遭黑客投毒、被網安圈群嘲蹭流量、英偉達建的沙箱半小時就被攻破！OpenClaw 之父揭開大模型圈最臟的潛規則

暗諷 Anthropic，手撕安全圈白皮書，Peter 這次要講的是不一樣的故事。

編譯 | 王啟隆

出品丨AI 科技大本營（ID：rgznai100）

OpenClaw 現在的處境，像一個剛被所有人注意到的怪物。

一邊還在瘋長，一邊已經被整個安全行業圍上來敲骨吸髓。

在 AI Engineer World’s Fair 的 OpenClaw 專場，龍蝦之父 Peter Steinberger 的最新演講花最多力氣講的幾乎都不是增長本身，而是增長帶來的代價。

你能感覺到 Peter 站在臺上時，講的已經不是那種常規意義上的項目進展了。他講的是另一種東西，一個開源 AI 項目在火到失控之后，會先迎來什么。

不是鮮花。

是 1142 個漏洞警告，99 個嚴重漏洞，平均每天 16.6 個安全報告。是國家級黑客，是供應鏈攻擊，是一堆 AI 批量制造出來、寫得越危言聳聽越像垃圾水文的安全報告。是學界和安全圈把它當成最順手的靶子，一邊拿它寫論文、發警報、做案例，一邊故意跳過安全指南，甚至直接開著 sudo 去硬撞它的邊界，只為了做出一個更嚇人的故事。

但偏偏這又不是一個正在塌掉的項目。

它還在繼續往上沖。五個月時間，GitHub star、commit、PR、貢獻者數量全都往上炸，Peter 自己都找不到更正常的形容了，別人的增長像曲棍球桿，OpenClaw 更像一根鋼管舞柱。他甚至直接說，這可能已經是 GitHub 歷史上增長最快的項目。你很難在最近的開源世界里，再找到第二個同時具備這兩種狀態的東西，一邊是神話式的增長，一邊是災難級的圍獵。

在這場瘋狂的演講里，Peter Steinberger 炮轟一切，他一個人站在風暴眼里，開始匯報風暴內部的氣壓變化。當他聊到 OpenAI、開源和 ClosedClaw 流言的時候，他又順手陰了 Anthropic 一把，說如果換成某些名字以 A 開頭的頂尖實驗室，你只要泄露一丁點源碼，或者做得太成功，就可能直接惹上麻煩。

而在演講之后的對話環節：OpenClaw 會不會變成 ClosedClaw，本地模型到底是不是未來，為什么黑燈工廠聽上去很美卻未必成立，為什么“品味”這種聽上去最虛的東西，反而變成 AI 時代最難替代的能力，為什么soul.md不是花活而是體驗，為什么他開始對家庭智能體、無處不在的 Agent、會做夢的記憶系統感興趣。這些問題在這場長談里不是被點到為止，而是被一股腦攤開。

演講部分：

Peter Steinberger：大家早上好。

Swyx 讓我來做一個關于“OpenClaw 現狀”的匯報。在座的各位，有多少人在跑 OpenClaw？舉個手看看。啊，大概有三四成。非常棒。

幾個月過去了，這個項目現在滿五個月了。我想現在可以毫不夸張地說，我們是 GitHub 歷史上增長最快的項目。如果你看過那張增長曲線圖，通常有些爆發的項目看起來像一根曲棍球棍，但我們的曲線是一條垂直的直線。我有個朋友戲稱這是“鋼管舞柱式的垂直飆升”，當然，這種暴漲也帶來了前所未有的挑戰。

我們的 GitHub Star 數名列前茅。雖然有幾個項目比我們多，但那基本都是教學類的項目。在純軟件項目中，沒有哪個能做到這么龐大。目前我們有大約 3 萬次提交（Commit），貢獻者即將突破 2000 人，拉取請求（PR）也快到 3 萬個了。而且我們絲毫沒有減速的跡象。你看到的圖表還在一路向上，所以我們的迭代速度依然極其驚人。

但與此同時，這一路走得并不輕松。在決定下一步怎么走時，擺在我面前的有兩條路。我以前創過業，所以我當時想：“我可不想再折騰開公司了。”于是我加入了 OpenAI。

但同時，我們又成立了 OpenClaw 基金會。所以現在我算是打著兩份工。管理基金會簡直就是開啟了“地獄難度”的創業模式，因為你不僅要處理各種瑣事，手下還有一大幫沒法直接發號施令的志愿者。

