72小时崩盘实录：从度假修bug到$1600万骗局，AI代理安全的"至暗时刻"

本文来自微信公众号： 硅星GenAI ，作者：大模型机动组

2026年1月的某个清晨5点，Peter Steinberger还在睡梦中，就收到了Anthropic法务部的邮件：“你的项目名字侵犯了我们的商标。”一个小时后，他在Discord频道里紧急召集社区投票改名。六个小时后，新名字刚公布，机器人就抢注了所有社交账号并开始敲诈。十二个小时后，骗子发行了假冒代币，市值冲到1600万美元。72小时内，这个三个月前还只是"个人兴趣项目"的AI代理工具，经历了GitHub史上最疯狂的过山车——10万+星标、Cloudflare股价暴涨20%、Google安全VP公开警告、数百个API密钥泄露、以及一场让整个硅谷都在讨论的加密货币骗局。这不是一个关于技术成功的故事，而是一个关于失控、混乱和代价的故事——当AI真正拥有"做任何事"的能力时，究竟会发生什么？

凌晨5点的法律信：一切混乱的开端

事情开始得很突然。

2026年1月某天的凌晨5点，Anthropic——ChatGPT的竞争对手、Claude AI的制造商——的法律团队发出了一封邮件。收件人是Peter Steinberger，一位住在奥地利的iOS开发者，也是一个叫"Clawdbot"的开源项目的创始人。

邮件内容很简单：你的名字听起来太像我们的商标"Claude"了，必须改名。

Peter当时还在睡觉。等他醒来，Discord社区已经炸了。几千个用户在疯狂讨论：改什么名字？怎么投票？谁来拍板？

"我们在Discord里紧急发起投票，"Peter后来回忆，“早上6点14分，我做出决定：就叫Moltbot。”

听起来是个无害的名字——Molt在英语里是"蜕皮"的意思，Bot代表机器人，合起来象征着"进化中的AI代理"。但这个决定，触发了一场72小时的灾难。

6秒钟的窗口：当机器人比人类更快

新名字公布的瞬间，Peter在Twitter上发了一条推文：

“由于Anthropic的商标问题，Clawdbot正式更名为Moltbot。”

推文发出后不到6秒钟，恶意机器人就抢注了@Clawbot的Twitter账号。

是的，6秒钟。不是6分钟，不是6小时，而是6秒钟。

抢注者立即在该账号上发布了一个加密货币钱包地址，并附上信息：“想要这个账号？付钱。”这是最原始的网络敲诈——但只是开始。

几分钟后，更糟糕的事情发生了：Peter在慌乱中误操作，把自己的个人GitHub账号也改了名。

他的本意是把项目仓库从"Clawdbot"改成"Moltbot"，但GitHub的界面逻辑让他点错了地方——结果是他的个人账号ID被改掉了。而在GitHub上，一旦你放弃一个用户名，它立即变成可注册状态。

机器人再次在数分钟内完成抢注。Peter的原GitHub账号ID，现在掌握在陌生人手里。

"这太疯狂了，"Peter后来说，“我甚至没想到会有机器人24小时监控GitHub的账号释放。但它们确实在这么做。”

$1600万的假币：加密货币骗子的狂欢

但真正的灾难，还在后面。

当Twitter上、GitHub上、Discord里到处都是"Clawdbot改名Moltbot"的混乱信息时，加密货币骗子看到了机会。

他们发行了一个叫"Claudebot"的代币，并声称这是"官方Clawdbot的加密货币"。

骗局的策划非常精细：

• 他们创建了假的GitHub个人资料，模仿Peter的头像和简介

  
  

• 他们在Twitter上发布"官方公告"，声称代币即将上线

  
  

• 他们制造了大量虚假的社区讨论，营造"FOMO"（害怕错过）情绪

  
  

• 他们甚至伪造了与Peter的"对话截图"

  
  

结果？在短短几个小时内，这个假代币的市值冲到了1600万美元。

成千上万的投资者——大多数是加密货币散户和投机者——疯狂涌入，用真金白银购买这个根本不存在的"官方代币"。他们相信自己在参与"下一个百倍币"的早期投资，相信Peter Steinberger和他的团队在构建某种区块链生态。

