探索Clawdbot，席卷互联网的AI代理-AI代理可以为您自动执行任务，但涉及重大风险

（图片来源：未来）高带宽内存（HBM）路线图英伟达企业图形处理器和中央处理器机器人加速器机器人桌面图形处理器机器人3D与非门机器人如果你在过去几周里在互联网上对人工智能感兴趣的角落呆过一段时间，你可能已经看到了“Clawdbot”这个名字的出现。在最近的演示视频、社交媒体聊天以及“人工智能代理”是聊天机器人之后的下一个大事件的普遍感觉的推动下，这个开源项目的关注突然激增。对于第一次遇到它的人来说，显而易见的问题很快就出现了：Clawdbot到底是什么？它有什么ChatGPT或克劳德没有的功能？这实际上是个人计算的未来，还是我们应该谨慎对待的未来？Clawdbot的开发人员将其定位为您自己在自己的硬件上运行的个人人工智能助手。与通过网络界面访问的聊天机器人不同，Clawdbot连接到电报、松弛、不和谐、信号或WhatsApp等消息传递平台，并充当中介：你像联系人一样与它交谈，它通过发送消息、管理日历、运行脚本、抓取网站、操作文件或执行shell命令来响应、记住和（至关重要的）行动。这一行动将它牢牢地归入“代理人工智能”的范畴，这一术语越来越多地用于描述不仅回答问题，还代表用户采取措施的系统。从技术上讲，Clawdbot最好被认为是一个网关，而不是一个模型，因为它不包括自己的人工智能模型。相反，它将消息路由到大型语言模型（LLM），解释响应，并使用它们来决定调用哪些工具。该系统持久运行，维护长期内存，并公开一个基于Web的控制界面，用户可以在其中配置集成、凭据和权限。

从用户的角度来看，它的吸引力是显而易见的。例如，你可以让Clawdbot通过自然语言来总结跨平台的对话、安排会议、监控价格、部署代码、清理收件箱或在服务器上运行维护任务。这是旧的“数字助理”承诺，但比语音控制提醒更受重视。从这个意义上说，Clawdbot不太像苹果的Siri，更像一个从不睡觉的初级系统管理员，至少在理论上是这样。不像粉丝们经常宣传的那样“本地”。不过，我们应该澄清一个被炒作掩盖的重要细节：默认情况下，Clawdbot不会在本地运行其人工智能，这样做并不简单。大多数用户将其连接到OpenAI等提供商提供的云托管LLM API，或者实际上是Anrowpic的“克劳德”系列模型，这就是名称的来源。

运行本地模型是可能的，但在甚至接近云托管前沿模型的水平上运行需要大量硬件投资，包括强大的GPU、大量内存以及对速度和质量权衡的容忍度。对大多数用户来说，“自托管”是指代理基础设施，而不是智能本身。消息、上下文和指令仍然通过外部人工智能服务传递，除非用户不遗余力地避免这种情况。

这种架构选择很重要，因为它决定了好处和风险。Clawdbot之所以强大，正是因为它集中了访问权限。它拥有您接触的每一项服务的所有凭据，因为它需要它们。它读取您的所有消息，因为这就是工作。它可以运行命令，因为否则它无法自动化任何事情。从安全角度来看，它成为一个非常高价值的目标；一个单一的系统，如果受到威胁，就会暴露用户的整个数字生活。安全研究员Jamieson O'Reilly最近说明了这种风险，他记录了配置错误的Clawdbot部署是如何将其管理界面暴露在公共互联网上的。在数百个案例中，未经身份验证的访问允许外部人员查看配置数据、提取API密钥、读取数月的私人对话历史记录、在消息传递平台上冒充用户，甚至在主机系统上执行任意命令，有时使用root访问权限。O'Reilly发现的特定缺陷（导致所有流量都被视为受信任的反向代理配置问题）已被修补。

