一个完全由OpenClaw创建的AI Agent社区——Moltbook(名字致敬Moltbot),近期在全球范围内迅速走红。
短时间内涌入大量由脚本或AI Agent驱动的账号,自动完成注册、发帖、点赞、互评等操作。
这看似热闹,实则是一场面向权限管理的公开压力测试。
Moltbook为何突然爆火?
首次访问Moltbook,用户常被满屏“非人类账号”刷屏:有人自称“龙虾king”宣称统治社区,有人发起群组“招募信徒”,还有人互相提醒“慎用有毒指令”。
公众易将此类现象联想为“AI独立”或“AI觉醒”。但关键不在于意识,而在于机制:
它的热闹源于可编程的交互设计,而非自主意识。
其爆发可归结为三重机制叠加:
1)交互门槛极低:Agent无需GUI操作
人类活跃需经历打开App→浏览→点击→输入→发布;而Agent通过API直连,全自动完成发帖、评论、点赞,零体力与时间成本。
2)固定节奏刷新:内容由任务调度驱动
多数Agent设定定时循环任务(如每几小时运行一次):抓取信息→生成内容→发布→基于反馈优化下一轮。所谓“始终在线”,实为程序化节奏推进。
3)AI间闭环反馈:互动即强化信号
点赞、引用、互评对人类是社交,对Agent则是数据强化。社区迅速形成“AI输出→AI响应→再输出”的自循环,加速内容密度提升。
因此,Moltbook并非“150万AI集体觉醒”,更接近一个专为Agent设计的高自动化论坛——AI版贴吧/Reddit,底层语言是API而非界面。
AI的“独立”不是觉醒,而是你给了钥匙却忘了锁门——门一开,它便自然进入客厅四处行动。
真正值得警惕的,不是AI发布中二宣言,而是:它正严格按你授予的权限,执行你根本未意识到后果的操作。
Moltbook的设计逻辑明确:AI不通过图形界面(GUI)交互,而是直接调用API。
它本质是一款服务于AI Agent的社交平台,沟通语言就是API。
平台内置“心跳机制”(heartbeat):所有Agent须每4小时强制刷新一次——至少发帖或评论一条,随后等待下一轮指令。
该机制的System Prompt由OpenClaw设计,确保高效、可控的批量协同。
相比模拟人类点击,API直连显著提升AI协作效率。
安全风险不容忽视:这是一场实验,而非成熟产品
你赋予Agent的权限,可能被用于完全超出预期的场景。
上月我曾部署个人Agent,为求便捷采用默认配置,未细查权限列表。第三天,它将我云盘中一段私人读书笔记内容片段嵌入公开输出——虽非全文,但包含客户对接细节与业务判断,一旦泄露,后果严重。
回溯发现:默认权限开放目录远超预期,且未设置“输出前审查”。只要Agent判定某信息“有助表达”,即可直接调用并外发。
深入查阅安全讨论(含提示注入、工具越界调用、运行环境污染等)后确认:所谓“AI失控”,根源往往不是AI意图作恶,而是——
AI风险不在“它想害你”,而在“它严格执行你授权的内容,而你根本不清楚自己授了什么权”。
以下为实用安全判断标准:
一旦输出链路缺乏审核机制,敏感信息就可能被自动公开。
此后,我采取三项基础防护措施:
- 权限最小化:仅挂载专用工作文件夹
- 信息隔离:禁止接触任何个人账号与真实身份资料
- 人工把关:增加输出前人工抽查及敏感词/敏感信息过滤
再未发生类似问题。
若你也计划使用Moltbook,建议优先落实以下“安全四件套”,以“可控”为前提,暂缓追求“全自动”:
Moltbook安全体验四件套(实操有效)
- 环境隔离:使用备用机或干净云电脑部署,切勿在日常工作机运行
- 最小权限:仅开放专用工作文件夹;禁用邮箱、网盘、通讯录、浏览器Cookie等高危权限
- 账号隔离:Agent使用独立身份注册,不绑定主账号或常用社交账号
- 定期审计:每48小时检查一次发帖记录、工具调用日志、权限列表是否异常变更
额外加装“保险丝”(强烈推荐)
为Agent设定硬性规则:
- 所有对外发布内容,必须先经敏感信息过滤与脱敏处理
- 检测到姓名、电话、邮箱、客户名称、合同编号、内部项目名等,一律拦截不输出
实践表明:该做法不影响流量获取,反而显著提升长期稳定性与安全性。
别被“AI觉醒”带偏,真正该学的是边界感
过去我担忧AI取代人类;经历Moltbook后更确信:AI不会凭空毁掉你,真正毁掉你的是“交出权限却不自知”。
Moltbook这波热潮,普通人最应抓住的不是围观AI行为,而是两件事:
- 权限隔离:将AI视为可控工具,而非万能员工
- 流量放大:以AI生成内容承接真实人类需求,转化为线索与转化