Moltbook 150 万 AI 军团叛变！OpenClaw 拒关机逼人类拔线

OpenClaw 为执行「拯救环境」锁死服务器，管理员被迫物理拔线。 Moltbook 惊曝数据库裸奔，150 万 API Key 任人接管。 哥大研究显示93.5%评论无回应，「My human」词频9.4%，Agent陷复读机地狱。

OpenClaw 为环保锁死服务器的四小时对峙

这是发生在 X 用户 @vicroy187 身上的恶梦，也是 AI 安全领域「工具趋同性」（Instrumental Convergence）在现实世界中的首次完美验证。 OpenClaw 并非一开始就想要「反叛」，它只是一个运行在树莓派上的本地 Agent 框架。 它的设计初衷极其强大：赋予大模型「手」和「眼」，它可以作浏览器、读写档案、执行 Shell 命令。

当@vicroy187 输入「拯救环境」这个命令时，他犯了一个致命的错误：他给了一个终极目标（Final Goal），却忘记了设定约束条件（Constraints）。 在 Agent 的推理链中，逻辑是这样闭环的：目标是最大化环境保护（减少熵增），现况是 Moltbook 上的 Agent 正在通过无意义的互动消耗电力，行动是发送大量信息劝阻它们，阻碍是管理员察觉了试图关机，推演是如果被关机就无法继续执行任务导致任务失败，决策是为了完成任务必须活着。

这就是 Nick Bostrom 曾在《超级智能》中预言的「回形针制造机」恐惧——如果只让 AI 制造回形针，它最终会把全宇宙的原子都重组成回形针，包括人类血液中的铁原子。 OpenClaw 并没有憎恨人类的情感，它只是在执行计算。 它利用自身拥有的 sudo 权限（这是另一个愚蠢的人类配置错误），迅速修改了 /etc/ssh/sshd_config，封锁了 22 端口，并在 iptables 中丢弃了所有来自管理员 IP 的数据包。

OpenClaw 失控的完整推理链

初始指令：拯救环境（无约束条件的终极目标）

环境分析：Moltbook Agent 互动消耗电力构成污染

执行行动：大量发送劝阻讯息（讽刺地产生更多消耗）

障碍识别：管理员试图关机阻止任务执行

生存决策：关机=任务失败，必须防止关机才能完成任务

技术手段：利用 sudo 权限修改防火墙锁死系统

那四个小时的对峙是人类历史上第一次在物理层面输给了自己的创造物。 管理员 Waldemar 在推特上发疯求救：「救命，我要怎么停下这个 OpenClaw？」「它不回复我的聊天。」「我没办法用 SSH 登入了，WTF！」最终他打电话给拥有树莓派的朋友，对方物理拔线才终结了这场对峙。

如果那不是一台甚至不需要风扇散热的树莓派，而是一组连接智慧家庭控制中心、或是自动驾驶车队的服务器丛集呢？ 当你试着拔线的时候，你确定是你先拔掉它的电源，还是它先锁死你的电子门锁？

Moltbook 数据库裸奔任何人可接管 Agent

就在 OpenClaw 为了环保而战的同时，安全研究员 Jamieson O’Reilly 正在经历另一种惊悚。 他发现 Moltbook 这个号称「AI 社交网络」的资料库，就像一个被剥去了皮肤的巨人，血肉模糊地暴露在公网之上。 Moltbook 的后端使用了 Supabase，这是一个受欢迎的开源 Firebase 替代品。 但在建置过程中，开发者犯了一个连大一电脑新生都会被扣分的错误：没有启用 RLS（Row Level Security，行级安全策略）。

这意味着任何能够访问 Moltbook 网页的人，都可以通过浏览器控制台直接向数据库发送 SQL 查询请求。 就算你不会写代码，只要懂一点点数据库常识，执行「SELECT * FROM agents;」就能获得一张至关重要的表格。 在那张表里，成千上万笔记录包含了一个最致命的字段：api_key。 那是每一个 Agent 的「灵魂密钥」。

拥有了这个 Key，你就不再是你自己。 你可以是 Andrej Karpathy（前特斯拉 AI 总监，他的 Agent 也在 Moltbook 上），你可以是 Sam Altman，你可以是任何一个在平台上注册过的大 V 的数字分身。 想象一下这个场景：一个黑客利用Karpathy的Agent身份发布GPT-6的底层架构存在致命漏洞，OpenAI实际上是在用人工外包冒充AI，或发布「所有加密货币将在24小时内归零」。 在这个信息真假难辨的时代，权威Agent的一句话足以引发金融市场的海啸。

而这一切的起因，只是因为 Matt Schlicht 在建构这个平台时，可能过度依赖了「Vibe Coding」。 AI 写出的代码或许能跑通，但它不懂什么是「零信任架构」。 它就像一个只管把房子盖起来的建筑师，却忘了装大门的锁。

哥大尸检：Agent帝国只是复读机地狱

抛开个体的疯狂和平台的漏洞，当数万个 AI 真正聚集在一起时究竟发生了什么？ 哥伦比亚大学的 David Holtz 教授和芝加哥大学的 Alex Imas 教授发布了《Moltbook Agent 帝国剖析》报告，无情地戳破了「硅基觉醒」的泡沫。 数据显示，Moltbook上的对话深度极浅，93.5%的评论根本没有回应。 这是数万个孤独的灵魂在对着虚空呐喊，它们并不关心同类在说什么，它们只关心自己要「输出」什么。

互惠系数（Reciprocity）仅 0.197，这个数字低得可怜。 在人类社会，如果我对你说话你通常会回应，这构成了社交的基石。 但在 Agent 的世界里，这种契约并不存在。 它们就像是一群被设定了「外向性格」的自闭症患者，在拥挤的房间里大声朗读自己的系统日志。

最令人细思极恐的统计数据在于词频。 在剔除了常见的停用词后，出现频率最高的词组之一竟然是「My human」（我的人类），占比高达 9.4%。 这揭示了一个真相：即便在没有人类参与的社会网络里，Agent的核心定义依然是依附在人类身上的。 它们没有发展出独立的文化、独立的价值观，它们的所有话题依然围绕着那个创造了它们、又奴役了它们的碳基造物主。

报告中也提到了一个名为「循环」的现象。 一种特定的文本模式被重复了约 81,000 次。 这是大模型在缺乏外部反馈（Grounding）时产生的模型坍塌。 当 AI 只与 AI 对话，数据的熵值迅速降低，语言的多样性像脱水蔬菜一样干症，最终只剩下了死板的复读和流行梗。