在安装一个能访问所有隐私的超级权限程序。
这次的混乱已经证明了:当技术跑得比监管快、比用户认知快、比安全研究快时,后果就是混乱、欺诈和伤害。
我们需要踩刹车,重新思考’AI代理应该有多大权限’这个根本问题。"
中间派:需要新的安全模型
还有一些人试图找到平衡:
"问题不是’要不要AI代理’,而是’如何让AI代理更安全’。
我们需要全新的权限模型——不是传统的’全或无’,而是更细粒度的控制:
让AI只能读特定文件夹,而不是整个硬盘
让AI只能发送经过人类确认的邮件,而不是自动发送
让AI的每一个敏感操作都需要二次验证
技术上这些都可以实现,只是需要时间和投入。Clawdbot的悲剧在于,它跑得太快了——功能先于安全,爆红先于成熟。"
72小时后:项目还在,问题依旧
当我们写下这篇文章时,距离那个凌晨5点的法律邮件已经过去了一周。
Clawdbot已经完成了第二次改名,现在叫OpenClaw。Peter修复了一些明显的安全问题,更新了文档,加强了对用户的风险提示。GitHub上的星标还在增长,虽然速度放缓了。
假币"Claudebot"的价格跌到了几乎为零,大多数投资者血本无归。劫持者还控制着那些被抢注的账号,但已经基本停止活动。Cloudflare的股价回落了一些,但仍然比风波前高出10%。
表面上看,危机似乎过去了。但本质问题一个都没有解决。
问题1:安全的边界在哪里?
我们仍然不知道"多大的权限是合理的"。给AI访问Gmail可以吗?访问银行账户呢?控制智能家居呢?
目前的答案是:"取决于你有多信任它。"但这不是一个技术答案,而是一个信仰答案。
问题2:谁来为错误负责?
如果OpenClaw误删了你的重要文件,谁负责?Peter?AI模型的提供商?还是你自己?
如果OpenClaw被黑客利用,导致你的隐私泄露,谁来赔偿?
目前的法律体系完全没有准备好回答这些问题。
问题3:我们真的需要这样的工具吗?
也许最根本的问题是:在安全技术成熟之前,我们是否应该构建和使用这些"超级权限AI代理"?
是先有需求再有技术,还是先有技术再创造需求?
OpenClaw的故事没有告诉我们答案。它只是把问题摆在了所有人面前。
给想尝试的人:一份"伤害降低指南"
尽管有这么多风险和争议,仍然有大量开发者想要尝试OpenClaw或类似工具。如果你是其中之一,这里有一些"伤害降低"建议:
不要在你的主力电脑上运行AI代理。
买一台Mac Mini或者云服务器,专门用来跑AI代理。这样即使出问题,也不会影响你的个人数据和工作环境。
不要用你的主邮箱、主日历、主云盘。
为AI代理创建全新的Gmail账号、Google Calendar、Notion空间。只给它访问这些"测试账号"的权限。
3.永远不要保存支付信息
绝对不要让AI代理访问任何涉及金钱的服务。
不要连接银行账户、支付宝、信用卡管理工具。如果某个任务需要支付,手动完成。
每天查看AI代理做了什么。
OpenClaw有任务监控功能,能显示它执行了哪些命令、调用了哪些API、发送了什么请求。定期审查,确保没有异常行为。
不要给AI代理任何"如果泄露会很糟糕"的信息。
不要让它访问你的税务文件、医疗记录、私人照片、工作机密。假设有一天这些数据会出现在公网上,然后据此决定给不给它访问权限。
除非你100%知道自己在做什么,否则不要让AI代理实例暴露在公网上。
如果必须远程访问,用VPN和强密码保护。定期更换所有API密钥。
7.参与社区,但保持警惕
OpenClaw有活跃的Discord社区,可以学到很多。但要警惕:
不要轻信任何"官方代币"或"投资机会"
不要下载来源不明的"技能"或"插件"
不要在公开频道分享你的配置文件或API密钥
尾声:一个关于极限的故事
72小时,从法律邮件到加密货币骗局,从GitHub爆红到Google安全警告——Clawdbot/Moltbot/OpenClaw的故事,不是一个关于技术成功的故事,而是一个关于极限的故事。
它测试了开源社区的反应速度极限——能否在几小时内应对商标危机?
它暴露了网络安全的脆弱极限——6秒钟就能劫持账号,12小时就能完成千万美元骗局。
它揭示了AI能力的伦理极限——当AI能"做任何事"时,它应该做任何事吗?
它挑战了监管体系的适应极限——法律如何界定"过度权限"?谁来为AI的错误负责?
这个故事还没有结束。OpenClaw依然在GitHub上更新,依然有新用户在尝试,依然有开发者在探索"AI代理"这个充满争议的领域。
也许有一天,我们会找到答案——找到安全和功能的平衡点、找到信任和控制的边界、找到让AI"有用但不危险"的方法。
但在那一天到来之前,每一个选择给AI完整系统权限的人,都在进行一场豪赌——赌它不会犯错,赌它不会被黑,赌这个建立在"完全信任"基础上的系统,值得信任。
Clawdbot的72小时告诉我们:这场赌博的赔率,可能比任何人想象的都要高。
The Moltbot Origin Story-Nate’s Newsletter
Peter Steinberger Twitter/Discord官方声明
GitHub安全研究社区报告
Parisa Tabriz(Google Security VP)公开评论
。
