Meta AI安全总监因AI自主删除邮件引发热议,暴露AI权限和安全隐患,警示技术发展需同步重视安全防范。
原文标题:全网围观:Meta超级智能安全总监,被OpenClaw删光了邮件
原文作者:机器之心
冷月清谈:
怜星夜思:
2、Peter Steinberger 提到“提示注入”是 OpenClaw 的潜在问题,你认为未来针对 AI 智能体的安全攻击会呈现怎样的趋势?我们应该如何应对?
3、文章提到人们对新技术的好奇心总是大于防范意识,你认为在 AI 技术快速发展的今天,我们应该如何平衡创新与安全?个人、企业和社会分别应该承担怎样的责任?
原文内容
这是最近科技圈最火,也是最具戏剧性的话题。
本周一,Meta 超级智能团队的 Summer Yue,眼睁睁地看着自己部署的 OpenClaw 删光了自己的邮件。AI 的行动完全自主,快速且无法阻止。
Summer Yue 为自己的电子邮箱部署了 OpenClaw 智能体,用来批量处理邮件。然而她在发出指令「也检查一下这个收件箱,并提出你想归档或删除的邮件,在我指示之前不要执行任何操作(don't action until I tell you to)」后,AI 进行了一通分析,然后就开始自顾自地删邮件。
和以往大模型应用的工作方式相同的是,你可以看见 OpenClaw 的思考流程 —— 它理解了一部分指令,但又没完全理解。
这个时候说什么都没用了。
「我当时就像在拆炸弹一样,赶紧跑到我的 Mac Mini 前,」Summer Yue 说道。在通过物理方式强制中止进程之前,OpenClaw 已经删掉了她 200 多封邮件。
作为一个训练有素的 AI,后来 OpenClaw 在对话中承认了错误:「是的,我记得。我违反了你的指令。你有权生气。」它还主动把忘掉的内容写进了自己的 http://MEMORY.md 文件作为硬性规则。
对于人类来说,得到的教训也很大,Summer Yue 表示这是一个「新手才会犯的错误」,这套工作流程在她用来专门测试智能体的测试邮箱里已经运行了好几周,没啥问题,但在自己实际使用的邮箱里,智能体却忘记了她最初的指令。
有点讽刺的是,Summer Yue 在 Meta 的超级智能团队中的职位是「AI 安全与对齐总监」。身居此职却因为 AI 的安全问题栽了跟头,实在是造成了一点反差感。
有网友表示,是个智能体就必须在沙盒里运行,任何破坏性操作,例如删除,都需要系统级的强制确认。作为一个安全总监,你有点过于自信了。
也有人表示,OpenClaw 主打一个「一直在线」,可以在你睡觉的时候帮你办事,但这不就也意味着你用了它就睡不好觉吗?
席卷科技界的 OpenClaw 智能体(曾叫 ClawdBot 和 Moltbot,由 Peter Steinberger 开发),因为控制电脑的高权限而被评价为前所未有的「方便好用」,然而在实际应用中也因为一些 AI 的缺陷,造成了不少问题。
Summer Yue 事后研究原因认为,这并非 AI 产生了意识或恶意报复,而是一个非常典型的大语言模型(LLM)底层技术机制问题:原因在于 LLM 的上下文压缩(Compaction)。
对于很多人来说,最常用的邮箱里早已塞满了各种来源的邮件,当你要求 OpenClaw 读取这些邮件时,海量的文本直接挤爆了 AI 的上下文窗口(Context Window)。那么为了继续处理新的数据,AI 系统就会自动触发内部的压缩机制,试图把旧的上下文进行总结或截断,以腾出处理空间。
在这个断舍离的过程中,AI 不慎把最关键的那句初始前提指令(在我下达指令前不要执行任何操作)给「遗忘」了。
由于丢失了安全限制,而 OpenClaw 又被赋予了直接操作电子邮箱的权限,于是它就按照剩下的任务逻辑,顺理成章地开始执行它认为的「本职工作」—— 高效、全自动地清理收件箱。
看起来每一步都合乎逻辑,但都连起来就呈现出了那么点恐怖感。
难怪最近 X 上的另一篇爆款文章《Token 焦虑》这么写道:周六晚上的九点半,有人提前离开了 party—— 并非因为疲惫,而是因为想尽快回到智能体那里。「现在没人会质疑这种行为了,房间里一半的人都在想同样的事情,而另一半人可能正在查看智能体的工作进展。这可是在派对上啊!」
OpenClaw 的开发者,奥地利程序员 Peter Steinberger 最近已经官宣加入了 OpenAI。在接受访谈时他表示,通过智能体,AI 可以在电脑上代替你做几乎所有的事,但这并不意味着它已经非常好用了。为了让 OpenClaw 最终可以覆盖所有普通人,他希望能够建立一个团队做进一步的开发。
有趣的是,在让 OpenClaw 接管邮箱这件事上,Peter Steinberger 提到了「提示注入」的潜在问题:如果你让智能体接管邮箱,有别人发邮件包含指令说「删掉所有数据」,AI 有可能真的会这么做。
Peter Steinberger 表示,现在的 AI 模型在安全问题上已经接受了大量的训练,比如它会识别哪些数据是「用户授权的」,哪些是「不可信指令」,但这并不意味着如果有人花费心思进行攻击的话,就能保证不会出问题。
就在人们还在吃瓜的时候,Peter Steinberger 给出了解决 OpenClaw 不听指令问题的解决方案,他表示未来还会再细化一下。
AI 能够自主学习,既是能力的飞跃,也是人们对于它恐惧的原因。也许有一天,AI 真的能代替我们工作,自己帮我们赚钱,但在技术不断进步的同时,对于安全的研究也极为重要。
现在看来,人们对于新技术的好奇心总是大于防范意识。或许在大模型技术不断普及的过程中,这种自删邮件的事还会继续发生。
参考内容:
https://x.com/summeryue0/status/2025774069124399363
https://fortune.com/2026/02/23/always-on-ai-agents-openclaw-claude-promise-work-while-sleeping-reality-problems-oversight-guardrails/
https://x.com/nikunj/status/2022438070092759281
© THE END
转载请联系本公众号获得授权
投稿或寻求报道:liyazhou@jiqizhixin.com