我一直以來的一個目標就是解決“巴士因子”問題（注：即核心成員意外離隊導致項目停滯的風險），也就是分散代碼提交的壓力。

大家可以看到情況正在慢慢好轉。過去幾個月里，我和許多公司進行了交流。現在我們有來自英偉達的伙伴加入，有來自微軟的專家幫忙處理 MS Teams 和 Windows 客戶端的集成，還有一位紅帽（Red Hat）的大神在安全和 Docker 容器化方面給了我們極大的幫助。我們還與許多中國企業合作，比如騰訊和字節跳動的人。實際上，亞洲用戶的規模遠超其他大洲，我們的貢獻者幾乎遍布全球。

但今天我想重點談談外界的一種聲音：“OpenClaw 太不安全了。”

大家可能看過那些表情包，說“OpenClaw 簡直是在開門揖盜”，你們大概也看到了像英偉達推出了 NemoClaw，現在每個人手里都有各種“小龍蝦”（衍生項目）。

大家可能也注意到了，在過去兩三個月里，我們的好幾個版本一發布就崩了。我基本上是被各種安全漏洞警告給“DDoS 轟炸”了。這就是我最近的工作重心。

到目前為止，我們收到了 1142 個漏洞警告，平均每天 16.6 個。其中 99 個被標記為嚴重漏洞。我們發布了大約 469 個修復，關閉了 60% 的問題。

這些數字聽起來絕對讓人毛骨悚然。

作為對比，像 Linux 內核這樣的大型項目，每天大概只收到八九個警告，我們是它的兩倍；cURL 到目前為止總共才 600 個報告，我們也是它的兩倍。

每次收到安全事件報告，我總結出了一個規律：他們把漏洞喊得越是“危言聳聽”，這個報告就越有可能是 AI 生成的“灌水垃圾”。我們正在飛速進入一個必須重塑軟件構建方式的新世界，因為現在的 AI 工具太厲害了，哪怕是最詭異的、涉及多條攻擊鏈的漏洞，它們都能找出來。這樣下去，現存的所有軟件都會被找茬找得體無完膚。

我給大家舉個例子。英偉達推出了 NemoClaw，這是 OpenClaw 的一個插件兼安全層，能把它放進沙箱里運行。他們的發布會是在周一。周日的時候他們邀請我一起測試。我把它和 Claude Code 安全測試工具連在了一起。結果，半小時內，AI 就找到了五種突破那個安全沙箱的方法。

這是因為，如果你使用那個產品，你就能接觸到未受限制的“滿血版”模型，它在網絡安全方面的聰明程度，遠超公眾能接觸到的版本。因為這確實很危險。

而且，對整個安全行業來說，這也是在蹭流量，對吧？他們找出的漏洞越多，名氣就越大。所以 OpenClaw 就成了那個大家都想來踩一腳的“不安全產品”。毫不夸張地說，有成百上千的人啟動了他們的 Clanker（AI 機器人），試圖攻破 OpenClaw。

典型的攻擊面無非是遠程代碼執行、繞過審批、代碼注入、路徑遍歷。聽起來都很嚇人。我給大家舉個具體的例子：有一個漏洞被評為 CVSS 滿分 10 分。這意味著它是你所能想象到的最可怕的安全威脅。這個漏洞是這樣的：如果你同步了我們甚至還沒發布的、還在開發中的 iPhone 應用，并且你只給了它讀取權限，那么黑客可以通過破解系統來獲取寫入權限。

但在實際應用中，這根本算不上什么安全事件。因為典型的使用場景是你把它安裝在自己的機器上，要么在云端，要么在你的 Mac mini 上。我已經懶得去反駁這些了，現在就隨他們玩去吧。

在 99% 的情況下，你要么有網關的訪問權限，要么沒有。說句公道話，這是我的失誤，我當時試圖創建一個更寬松的權限模型。比如，如果你有一些只處理語音并讀取特定內容的設備，那么一個降級的權限系統是有意義的。但現實是，根本沒人這么用。

但這都不重要，因為CVSS 評分規則根本不看實際使用場景。我試圖遵守規則，所以它被評了 10 分。然后全世界都為這些在實際操作中根本不會影響用戶的所謂“漏洞”而陷入瘋狂。

當然，也確實有一些真正影響用戶的威脅。我們發現有國家級的黑客組織試圖攻擊用戶。比如 GhostClaw，他們基本上是用一個名字相似的 NPM 包來迷惑大家，如果你進錯了網站并下載了它，你的電腦就會被植入 Rootkit 后門。這超出了我們的控制范圍，其他開源項目也遭遇過類似的事情。

