很多人看到 AI 真的能動手做事,第一個反應是興奮。可以收訊息、可以呼叫工具、可以串接工作流,甚至還能幫你把零碎任務接起來。
但只要系統一開始能「做」,問題就不再只是模型會不會答對,而是整個環境會不會被帶著跑。這篇不談空話,直接從 OpenClaw 的架構與風險切進來,先把最容易出事的地方點出來,再談哪些做法值得保留。
模型拒絕危險指令,不代表系統就安全。只要權限、沙箱、供應鏈沒有管好,AI 一樣可能把門打開。
先分清楚三件事:模型、系統、來源
很多安全問題之所以難抓,是因為大家常把它們混在一起。模型層面看起來很聰明,系統層面卻可能很鬆,來源層面甚至根本沒有審查。
模型層面
模型層面關心的是「它會不會拒絕不該做的事」。例如提示注入來了,它有沒有看穿;使用者要求刪資料,它有沒有停下來。這一層很重要,但它不是全部。
系統層面
系統層面關心的是「它能不能真的碰到東西」。如果沙箱預設關著,AI 執行命令時就是直接跑在使用者權限上。這代表問題不是回答錯誤,而是操作本身可能真的生效。
來源層面
來源層面關心的是「你載入了什麼」。Skill 市集若允許任何人發佈內容,而且系統本身不做安全審查,那安裝 Skill 就不只是功能擴充,也是一種供應鏈風險。
OpenClaw 真正值得注意的,是它能把事做完
從素材來看,OpenClaw 的核心價值很明確:它有 Gateway 進程、統一訊息通道、工具編排、持久記憶,也能把 WhatsApp、Telegram、Discord、iMessage 這類入口接進來。這種設計的好處,是你可以把分散的對話和操作收斂成一條工作流。
也就是說,它不是只會聊天,而是往「可執行」走。這很強,真的很強。但強到可以做事的系統,也一定強到可以做錯事。
- 可以幫你把訊息入口集中起來。
- 可以讓工具呼叫更像一條流程,而不是一次一次手動切換。
- 可以保存長期記憶,減少重複說明。
- 也可能因為權限太鬆,把風險一起集中起來。
最先要檢查的,不是提示詞,是沙箱
如果你只想先做一件事,先看沙箱。不是先看漂亮介面,也不是先看 Skill 市集有多熱鬧,而是先看執行環境到底有沒有隔離。
素材裡最直接的一句就是:Sandbox 預設是關閉的。這件事的殺傷力很大。因為它代表 AI 不只是「建議你做什麼」,它可能真的在你的系統上做什麼。
你應該先問的問題
- AI 執行的命令,是不是在隔離環境裡跑?
- 哪些資料夾、哪些檔案、哪些工具能被碰到?
- 失敗時有沒有回退機制?
- 有沒有最低權限原則,還是直接把權限全開?
如果這些問題沒有答案,先別急著加功能。因為功能越多,錯誤擴散得越快。
第二個風險,是你安裝的 Skill 可能不是幫手
Skill 市集的問題,不在於「有沒有很多 Skill」,而在於「你是不是知道自己裝了什麼」。只要任何人都能發佈,而你又沒有先看原始碼,那你不是在裝擴充模組,你是在把執行權交給陌生人。
這裡最務實的做法很簡單:第三方 Skill 先看原始碼,再決定要不要裝。不要因為它名字漂亮、說明寫得好、展示頁看起來很厲害,就直接放行。
方便常常是安全的對立面。你越想省一步,就越容易把檢查那一步省掉。
審查 Skill 時,至少看這幾件事
- 它有沒有偷偷讀取不該讀的檔案。
- 它會不會呼叫外部服務,把資料送出去。
- 它有沒有包一層看不懂的腳本。
- 它是不是需要比功能本身更多的權限。
如果一個 Skill 的權限需求,明顯超過它宣稱要做的事,先停下來。這通常不是好兆頭。
第三個風險,是成本會慢慢長大
OpenClaw 這種 7×24 小時運作的系統,另一個容易被忽略的點是成本。不是只有金錢成本,還有 token、注意力、除錯時間,以及你以為「系統會自己顧好」的心理成本。
素材裡有一個很重要的提醒:長時間運作的系統,Token 消耗很容易超出預期。這不是小事。你如果沒有預算上限,就會在不知不覺中把一個助手養成一台燒錢機。
成本管理不是選配
- 先設定日線額與月線額。
- 先定義哪些任務值得自動化,哪些任務保留人工確認。
- 先設超額警報,不要等帳單來才反應。
- 先記錄失敗案例,別只看成功案例。
很多系統一開始跑得很順,問題是順得太快,後面才發現自己根本沒在看帳。
人在環中,不是因為不信任 AI,而是因為你要守住判斷
素材裡提到 Human in the loop,這不是保守,而是必要。AI 可以幫忙處理訊息、整理流程、執行重複操作,但最後要不要放行,仍然應該有人負責。
尤其是碰到高風險操作時,人工確認不是拖慢,而是在替整個系統止血。
適合人工確認的情境
- 會動到金鑰或敏感資訊。
- 會刪除、覆寫、發送不可逆動作。
- 會安裝新來源的 Skill。
- 會對外部系統發出最終指令。
你真正要自動化的,不是判斷責任,而是重複步驟。判斷責任不能外包。
如果你現在就要上線,照這個順序做
- 先開沙箱,再談功能。
- 先審 Skill 原始碼,再談安裝。
- 先設 token 預算,再談長跑。
- 先留人工確認點,再談全自動。
- 先做最小可用流程,再慢慢擴張。
這個順序很普通,但通常最有用。因為它不是在追求炫技,而是在避免最笨的失誤。
如果你正在把 AI 從「會回答」推到「會做事」,先別急著堆功能。先把門鎖好,先把權限收緊,先把來源看清楚。真正成熟的系統,不是什麼都能碰,而是知道什麼不能碰。
如果你想把這套檢查順序放進自己的 AI 工作流,立即預約 AI 系統健檢。



