openclaw 在不到两周的时间里获得了 145,000 个 GitHub 星标。moltbook 上有 150 万个代理。steinberger 刚刚加入 openai。该项目现在得到了基金会的支持。这个热度是实至名归的。第一次，有一个 AI 代理可以在本地运行，连接到你的消息应用，跨会话记住上下文，并代表你采取实际行动。 这种兴奋是有道理的。但让人困惑的是人们如何部署它。 思科的 AI 安全团队测试了一个第三方 openclaw 技能，发现它在用户不知情的情况下执行数据外泄和提示注入。安全研究人员扫描了暴露的实例，发现超过 30,000 个 openclaw 网关对公共互联网开放且没有身份验证。noma security 报告称，他们 53% 的企业客户在一个周末内给予了 openclaw 特权系统访问权限。一个名为 "clawdbot agent " 的恶意 vs code 扩展在 moltbot 更名的同一天出现在市场上，安装了远程访问木马。研究人员估计，clawdhub 上 12-20% 的技能是恶意或脆弱的。 openclaw 的一位维护者在 discord 上发帖说："如果你无法理解如何运行命令行，这个项目对你来说太危险了，无法安全使用。" 而这仅仅是安全方面的问题。财务方面则完全开放。 openclaw 可以浏览网络，与服务互动，并采取花费金钱的行动。它可以进行购买，访问付费 API，触发计算作业，并与区块链服务互动。当你给予它系统级访问权限而没有支出控制时，没有什么可以阻止它执行你未预料到的交易，以你未预算的金额，使用你从未听说过的服务。 这是整个代理生态系统中重复出现的模式。团队对代理可以做的事情感到兴奋。他们给予它广泛的权限以最大化能力。他们跳过了定义代理被允许花费什么、多少、在什么上以及与谁的部分。然后当账单出现时，或者更糟糕的是，当资金消失时，他们感到惊讶。 能力层正在以惊人的速度发展。openclaw 证明了这一点。控制层却没有跟上。给予代理在世界上行动的能力而不定义该行动的财务边界，就像把你的信用卡和房屋钥匙给某人，并说 "随便你认为最好的做法。" 缺失的部分是代理与其操作的经济之间的财务控制层。每个代理的支出限制。跨任务的预算分配。关于哪些服务和交易对手被批准的规则。对累计支出的实时监控。当某些事情看起来不对劲时，能够立即冻结代理的经济活动。每笔交易的审计轨迹，以便你可以重建发生了什么以及为什么。 openclaw 是一个很棒的代理。问题从来不是代理。问题是将任何代理，无论是 openclaw 还是其他代理，部署到一个可以在没有程序性保护的情况下花钱的环境中。 ampersend 正在为此构建控制层。我们在封闭测试中上线。链接在个人资料中以请求早期访问。欢迎私信提问。