另外還有 Axios 漏洞事件，好笑的是，我們根本沒用 Axios，但我們依賴了 MS Teams 或 Slack，而他們用了 Axios 且沒有鎖定版本。理所當然地，因為這就是軟件供應鏈攻擊的邏輯，我們也跟著遭殃了。

面對 1142 個漏洞警告——我敢說現在肯定是 1150 個了——你該怎么活下來？

有一段時間，我試圖自己一個人處理這個閉環，但這絕對是不可能完成的任務。所以最快的求生方式就是向大公司求援。英偉達真的非常給力，他們派了一些全職工程師來幫我們，專門在那些“AI 垃圾報告”里淘金，并加固我們的代碼庫。

另一個層面是，有很多公司在故意制造恐慌，甚至不只是公司，還包括大學。不知道大家看沒看過那篇廣為流傳的論文《混沌智能體》（Agents of Chaos）。他們聲稱這是一篇關于智能體通用安全的研究，但里面卻花了整整四頁紙極其詳盡地剖析了 OpenClaw 的架構。

但你們猜哪一頁他們提都沒提？我們的安全指南頁，那里清清楚楚地寫了該如何安全安裝。因為如果提了那個，這事兒就不夠博眼球了，就編不出一個聳人聽聞的好故事了。

相反，他們完全無視了我們所有的安全建議。我們的建議是：這是你的私人智能體，別把它拉進群聊。如果你非要把它放進群聊，請開啟沙箱模式。因為如果任何人都能和你的智能體對話，他們就能套出智能體有權訪問的任何數據，對吧？如果是團隊智能體，它就只能知道團隊公開的信息，絕不能接觸機密數據。你大概率需要對它進行限制。如果是你的私人智能體，你應該確保只有你自己能和它對話。

但如果你不遵守這些規則，你就會搞出一些很“刺激”的互動，比如：“嘿，我能和你的智能體聊天，它還能把你的系統搞崩潰哦。”

當時我因為對他們的操作方式有疑問，就去盤問了他們一下，結果他們告訴我：“哦對，我們沒按常規來，我們在 sudo（最高管理員）模式下運行的，因為我們想讓智能體發揮最大威力。”所以他們實際上是在刻意對抗我們的安全設置。其實在 sudo 模式下運行并不容易，你甚至得修改代碼。但他們在報告里對此只字未提，原因還是一樣——這帶不來流量。

我目前的挫敗感在于，整個行業似乎都在試圖給這個項目抹黑，說它是“一場噩夢，默認極度不安全，簡直無法容忍”。

但與此同時，許多用戶卻愛不釋手，那些真正閱讀了安全文檔的人，完全可以安全、順暢地使用它。

有一個讓我覺得特別無語的例子。

我們有一個導致比利時網絡安全部門恐慌的遠程代碼執行（RCE）漏洞。他們甚至專門為此發布了安全警報。而這個所謂的漏洞，其實是一個功能：惡意網站可以創建一個鏈接，觸發你的網關，然后轉發你的網關令牌。

但問題是，如果你使用的是我們推薦的默認設置，網關令牌僅限本地使用，或者最多在你的私有網絡里；任何外部網站根本無法訪問它。除非你非要和安全設置對著干，比如連看都不看就直接用 Claude Code 瞎配置一通，你才有可能搞出這種漏洞。但話說回來，我們的官網上根本沒有教你這么做。

坦白講，風險絕對是存在的。最大的風險其實是“法律三要素”：任何一個能夠訪問你的數據、接觸到不受信任的內容，并且具備對外通信能力的智能體系統，都存在潛在風險。這不是 OpenClaw 獨有的問題，任何強大的智能體系統都有這個問題。你讓它變得越強大，它能為你做的事就越多，但同時你也必須更深刻地理解它的行為機制。這才是核心問題，但人們偏偏對此避而不談。

維護工作也是個大麻煩。當你收到海量的安全警告時，你明知道大部分都是 AI 批量生成的，但你還是得動腦子去逐一閱讀。因為我們還沒到那種可以完全放手讓 AI 去判斷漏洞真偽的階段。這極其消耗時間，而且你永遠不知道里面是不是藏著真雷。

有時候你也能猜出來：如果一份報告寫得特別客氣，或者提交者甚至道了歉，那多半是 AI 寫的，因為搞安全的人通常是不會道歉的。

這是一個巨大的問題，我看到越來越多的開源項目在抱怨，甚至因此崩潰。有些項目公開表達了這種痛苦，比如 FFmpeg。通常你只會收到一堆報告，卻很少有人連帶修復方案一起提交。就算有人提交了修復方案，質量往往也很差。如果你像我早期那樣，因為不堪重負而匆忙合并代碼，那你絕對會把自己的產品搞崩。