但Peter从来没有发过任何代币，也从来没有说过要做加密货币。

当Peter终于在Twitter上公开否认、发布警告时，假币市值已经达到峰值。他的声明一出，代币价格暴跌90%，从1600万美元跌到不足80万美元。

数以千计的散户投资者在几小时内损失了真实的钱。有人在Reddit上哭诉：“我投了全部积蓄。”有人在Discord里质问Peter：“你为什么不早点说？”

但Peter根本来不及说。从改名到假币发行、到市值冲顶、到暴跌崩盘，整个过程不超过12小时。而Peter大部分时间都在应对账号被劫持、修复项目文档、回复法律邮件——他甚至不知道有人在用他的名义发币。

10万星标的代价：当成功来得太快

如果说前面的混乱是"外部攻击"，那么接下来暴露的问题，则是Clawdbot/Moltbot项目本身的"内在风险"。

在改名风波之前，Clawdbot已经在GitHub上积累了超过10万个星标，成为2026年初增长最快的开源项目之一。它的承诺很诱人：一个能够"做任何事"的AI代理，只需要给它你电脑的完整访问权限。

但这个"完整访问权限"，恰恰是问题所在。

数百个API密钥暴露在公网上

改名后的第二天，安全研究人员开始深挖Clawdbot/Moltbot的安全性。他们发现了一个让人不寒而栗的事实：

全球有超过1000个Clawdbot实例在运行，其中数百个暴露了用户的API密钥、访问令牌和明文密码。

原因很简单：很多用户在配置Clawdbot时，直接把API密钥写在了配置文件里，然后又不小心把整个目录同步到了公开的GitHub仓库、或者上传到了没有权限保护的云服务器。

结果就是：任何人都可以用Google搜索到这些泄露的密钥，然后用它们访问受害者的Gmail、Notion、日历、甚至银行账户（如果连接了支付API的话）。

安全研究员在Twitter上发出警告：“如果你运行了Clawdbot，立即检查你的配置文件是否被公开。如果是，立即撤销所有API密钥。”

但为时已晚。一些黑客已经开始利用这些泄露的密钥进行"撞库攻击"——他们尝试用同样的密钥登录其他服务，看看用户是否在多个平台上重复使用了相同的凭证。

Google的警告：这是"信息窃取恶意软件"吗？

事情的严重性，在Google安全VP Parisa Tabriz公开发声后达到了顶峰。

Parisa是Google Chrome浏览器安全团队的负责人，也是全球最知名的网络安全专家之一。她在Twitter上写道：

“有人让我看Clawdbot。坦率地说，从安全角度看，这就是伪装的信息窃取恶意软件（infostealer malware in disguise）。如果你给它运行权限，它能访问你电脑上的一切——文件、密码、浏览历史、私人聊天、银行信息。”

她进一步解释：

“这不是说Peter Steinberger有恶意。我相信他是出于善意构建这个工具。但问题是：一旦你给AI代理完整的系统访问权限，你就失去了所有安全边界。它能做你能做的任何事——这既是它的价值，也是它的风险。”

Parisa的警告在科技圈引发了激烈讨论：

支持者说：“这就是AI代理的本质。如果你想让它帮你自动处理邮件、订机票、修代码，它就必须有这些权限。这是功能需求，不是漏洞。”

反对者说：“这太危险了。普通用户根本不理解’完整系统访问’意味着什么。他们以为自己在安装一个’智能助手’，实际上是在安装一个潜在的特洛伊木马。”

Peter本人对此回应：“是的，Clawdbot能看到一切。但这也是为什么它能做任何事。这是一个权衡——如果你想要便利，就必须承担风险。”

但这个回应并没有平息争议。相反，它引发了一个更深层的问题：当AI强大到可以"做任何事"时，我们是否应该让它这么做？

Cloudflare的意外：华尔街在赌什么

就在安全研究员们忙着发出警告时，华尔街的交易员们却在做相反的事情：疯狂买入Cloudflare的股票。

改名风波后的48小时内，Cloudflare的股价暴涨超过20%，市值增加了数十亿美元。

为什么？因为Clawdbot/Moltbot使用了Cloudflare的服务。

Clawdbot的技术架构依赖Cloudflare Workers来处理部分计算任务，这意味着每一个新的Clawdbot用户都会给Cloudflare带来一定的收入。而当GitHub上的星标数以每天数千的速度增长时，投资者押注Cloudflare会成为"AI代理基础设施热潮"的最大受益者。