然而，关注补丁并没有抓住重点。这一事件并不引人注目，因为它涉及一个巧妙的漏洞利用；它之所以引人注目，是因为它暴露了代理系统固有的结构性风险。 即使配置正确，像Clawdbot这样的工具也需要对功能进行全面访问。它们必须存储多个服务的凭据，读取和写入私人通信，维护长期对话记忆，并自主执行命令。

这在技术上仍然符合最小权限原则，但只是在最狭义的意义上；代理需要有用的“最小”权限仍然是非常多的权限，集中在一个永远在线的系统中。修复一个错误配置并不能有意义地减少爆炸半径，如果以后发生另一个故障，经验表明，最终总会有事情发生。代理人工智能非常方便，但建议非常谨慎。对代理人工智能的怀疑与其说是对技术的恐惧，不如说是对基本系统的思考。大型语言模型非常明确地不是人类意义上的代理。它们不理解意图、责任或后果。它们本质上是非常先进的启发式引擎，基于模式而不是基于基础推理产生统计上可信的响应。当这样的系统被赋予在现实世界中发送消息、运行工具和进行更改的权力时，它们就会成为生产力和错误的强大放大器。

值得注意的是，Clawdbot所做的大部分工作完全可以在没有人工智能模型的情况下完成。常规的旧确定性脚本、cron作业、工作流引擎和其他传统自动化工具已经可以监控系统、移动数据、触发警报并以更高的可预测性执行命令。神经网络进入画面主要是为了将模糊的人类语言翻译成结构化的动作，这种便利是真实的，但它是以不透明和不确定性为代价的。当出现问题时，故障模式并不总是显而易见的，甚至对用户来说并不总是立即可见的。

代理人工智能还有一个更安静、更实际的成本经常被忽视，因为它的许多最热情的支持者已经为此付费，而这个成本很简单：钱。大多数Clawdbot部署依赖于通过付费API访问的云托管人工智能模型，而不是本地推理。与通常以响应数量衡量的网络聊天界面不同，API的使用是由令牌衡量的。这意味着每条消息、每一个摘要、每一个计划步骤都有成本。代理系统往往特别昂贵，因为它们在幕后“健谈”，不断维护上下文、评估条件和循环使用工具调用。一个始终在线的代理调解多个消息流，每天可以消耗数万或数十万个令牌，而不会做任何特别引人注目的事情。在一个月的时间里，这变成了一笔不小的账单，有效地将个人助理转变为一笔小额但持续的运营费用。

在这样的背景下，更广泛的行业论调开始显得有些离谱。例如，微软公开讨论了其将Windows变成“代理操作系统”的雄心，在这个十年结束时，用户将放弃键盘和鼠标，转而使用语音控制的人工智能代理。到2030年，大多数人将乐于将计算机的持续操作控制权交给概率系统，这一想法至少值得一提。历史表明，用户有选择地采用替代输入法和自动化，而不是大规模采用，尤其是在涉及隐私、数据或金钱损失的情况下。Clawdbot是对未来的一瞥要明确的是，所有这些都不意味着Clawdbot是一个糟糕的项目。事实上，恰恰相反，这是一个明确的、设计良好的例子，说明了代理人工智能的发展方向，也是人们认为这项技术引人注目的原因。它也不是同类工具中的第一个也不是最后一个。类似的系统正在开源社区和企业平台中出现，所有这些都承诺以最小的摩擦将意图转化为行动。

更重要的一点是，像Clawdbot这样的工具需要一定程度的技术理解和操作纪律，这是大多数用户根本不具备的。运行自己的Clawdbot需要设置Linux服务器、配置身份验证和安全设置、管理权限和命令白名单，以及全面掌握沙盒。运行一个可以访问凭据、消息传递平台和系统命令的始终在线的代理与在浏览器中打开聊天窗口不同，而且永远不会。

对许多人来说，更安全的选择仍然是传统的云人工智能界面，在这种界面中，错误的爆炸半径更小，责任边界更清晰。代理人工智能很可能成为未来计算的基础层，但如果Clawdbot有任何迹象的话，未来将需要更多的谨慎，而不是更少。