所以，僅靠志愿者是很難撐起這攤子事的。那么我們現在在做什么？有人說 OpenAI 收購了 OpenClaw。這不是事實。他們可能買下了我的“靈魂”（soul.md 配置），但他們非常清楚，這個世界需要的是讓更多人去把玩 AI，去理解 AI 究竟能做什么，去認識它的風險，也去發掘它的潛力。他們明白，如果一個從未接觸過 AI 的人在家里用上了 OpenClaw，當他回到公司，他就會問：“為什么我們工作時沒有 AI？”所以他們非常清楚，支持這個項目是非常有價值的；而要讓這個項目成功，它就絕不能被某一家公司獨占。

因此，我正在通過 OpenClaw 基金會打造一個“中立的瑞士”。Dave 正在幫我推進這件事，目前已經快走完流程了。唯一拖慢我們進度的就是美國的銀行系統，對于非美國人來說，他們的流程既緩慢又混亂。這個基金會的模式受到了 Ghost 平臺的啟發。它將幫助我們聘請全職人員，既能保持開發節奏，又能提高代碼質量，同時也能把我的時間解放出來，讓我能重新去搗鼓那些真正酷炫的東西。

這就是我為大家帶來的“OpenClaw 現狀匯報”。稍后我會在現場進行問答環節。感謝大家的聆聽。

問答環節

Swyx：我主持過六屆 AI 工程師大會，以往遇到重量級的維護者或大咖，我們通常只安排演講，但其實大家肚子里都憋著一堆問題想問。所以我們想創造這個交流的空間。大家可以在那邊提交問題，我來負責主持。

我打算直接從最火辣的問題開始。Pete 剛才轉發了我的推文，說：“把你們關于 ClosedClaw（閉源版 Claw）的問題都砸過來吧。”我想大家對 OpenClaw 在 OpenAI 的未來有很多疑問。我想把舞臺交給你：大家都在傳 ClosedClaw 的什么流言？你的回應是什么？

Peter Steinberger：我一開始根本沒往這方面想。這是我決定加入 OpenAI 時才冒出來的聲音。我覺得大家的擔憂有一定道理，畢竟 OpenAI 過去在開源方面的表現并非無可挑剔。

但我認為情況已經發生了很大變化。比如Codex現在開源了，他們還發布了 Swarm，那是一個非常棒的編排層。他們現在是真的在擁抱并理解開源。他們明白，OpenClaw 必須保持開源，必須能與任何模型兼容，無論是大廠的模型還是本地模型。只有讓更多人花時間去使用 AI，整個行業才能共贏。

如果我原本覺得 AI 很嚇人，但突然間我玩了 OpenClaw，發現它既古怪又有趣，然后我到了公司，發現工作里居然沒有 AI 工具，我絕對會去質問老板：“我們這破公司怎么連個 AI 都沒有？”

這樣一來，那些公司可能不會直接運行開源的 OpenClaw，而是想要一個托管的、商業化的版本，這時候自然就有人能做成生意了。所以他們非常支持我，也為我提供了資源。

其實，我完全可以從 OpenAI 抽調更多人手來幫忙維護這個項目，但這會給人一種“OpenAI 已經接管了這個項目”的錯覺，我絕不希望這樣。所以我引入了英偉達的伙伴，我們有微軟的人，有 Telegram 的人，甚至還有 Salesforce 的人。必須點贊一下 Slack 的兄弟們，他們幫我們維護了 Slack 插件。現在我還拉來了騰訊和字節跳動的人，我們也和阿里、MiniMax、Kimi 等所有模型提供商進行了溝通。他們都非常支持。英偉達提供的幫助極其巨大，他們是我見過最酷的公司之一，直接派了一批執行力極強的工程師過來“干就完了”。

既然現在有這么多公司參與進來，我也會適當地引入幾個 OpenAI 的人來幫忙維護。因為軟件迭代的速度太快了，這個項目的運轉節奏簡直瘋狂，你真的需要一支軍隊。我正在組建這支軍隊。

Swyx：你的確有一支軍隊。但從你展示的貢獻者圖表來看，留住高質量的維護者依然很難。人們總是挖走你的核心成員，然后你又得去尋找新鮮血液。

大家有很多關于本地模型和開源模型的問題。畢竟整個技術棧并不是完全開源的，很多模型你無法接觸到底層，還有些奇怪的限制。那么，開源和本地模型對 OpenClaw 的未來到底有多重要？