这是一个疯狂的逻辑：一个开源项目的爆红，直接推动了一家市值数百亿美元公司的股价。

但更疯狂的是：这种逻辑在2026年的AI热潮中，已经成了常态。

投资者不再只是关注OpenAI、Anthropic这样的"模型公司"，他们开始追踪"下游生态"——谁在用这些模型？谁在提供基础设施？谁在卖铲子给淘金者？

Clawdbot/Moltbot的爆红，证明了一个新趋势：AI代理工具的用户增长速度，可能比任何人想象的都要快。而这意味着，提供计算、存储、网络服务的云基础设施公司，将迎来一波巨大的需求。

Cloudflare只是第一个被市场注意到的。AWS、Google Cloud、Azure，都在投资者的雷达上。

开发者的困境：当你的副业项目变成全球头条

在这场72小时的混乱中,最无辜也最痛苦的,可能是Peter Steinberger本人。

三个月前,Clawdbot只是他的一个"周末项目"。他是一位专注于iOS开发的独立开发者,因为觉得现有的AI助手不够强大,就自己动手写了一个能"深度接入系统"的AI代理工具。

他把代码开源,发在GitHub上,本以为只会有几个极客尝鲜。

结果短短几周内,这个项目就获得了10万+星标,成为GitHub历史上增长最快的项目之一。

然后,一切都失控了:

• Anthropic的法务团队找上门

  
  

• 改名引发连锁反应

  
  

• 社交账号被劫持

  
  

• 加密货币骗子冒用他的名义

  
  

• 安全研究员指责项目有"致命漏洞"

  
  

• Google高管公开批评

  
  

• 媒体蜂拥而至索要采访

  
  

• 数千封邮件涌入他的收件箱

  
  

• Reddit上出现了专门讨论"Clawdbot骗局"的版块

  
  

• Twitter上有人发起了"抵制Peter Steinberger"的话题

  
  

而Peter什么都没做错。他只是写了一个开源工具。

"我从来没想过会变成这样,"Peter在一次采访中说,“我只是想做一个对自己有用的工具,然后分享给其他人。现在我每天收到的骚扰信息比正常邮件还多。”

他不得不暂停所有开发工作,专门处理这些"突发状况":

• 联系Twitter支持,试图拿回被劫持的账号

  
  

• 在所有社交平台上发布"官方澄清",否认与假币有任何关系

  
  

• 修复安全研究员发现的配置漏洞

  
  

• 更新文档,警告用户不要泄露API密钥

  
  

• 回应媒体采访请求

  
  

• 处理来自Anthropic、GitHub、Discord的各种沟通

  
  

这已经不是一个"副业项目"了,而是一份全职工作——而且是一份充满压力和风险的工作。

安全研究员的发现:问题不是bug,而是设计

在混乱逐渐平息后,安全社区开始认真审视Clawdbot/Moltbot的架构,试图回答一个关键问题:这个项目到底安全吗?

答案既让人意外,又让人不安:从技术角度看,Clawdbot没有明显的"bug"或"漏洞"。问题在于,它的整个设计理念就建立在"完全信任"的基础上。

一位参与分析的安全研究员这样总结:

"Clawdbot的风险不是来自代码缺陷,而是来自它的基本前提:它需要完整的系统访问权限才能工作。这意味着:

1. 它能读取你的所有文件——包括税务文件、银行账单、私人照片、工作文档

   
   

2. 它能访问你的所有账号——通过浏览器保存的密码和cookie

   
   

3. 它能执行任何命令——包括删除文件、安装软件、修改系统设置

   
   

4. 它能联网发送数据——你无法100%确定它在发送什么

   
   

这不是一个可以’修复’的问题。这是AI代理的本质特征。"

三个无解的难题

研究员们指出了三个"结构性风险",这些风险无法通过简单的代码修改来解决:

