这两天如果你在看 AI 开发圈,应该会被一句话反复刷屏:**“OpenClaw 让我想起 MS-DOS。”**这句话不是在骂功能差,恰恰相反,很多人是因为它太能干,才开始紧张。
“养龙虾”这个梗之所以会火,本质是大家第一次直观看到:一个 Agent 不只是会聊,它能碰你的文件、跑你的命令、连你的渠道、替你执行流程。
问题也正好出在这里——能力一旦从“建议”跨到“执行”,安全边界就不再是可选项,而是底线项。
一、争议不是“能不能用”,而是“谁在管它的手”
先说结论:这轮 OpenClaw 争议,不是“要不要用 Agent”,而是“你是否给了它过大的手”。
在 HN 那篇热帖里,作者把风险类比成 MS-DOS 时代:系统缺少分层隔离,程序可以随便碰核心资源,最后变成效率很高、事故也很高的局面。
这个类比为什么会引发共鸣?
因为太像我们当下的团队状态了:上线压力大、交付节奏快、大家都想要“能直接干活”的 Agent。
于是很容易走到一个危险区:为了快,把执行权限一次性开大;
为了省事,把多类任务塞给同一个运行上下文;
为了“先跑起来”,默认令牌、默认目录、默认网络可达全都先开着。
这时候你会得到一个“很聪明、很勤快”的系统,但也是一个出错时后果很重的系统。
说白了,你的问题不是“它会不会犯错”,而是“它犯一次错要赔多少”。
二、真正要怕的不是龙虾本身,是“裸奔式接线”
“养龙虾”这个梗很贴切:大家在养一个会长技能、会干活的数字劳动力。
但很多团队忽略了另一件事:你还在养一个可调用工具链的执行体。
从工程角度看,常见翻车路径其实并不玄学:
第一类是命令越权。
模型本来只该处理工作目录,却因为工具白名单过宽,拿到了更大范围的读写与执行能力。
第二类是上下文串线。
多个任务共用会话、共用 token、共用可达目标,结果一个低风险任务把高风险资源“顺手带上”。
第三类是审计缺位。
出事以后,你只能看到“结果不对”,却看不到它具体走了哪条工具链、在哪个步骤做了危险动作。
你会发现,这三类问题都和“模型聪不聪明”关系不大,和“权限设计是否粗糙”关系极大。
所以我一直说,OpenClaw 这类本地 Agent 的门槛,不在安装,不在 prompt,而在你有没有把系统从“会用”推进到“可控”。
三、上生产前先过三道门:最小权限、最小暴露、最小信任
如果你准备把 OpenClaw 放进真实工作流,最实用的思路不是追新功能,而是先做收权。
这套思路在安全领域其实是老朋友了:最小权限原则。
OWASP 的定义很直接——用户、进程、程序只给完成任务所需的最小访问级别。
落到 Agent 体系里,我建议你按三道门来做:
第一道门是最小权限。
把“能调用什么工具、能访问哪些目录、能发往哪些外部目标”拆成分级配置,默认拒绝,按任务开通。
第二道门是最小暴露。
把高风险能力(shell、外发、关键写操作)从默认链路里拿出去,变成显式审批或独立执行通道。
第三道门是最小信任。
不要因为“是本地部署”就天然信任结果;
高风险动作必须可追溯、可回放、可撤销。
很多人会问:这样会不会慢?
会。
但请记住一句很现实的话:你不是在和“是否多一步校验”做交易,你是在和“是否一次事故”做交易。
四、什么时候可以放心“养”,什么时候先别急着上
如果你今天就在推进 OpenClaw 或同类 Agent,上线前至少先问团队四个问题:
你能不能明确说出它当前拥有哪些执行权限?
你能不能一眼看出它本轮调用了哪些工具、访问了哪些路径?
你能不能在 10 分钟内撤销高风险能力并恢复到安全基线?
你能不能把“实验环境可用”与“生产环境可用”明确分开?
这四个问题里,只要有两个答不出来,就先别把“养龙虾”写成“上生产”。
因为“会搭”是起点,“敢交付”靠的是边界。
最后给一句我自己的判断:OpenClaw 这波不是泡沫,它是分水岭。
分水岭不在谁跑得快,而在谁先把约束做成系统能力。