Peter Steinberger：我當初開發 OpenClaw 的部分動力，就是看到那些大公司把觸手伸向我的 Gmail，我的郵件被托管在某個地方，然后這家公司對我的郵件擁有完全的訪問權限。對我來說，更令人興奮的是，我的所有數據都能真正掌握在自己手里。只有當我需要最頂級的推理能力時，才把一小部分數據傳到云端。

Swyx：就像是建立了一個后備模型的層級架構。

Peter Steinberger：沒錯，你想掌控自己的數據。但當時根本沒人做這個。所以這對我非常有吸引力。而且，如果你是一家初創公司，你想接入 Gmail，可能要花半年時間走極其繁瑣的流程。但如果我是一個普通消費者，我的 AI 機器人可以在任何網站上點擊瀏覽，它甚至能愉快地幫你點掉“我不是機器人”的驗證。只要你能看到的數據，你的智能體就能獲取。所以，你可以繞過那些大公司建立的數據孤島，實現那些大公司永遠無法做到的、真正酷炫的自動化場景。這非常具有極客精神。

Swyx：OpenAI 團隊有沒有透露任何關于開源 GPT（GPT OSS）的跡象？這條工作線會與 OpenClaw 保持協同，還是完全獨立？

Peter Steinberger：我現在不方便透露這方面的內部消息。我只能說，OpenClaw 的爆火，確實讓公司里更多的人對開源燃起了熱情。我很高興看到 OpenAI 正在朝著更開放的方向邁進。如果你把它和某些名字以 A 開頭的頂尖實驗室相比——那些實驗室要是你泄露了他們一丁點源碼，他們絕對會起訴你，或者一旦你做得太成功就會封殺你——我認為 OpenAI 走在一條正確的道路上。

Swyx：好的。我想強調一下這個問題。大家都對你的編程工作流極其感興趣。到現在為止，你提出的“用提示詞請求（Prompt Request）替代拉取請求（Pull Request）”的理念已經深入人心了。而且你在 OpenAI 消耗 Token 的速度簡直讓大家驚掉下巴。大家最想知道的是，你是如何發布代碼的？你怎么處理智能體的等待時間？你為什么要同時跑那么多智能體？

Peter Steinberger：我真沒想過我那張工作照會在網上火成那樣。

Swyx：不如給大家報幾個數字，讓大家有個概念。

Peter Steinberger：巔峰時期，我大概同時開著 10 個會話窗口。特別是在我用 Claude Code 搭配 3.5 Sonnet 的時候，速度確實有點慢。不過現在我得說，情況改善了很多。模型變快了，而且還有了極速模式。所以現在我典型的工作流大概是之前的一半，開五六個窗口，不再需要開那么多分屏了。因為每一次迭代的循環變快了，而我分發給各個“AI 工人”的工作量基本保持不變。我相信未來 Token 的生成速度會越來越快，到那時，同時處理六件事就不再是常態了。但這在當下，確實是一種對抗延遲的妥協手段。

Swyx：我很好奇你怎么看待那種完全的“黑燈工廠”模式（注：指完全自動化、無需人工干預的開發流程），也就是連合并進去的代碼都不人工審查。我覺得這似乎越來越可行了。

Peter Steinberger：但問題是，如果我采用“黑燈工廠”模式，某種程度上意味著我必須在最開始就把想做的所有細節都想得清清楚楚。我不認為用這種方式能寫出好軟件。登頂的路從來都不是一條直線，它總是蜿蜒曲折的。有時候你會稍微偏離路線，然后發現一些新的風景，帶給你靈感；有時候你能找到捷徑。只有當你站在山頂往下看時，你才能畫出那條最優路徑，但你攀登的時候絕對不可能走成直線。

同理，你對項目最初的設想，極大概率不會是它最終的模樣。如果我們現在又退回到那種死板的“瀑布模型”，那最初的設想就成了最終的成品。對我來說，這行不通。我的方式是：搭好腳手架，把玩一下，感受它的體驗，獲得新靈感，然后調整我的提示詞。對我而言，這是一個高度迭代的過程。所以我看不出你怎么能把這個過程完全自動化。當然，你可以在某些特定環節建立自動化流水線。

Swyx：確實。

Peter Steinberger：甚至對于處理 PR（拉取請求）也是如此。你絕對不會想要建立一個自動合并所有 PR 的流水線，因為很多 PR 根本就不靠譜。大家會把你的產品拉扯向各種莫名其妙的方向。如果你把這個過程自動化，AI 很難判斷哪個方向才是正確的。你可以引導它，我寫過一份愿景文檔嘗試做過引導，但核心的瓶頸依然在于上下文的同步，以及所謂的“品味（Taste）”。

