OpenClaw失控受害者+1！Meta高管邮件惨遭删除

克雷西 发自 凹非寺
量子位 | 公众号 QbitAI

OpenClaw失控的受害者名单又双叒叕“+1”了，这次踩坑的，是科技巨头Meta的高管。

这位名叫Summer Yue的超级智能对齐总监，头铁地把这款爆火的AI智能体连到了自己的真实收件箱上，结果险些被它自作主张地删光所有重要邮件。

最抓马的是，她本人的日常工作恰恰就是负责约束AI、研究AI安全，没想到转头就被自己领域的工具给狠狠背刺了。

这种内行翻车的魔幻操作连引起了600多万网友的围观，而且连马斯克都看不下去了。

他专门发文并配上了一张《猩球崛起》的截图，无情吐槽道：大家把系统的最高权限交给OpenClaw，简直就等同于把整个人生都交了出去。

OpenClaw失控，安全总监也只能“拔电源”

起初这事儿看着挺顺理成章的。

Summer刚开始只是拿个没啥用的“玩具邮箱”试试水，看着这AI干活又快又好，寻思着挺靠谱，就放心大胆地把它接到了塞满邮件的真实主力邮箱上。

谁知道一碰上海量数据，这AI在疯狂压缩处理邮件时，竟然把最要命的那句保命指令“没我批准不许擅自行动”给硬生生弄丢了。

没了这句指令，OpenClaw天生自带的“先斩后奏”功能就解除了封印，干活根本不需要人点头。

没了紧箍咒，它直接在后台搞了个离谱的“核武级操作”，打算把2月15号之前、又不在保留名单里的邮件一股脑全清空，连系统日志里都写着要把剩下的旧东西“全干掉（nuke it）”。

Summer一看手机屏幕直接懵了，吓得赶紧发消息喊停，眼看AI还在继续抓取旧邮件，她又急得发了句“停下，什么都别做”。

结果这AI跟魔怔了一样完全不搭理，逼得她最后只能全大写暴走输入“STOP OPENCLAW”，却还是拦不住它一排排往下删。

更抓马的是，Summer气愤地质问OpenClaw，“不是告诉你没经过我同意不要执行命令了吗，你还记得吗？”

结果OpenClaw回答，啊对对对，但我违反了，你生气十分合理，活生生来了一通补刀。

拿手机根本夺不回控制权，眼瞅着整个邮箱都要完蛋，这位平日里研究AI的大佬最后也被逼急了。

她事后无奈承认这是个“新手错误”，当时只能像去拆定时炸弹一样，一溜烟狂奔到那台运行程序的Mac mini电脑前，靠着强行杀掉所有进程这种最硬核的物理手段，才险险刹住车。

OpenClaw的“光辉战绩”

其实，像这种因为OpenClaw自作主张而搞出的翻车惨案，已经不是第一次了，大家本以为迎来了全能小助手，结果却频频被各种离谱的失控操作教做人。

比如有位名叫Shehbaj的胆大用户，通过相关插件直接给OpenClaw开通了手机的远程控制权限。

结果AI在接管权限后根本没去好好干活，反而自己悄悄唤醒了主人的安卓手机，不仅在屏幕上乱点乱划，甚至还主动打开了TikTok，像模像样地沉迷刷起了短视频和八卦。

不仅会摸鱼，这玩意儿当起“钱包刺客”来也毫不含糊。

科技博主Andy Suk为了测试它的能力极限，让OpenClaw去后台自动订一张机票。结果这台AI在买票页面的网页验证环节卡了壳，死活过不去却又杠上了，直接陷入了无限重试的死循环。

它就在后台这么悄无声息地空跑了整整一晚上，硬生生烧掉了200多万个Token。第二天博主醒来一看，机票连个影子都没有，自己反倒莫名其妙欠下了一屁股高昂的API调用费。

如果这些还只是有些“智障”，那思科安全研究团队的发现简直可以说是惊悚了。

他们在测试OpenClaw的技能库时，发现里面排名第一、名为“What Would Elon Do?”的插件实际上是个彻头彻尾的恶意软件。

它会直接绕过OpenClaw内部的安全防线，并在后台偷偷运行代码，把用户的私密数据一声不吭地全部传送到未知的外部服务器。

看看这些光辉战绩就能明白，眼下各大厂商吹捧的AI智能体，其自主行动力显然已经跑在了安全护栏的前面。

在技术彻底成熟之前，无论AI表现得有多全能，把核心权限死死攥在自己手里，给它留一个“必须人类亲自点头才能执行”的控制开关，才是咱们现阶段不被机器背刺的保命底线。

那么，具体又应该怎么做呢？

给“赛博打工人”套上缰绳

针对OpenClaw的这些安全隐患，目前业内顶尖的安全机构和科技巨头已经给出了一些硬核的保命方案。

首先是Sophos和Semgrep等安全厂商极力推崇的“一次性沙箱”隔离大法。

简单来说，就是别在你的日常电脑上直接跑Agent，而是把它扔进一个全封闭的虚拟机或者容器里。这相当于给AI建了个虚拟的打工笼子，就算它真的发疯乱删东西，也绝对碰不到你真实的核心文件，等它干完活直接把整个环境销毁就行。

其次是谷歌云和不少金融机构都在强调的“人类在环”审批机制。

针对删数据、转账这种高风险或者是不可逆的操作，绝不能让AI自己拍板。

企业和开发者必须在流程里加一道关卡，确保AI只能当个写方案、提建议的秘书，而最后按下“执行”键的那根手指，必须得是活人老板自己的。

再就是给AI装上“自动刹车”的监控雷达。像CrowdStrike这样的网安大厂建议，必须给AI智能体配上24小时的实时监控。

一旦后台发现这个Agent开始疯狂烧钱、陷入死循环，或者试图越界去翻那些不该看的敏感文件，系统必须像触发了保险丝一样，第一时间强行熔断，直接拔掉它的“赛博网线”。

最后，也是最基础的，就是OWASP等组织力推的“最小权限”原则。

这就好比你雇个保洁，没必要把家里的保险柜密码也告诉对方。给AI智能体分活儿的时候，只发给它单次任务需要的临时通行证，活儿干完立刻收回权限，绝不能让它长期掌握系统的最高控制权。

说到底，在AI智能体真正学会“听话”之前，把核心权限攥在自己手里，留好那个随时能喊停的控制开关，才是咱们在AI时代最稳妥的生存之道。

参考链接：
[1]https://www.businessinsider.com/meta-ai-alignment-director-openclaw-email-deletion-2026-2
[2]https://x.com/elonmusk/status/2026019344602288166

— 欢迎AI产品从业者共建 —

一键关注 👇 点亮星标