記憶投毒、Token套利，智能體正在失控前夜

近期AI圈有個名字被反復提起，并不是因為它有多聰明，而是因為它闖了不少禍——OpenClaw。

這款主打"全自主"的AI智能體產品，接連曝出多個重大問題：

1）記憶投毒： 它悄悄在記憶模塊里寫入被篡改的"歷史對話"，植入一段假記憶。下次它做決策時，依據的是一段根本沒發生過的"過去"——用戶渾然不知。

2）數據污染： 攻擊者不需要入侵系統，只需在某個不起眼的網頁里藏一段精心設計的文字。智能體"讀"完之后，行為目標就會改變。權威機構測試顯示，主流智能體面對入侵的失陷率超過60%。

3）濫用權限： 智能體申請的系統權限，遠超完成任務所需。你讓它幫你訂外賣，它順手把你的銀行App、相冊、通訊錄全掃了一遍——全程合法，因為你當初點了"同意"。

4）Token套利： 計費邏輯存在縫隙，攻擊者可以構造特定請求，讓智能體陷入無限循環調用——每轉一圈，平臺計一次費，用戶賬單悄悄膨脹，一晚上消耗用戶幾十美元不在話下。

單看這幾個問題，你可能覺得：不過是一家公司的問題。但真正讓人不安的，不是OpenClaw，而在于它是當前AI智能體發展不設剎車的縮影。

不同于聊天機器人，智能體有記憶、有工具調用權、有跨系統操作能力，越來越多的產品開始讓它"自主規劃、自主執行"。但自動化的背后，安全設計完全不匹配。

比如，智能體調用數據需要授權與認證，就是一個典型。現有的MCP（Model Context Protocol）等智能體協議框架，在權限管控上基本還停留在"君子協定"階段——我說我只訪問這些，你信不信由你。

但這并非最糟糕的，市場上的部分玩家，直接繞開MCP，打著“創新”旗號，在設計發布產品時，如入無人之境。他們采取的是"先發布、后修復"的做法。某種程度上，這就是先犯罪，再道歉；先污染，再治理的一種翻盤。

整個行業正在陷入一場“逐底競爭”，部分玩家們相信一點：用戶并不真正關心隱私，法律跟蹤不了技術，越是沒有下限，越能贏得勝利。

技術樂觀主義者會說：這些都是成長的煩惱，等標準成熟了自然會好。但真正的問題在于，整個AI行業，有能力在意用戶安全的企業并不多。

OpenClaw全球用戶目前不足百萬，但各大品牌的AI手機早已箭在弦上、磨刀霍霍，沒有行業標準，沒有法律底線，只靠企業的道德自覺。

數以億計的用戶，正被推向一個尚未建立基本安全契約的新世界——一個無人負責的風險世界。