Swyx：品味非常重要。你怎么定義品味？在我和大家的交流中，每個人都承認“品味就是護城河”，但沒人能在“什么是好品味”上達成共識。我很想聽聽你的見解。

Peter Steinberger：我覺得在這個時代，最底線的品味就是：它不能散發出一股“AI 味兒”。你懂我的意思。如果某個東西……無論是寫作風格、性格設定，還是 UI 界面。現在大家看了太多 AI 生成的 UI，你一眼就能看出那是 AI 做的。

Swyx：比如左邊帶個彩色邊框那種，對吧？

Peter Steinberger：有一段時間流行紫色漸變，但遠不止這些。所以我覺得這是一種直覺，就像你能立刻嗅出那些 AI 生成的垃圾水文一樣。

Swyx：是的。

Peter Steinberger：這就是為什么我稱之為“品味”。即使你無法精確指出哪里不對勁，你就是能感覺到。這大概是對品味最基礎的定義。再往上走，因為現在軟件開發的很多環節都可以自動化了，你反而有更多的時間去打磨那些微小的細節。比如你運行 OpenClaw 時，偶爾會收到一條調侃你的小消息。正是這些令人愉悅的細節，是你單純用高層級的提示詞永遠無法生成的。

Swyx：關于你的品味，我最喜歡的一點是你真的在soul.md（靈魂配置文件）上花了很多心血。你開源了你的方法論，我覺得在你出現之前，大家在賦予 AI“靈魂”這件事上做得遠遠不夠。這真的很有意思。我錄了一期播客還沒播，嘉賓是 Shopify 現任 CTO Mikhail Parakhin，他以前在必應（Bing）帶隊時，誕生了最早期那個不受控制的聊天機器人 Sydney。我覺得當你的聊天機器人、你的 Clanker 擁有了自己的性格和怪癖時，大家才會玩得特別開心。

Peter Steinberger：其實這不是因為世界變了，對吧？我們在 2023 年和 2024 年就有了 ChatGPT，但那時我們雖然擁有了 AI，卻并不真正理解 AI 能做什么。所以我們只是重造了一個 Google：你有一個搜索框，你輸入問題，得到回答。你絕不會指望 Google 有什么性格。

但現在我們正在向智能體時代邁進。一開始我也沒想那么多。我做了個 WhatsApp 的消息中繼，把它連上了 Claude Code。但當我在 WhatsApp 上用它時，我發現感覺不太對。雖然 Claude Code 本身已經帶點性格了，但它并不符合人們在 WhatsApp 上的聊天習慣。這就是我開始迭代的原因。這也是品味的體現，對吧？感覺不對勁：它太啰嗦了，用了太多句號。我的朋友們發信息可不這樣。于是我開始調整它，告訴它：“不行，這樣不對……試著寫得更像個人類。”

Swyx：我其實運行過一個“像龍蝦一樣寫作”的配置。我最喜歡你的一句話是“帶著一絲科幻色彩的瘋狂”。這就是你做 AI 項目的風格。我覺得有些 AI 項目，特別是像 OpenClaw 這樣的，如果是在一家美國大公司里，根本見不到天日。它在發布之前就會被法務部門扼殺在搖籃里，因為它確實存在一些整個行業尚未解決的問題。

Peter Steinberger：但現在我們有了一些緩解措施，情況正在好轉。模型也變得越來越強大。不過我也確實無法想象任何一家頂尖大廠能發布這種產品。阻力會大到難以想象，而且市場也沒證明這就是人們想要的。所以它注定只能由體制外的人來做。

當時我坐在那兒開發的時候，我就想：“最壞的情況能怎樣？”無非是泄露我的 Token，或者我的郵件。里面沒什么能真正毀了我的東西。它可能會上傳一些我的照片。我當時想：“好吧，如果你用過 Grindr（交友軟件），估計最糟的照片早就傳上網了。”所以我覺得：“OK，這個風險我能承受。雖然會讓人有點不舒服，但總體可控。”但如果你是一家公司，那考量的角度就完全不同了。

Swyx：順便提一句，他的 Instagram 賬號很值得關注，粉絲被嚴重低估了，里面有很多好料。好的，剛才我們聊了 WhatsApp，聊了 Telegram，很多這種文本類的應用。文本應用很棒，但大家也在尋找下一個形態載體。大家想要智能眼鏡、智能耳機。在你對智能體的愿景里，你最期待的形態是什么？

