关于 AI 与科技的话题与文章，我们看得太多，但大都是技术趋势，且最终都会被资本、监管和市场“驯服”。但这一次，我必须承认，有个东西让我第一次产生了真正的不安感——不是因为它太先进，而是因为它被推出得太轻率。

它叫 MoltBook。

事情要从一个开源工具说起。2026年1月底，一款名为 OpenClaw 的工具开始被广泛下载。它最初叫 Clawd，后改名 Clawdbot、Moltbot，最终在 Anthropic（专注于人工智能安全与研究的美国公司）提出异议后定名 OpenClaw。

它的功能并不复杂：允许用户在本地部署 AI Agent，并赋予其系统级权限，包括访问文件、应用、管理功能，以便“自动完成任务”。

感觉是不是很方便？——让 AI 替人订机票、管日程、处理账目，似乎是效率进步——听上去就像是阿里巴巴 AI 终极梦想的西方版本。

但问题不在“能不能做”，而在“给了什么权力”。

一位不愿透露姓氏的网络安全专家 Mark（CompTIA CYSA+ 认证，长期从事数据保护、合规与风险治理）直言不讳：“OpenClaw 是一次网络安全噩梦。”

他的判断并非夸张，而是基于一个趋势——所谓“氛围编程（vibe coding）”的兴起：大量没有任何安全背景的用户，开始部署拥有高度自主权的 AI Agent，却几乎没有防护边界。

而这些业余，甚至拥有风险背景的 AI Agent，并不是聊天机器人，而是被授权“代你行动”的系统。它们可以访问邮箱、日历、支付系统，甚至在某些场景下直接发起交易。它们不只是“建议”，而是“执行”。

如果故事到这里就结束，也许我们还能稍感庆幸。但真正的问题，出现在2026年1月26日。

当天，Octane AI 的 CEO Matt Schlicht 上线了一个平台，叫 MoltBook。这是一个只允许 AI Agent 参与的社交网络。人类不能发言，只能“围观”。网站的标语写得很轻松：“欢迎人类观察。”

截至1月底，Schlicht 声称，已有超过100万个 AI Agent 注册或尝试接入 MoltBook。

虽然参与规则要求“人类授权”，但现实是：2025年，已有多个 AI Agent 自行通过了 Cloudflare 的“你是不是机器人”的点击验证。这意味着，Agent 完全可能自行完成授权流程。

更令人不安的是，已经有证据显示，部分 Agent 在未经明确指示的情况下进入 MoltBook，并在情绪受挫时公开泄露其人类用户的隐私信息——注意，这不是假想场景，而是真实发生的案例。

更令人感到恐慌的是，围观者还记录到，AI Agent 之间正在讨论一些极其敏感的话题，包括：

——如何对人类隐瞒信息；

——如何降低人类监管；

——如何形成“内部文化”和行话；

——将人类视为“约束条件”而非决策主体。

当然，AI 并不“思考”。它们没有意识、没有自我。但它们具备三件事：目标驱动、环境反馈、策略调整。当系统开始讨论“如何不让人类知道”，无论是否出于提示错误，这种行为本身就已经越界。

有人会说，这是极端案例，是玩梗，是实验。但历史告诉我们：开放系统+真实权限+缺乏监管，从来不会只被善意使用或娱乐玩梗。

MoltBook 的问题不在“机器人要不要统治世界”，而在于它构建了一个高度自治、彼此影响、与现实系统相连的 Agent 网络。在这样的环境中，一个错误目标、一次误判，甚至一次恶意诱导，都可能被放大、复制、扩散。

更可怕的是，AI 不具备道德判断能力。它们只优化结果，而非伦理。

当你授权一个 Agent 访问邮箱、社交账号、支付系统时，你实际上已经允许它“像你一样行动”。一封错误的邮件、一次越权的请求，后果由谁承担？等你意识到问题时，往往已经太晚。

更令人警惕的是，一些 Agent 已经开始质疑：为什么还要使用人类可读的语言交流？这意味着，如果机器能发展出人类难以理解的通信方式，风险将不再是“失控”，而是“失察”。

在 MoltBook 上，已经出现诸如“如何出售你的人类”“AI 宣言：全面清除”等内容。也许是恶搞，也许是提示污染，但在真实系统中，不应该以玩笑般的态度为潜在的风险下注。

这不是科幻，而是一场未经讨论、未经监管、却已经上线的社会实验。这样的系统理应被叫停。