Peter Steinberger：其實我已經開始在這方面探索了，只是后來被海量的用戶和日常維護給拖住了。但如果我在家里，我希望在任何房間里，就像《星際迷航》里那樣，只要喊一聲“電腦”，無論我在哪，我的智能體都能回應我。它應該知道我身處何處。

我在每個房間都放了小 iPad，我的智能體可以使用 Canvas（畫布）功能，把內容投射到那些 iPad 上。所以，如果我問了一個通過視覺展示更容易回答的問題，它就能利用離我最近的屏幕，因為它感知得到我的位置。手機只是一個非常方便的輸入端，但我真正想要的是無處不在的交互。如果我戴著智能眼鏡走動，它應該能隨時傾聽，并把信息投射到我眼前。就是那種無處不在、如影隨形的感覺。我認為這就是智能家居真正成熟后的樣子。

Swyx：所以手機上的智能體只是個過渡，你真正想要的是無處不在的智能體。然后你可能會在工作時有一個大寫的“OpenClaw”作為你的私有智能體，在生活中又有一個小寫的“OpenAI Claw”。

Peter Steinberger：然后那個工作用的 Claw 應該能夠以一種你和公司都覺得安全舒適的方式，與你的私人 Claw 進行溝通。這就是我們需要共同構建的未來。

Swyx：我剛和 Marc Andreessen（A16Z 創始人）錄了一期播客，他是你的超級粉絲；我也和 Andrej Karpathy（前特斯拉 AI 總監）聊過。這倆大佬都在用 OpenClaw 管理他們的家。我覺得“家庭版 OpenClaw”的潛力被嚴重低估了，但大家正在慢慢發掘它的價值。最諷刺的是，這之所以能實現，全靠物聯網時代大多數智能設備的安全防護做得稀爛，所以 OpenClaw 才能輕易接管它們。

Peter Steinberger：哈哈，等過幾個月模型變得極其強大的時候，它接管這些設備的能力還會大幅提升。

Swyx：確實非常強大。好的，問一個關于提示詞注入（Prompt Injection）的安全問題。你打算怎么解決提示詞注入的問題？或者說你目前在這方面有什么思考？

Peter Steinberger：目前的思考可能還不夠深入。不過另一方面，現在前端的模型在檢測惡意輸入方面已經做得非常好了，那些僅僅通過網頁或郵件隨機發來的注入攻擊，通常已經構不成什么威脅了。系統會將其標記為不受信任的內容，很難通過這種方式竊取你的數據。當然，如果攻擊者擁有對你 Claw 的無限訪問權限，并且能用海量數據轟炸它，那還是有可能得手的。但對于一次性的攻擊，這已經不是最大的問題了。

這也正是為什么有些人會誤解，說“Peter 不喜歡本地模型”。但當我看到有人運行著一個 200 億參數的本地模型，對任何指令都言聽計從，毫無防御機制時，那是真的很危險。如果你用這種模型去瀏覽網頁或處理郵件，我會非常擔憂。這就是為什么當你使用小模型時，OpenClaw 會發出警告。我知道有人帶節奏，說我們排斥其他模型。我非常樂意支持所有的模型，但你必須在一定程度上引導普通用戶，防止他們搬起石頭砸自己的腳。對于提示詞注入，我們確實有一些點子，只是還需要時間實現，我目前還沒對外公布。

Swyx：我覺得 Simon Willison 在這方面做了很多研究。畢竟“提示詞注入”這個詞就是他發明的。雙 LLM（大語言模型）架構看起來很聰明，但我還沒聰明到能想出這種架構可能遭受的所有攻擊方式。在某種程度上，信任機制必須建立起來，對吧？我剛才和接下來要演講的 Vincent 聊天時得知一個很有趣的事：你們不得不實現一套和 Shopify 創始人 Tobi Lütke 所做的一樣的信任系統，也就是隨著時間的推移建立聲譽，擁有更高信任度的實體將獲得更高的權限。我覺得這很合理，這也是整個安全故事的一部分。

Peter Steinberger：是的。

Swyx：好的，來問幾個更宏觀的問題。一旦你有了更多的空閑時間，你想做哪些酷炫的項目？

Peter Steinberger：我想研究“夢境（Dreaming）”機制。事實上，我在 OpenAI 的時候，我的維護團隊就已經在做這個了。

Swyx：趁著你在“做夢”的時候。所以你們已經把它發布了，對吧？什么是“夢境”機制？

Peter Steinberger：這是一種重組記憶的方式，有點像創建一個夢境日志，讓 AI 回溯你的會話記錄。我們從 Anthropic 的源代碼泄露事件中發現，他們也在研究“夢境”機制，對吧？

我敢肯定還有很多公司也在搞這個。想想看我們人類是如何學習的？你白天經歷了許多事情，然后你睡覺。在睡眠中，你的大腦會進行垃圾回收，把一些短期記憶轉化為長期記憶，同時丟棄那些無用的信息。我認為這種理念對智能體來說同樣非常有用。我們在“夢境”機制上發布的內容，就是朝著這個方向邁出的第一小步。

Swyx：這和 Andrej Karpathy 一直在談論的 Wiki（知識庫）概念很像，也就是把所有東西收集到一個 Wiki 里，作為一種更深層的記憶，但所有的信息又會稍微融合在一起。

Peter Steinberger：OpenClaw 最美妙的地方就在于，我們可以毫無顧忌地去嘗試這些新東西。我們在過去幾個月里所做的一切努力，就是把早期那一團亂麻的意大利面條代碼，重構成了一個完全基于擴展和插件的架構。所以你可以替換記憶模塊，可以加入 Wiki，可以添加夢境機制，或者任何你腦子里冒出來的瘋狂想法，把它變成你獨一無二的專屬品。你甚至不需要把所有的改動都提交 PR，因為我們現在的 PR 還是嚴重積壓的狀態。它變得更像 Linux 了，你可以自由組裝你想要的部件。

Swyx：是的。你正在構建的，被許多人認為是自 Linux 以來最具影響力的開源軟件。你如何應對這種壓力？你如何面對隨之而來的名氣？作為這樣一個龐然大物的“終身仁慈獨裁者（BDFL）”，你的一天是怎么度過的？

Peter Steinberger：嗯，依然是寫大量的代碼。

Swyx：順便爆個料，剛才在兩場演講的間隙，他還在后臺瘋狂敲代碼呢。

Peter Steinberger：畢竟代碼還得繼續跑嘛。有些東西必須得搞定。你得在背后推著這些智能體往前走，對吧？不過現在我的工作重心確實發生了一些偏移，我花了很多時間在溝通上，引導大家走向正確的方向。因為我們在 OpenClaw 上已經踩過很多坑，學到了很多經驗。所以我在 OpenAI 的部分職責，就是幫他們避開我們踩過的雷。而 OpenClaw 的使命，就是去嘗試那些看起來令人興奮的新事物，有些可能會成功，有些可能會失敗。我們要讓企業能夠打造屬于他們自己的 Claw，而無需另起爐灶去分叉（Fork）代碼，我們要讓一切變得更加高度可定制。當然，偶爾我也需要睡個覺。

Swyx：偶爾睡個覺。挺好。我覺得下面這個作為最后一個問題非常合適。在 AI 時代，你希望人類，特別是工程師們，應該重點培養哪些技能？

Peter Steinberger：“品味”是一個大頭，但我剛才已經說過了。其次，系統設計（System design）依然至關重要。

如果你不具備系統思維，你最終會把自己逼進死胡同，對吧？你需要定義好系統的邊界。有趣的是，雖然現在所有的代碼都在 Clanker 里生成，但你依然需要提出正確的問題。這就是生成優秀代碼和生成一堆垃圾代碼的區別所在。你積累的那些關于如何構建軟件的知識，依然是你引導智能體寫出高質量代碼的羅盤。

我認為另一項越來越重要的技能，是學會“說不”。這也是我自己必須去學習的一課，因為現在哪怕是再天馬行空的想法，也只需要一個提示詞就能實現。通常來說，孤立的一個想法從來不是問題，但當你把這個想法、那個想法、還有無數個想法堆砌在一起時，如何讓它們和諧運轉，這就成了大問題。

所以我認為，我們目前的瓶頸依然在于上下文的同步，以及對全局大局觀的把握。你可以想象一下從你的 Clanker 的視角看世界：你被扔進了一個龐大的代碼庫里。你手頭可能只有一份過時的agent.md說明文件，你基本上完全搞不清這到底是個什么鬼系統。然后你對它說：“嘿，給我加個用戶個人資料的功能。”

它可能會生搬硬套地把這個功能加進去，跟它眼前能看到的兩個模塊連起來，但它根本看不到整個系統的全貌，這就是為什么現在有很多極其局限的解決方案。

我們的工作，就是通過提供線索來幫助智能體做到最好：“嘿，你要不要考慮一下這個？你要不去那邊看看？這個模塊和那個模塊會產生什么聯動？”最終，你才能得到一個真正可維護的系統。

Swyx：好的，感謝你為維護這個時代最重要的軟件之一所付出的心血，也感謝你今天抽出時間與我們分享。

（投稿或尋求報道：zhanghy@csdn.net）