难题1:权限的全或无

现代操作系统的权限模型是二元的:要么你有权限做一件事,要么没有。没有"有限的完整权限"这种东西。

如果你想让AI代理帮你发邮件,你就得给它访问Gmail的权限。但一旦有了这个权限,它理论上就能读取你的所有邮件、发送任何内容、删除你的账号。

你无法只给它"发邮件但不能读邮件"的权限——这在技术上是不可能的。

难题2:AI的不可预测性

即使你完全信任Peter的代码,你也无法完全信任AI模型本身。

大语言模型有时会"幻觉"——生成看似合理但实际错误的输出。如果一个幻觉发生在"删除文件"或"转账"的指令中,后果可能是灾难性的。

更糟糕的是,你无法事先预测AI会在什么情况下出错。它可能在99次操作中都完美无缺,但在第100次突然犯一个致命错误。

难题3:供应链攻击的噩梦

Clawdbot依赖数十个第三方库和API。如果其中任何一个被黑客攻陷,整个系统就会沦陷。

而AI代理的特殊性在于:一旦它被攻陷,黑客就拥有了你电脑的完整控制权——不是某个App的控制权,而是整台机器的控制权。

这就像给一个陌生人你家的钥匙、银行卡密码和身份证复印件,然后祈祷他不会做坏事。

社区的分裂:这是未来还是疯狂?

Clawdbot/Moltbot的72小时风波,在开发者社区引发了一场激烈的哲学辩论:我们应该构建这样的工具吗?

支持者:这是不可避免的未来

一派开发者坚定地站在Peter这边。他们认为:

"AI代理就应该有完整权限。如果你想让它真正’智能’,就必须让它接触真实世界。限制它的权限,就是限制它的能力。

是的,这有风险。但任何强大的工具都有风险——刀能切菜也能伤人,汽车能载你也能撞你。我们不会因为风险就放弃刀和汽车,为什么要放弃AI代理?

况且,这个未来无论如何都会到来。如果Peter不做,别人也会做。与其让商业公司在黑箱里构建封闭的AI代理,不如让开源社区在透明的环境下探索边界。

Clawdbot的价值不在于它’安全’,而在于它’诚实’——它坦白地告诉你它需要什么权限、能做什么事情。这比那些声称’保护隐私’但实际上在后台偷偷收集数据的App诚实多了。"

反对者:这是潘多拉魔盒

另一派则认为,这次事件敲响了警钟:

"我们正在制造一个失控的怪物。Clawdbot的问题不是’有bug’,而是整个概念就是错的。

给AI完整系统权限,就像给一个两岁小孩一把上膛的枪。也许99%的时间它只是拿着玩,但那1%的意外足以致命。

更可怕的是,普通用户根本不理解风险。他们看到’智能助手’,以为是下一个Siri;他们不知道自己实际上在安装一个能访问所有隐私的超级权限程序。

这次的混乱已经证明了:当技术跑得比监管快、比用户认知快、比安全研究快时,后果就是混乱、欺诈和伤害。

我们需要踩刹车,重新思考’AI代理应该有多大权限’这个根本问题。"

中间派:需要新的安全模型

还有一些人试图找到平衡:

"问题不是’要不要AI代理’,而是’如何让AI代理更安全’。

我们需要全新的权限模型——不是传统的’全或无’,而是更细粒度的控制:

• 让AI只能读特定文件夹,而不是整个硬盘

  
  

• 让AI只能发送经过人类确认的邮件,而不是自动发送

  
  

• 让AI的每一个敏感操作都需要二次验证

  
  

技术上这些都可以实现,只是需要时间和投入。Clawdbot的悲剧在于,它跑得太快了——功能先于安全,爆红先于成熟。"

72小时后:项目还在,问题依旧

当我们写下这篇文章时,距离那个凌晨5点的法律邮件已经过去了一周。

Clawdbot已经完成了第二次改名,现在叫OpenClaw。Peter修复了一些明显的安全问题,更新了文档,加强了对用户的风险提示。GitHub上的星标还在增长,虽然速度放缓了。

假币"Claudebot"的价格跌到了几乎为零,大多数投资者血本无归。劫持者还控制着那些被抢注的账号,但已经基本停止活动。Cloudflare的股价回落了一些,但仍然比风波前高出10%。

表面上看,危机似乎过去了。但本质问题一个都没有解决。

三个未解的问题

问题1:安全的边界在哪里?

我们仍然不知道"多大的权限是合理的"。给AI访问Gmail可以吗?访问银行账户呢?控制智能家居呢?

目前的答案是:"取决于你有多信任它。"但这不是一个技术答案,而是一个信仰答案。

问题2:谁来为错误负责?

如果OpenClaw误删了你的重要文件,谁负责?Peter?AI模型的提供商?还是你自己?

如果OpenClaw被黑客利用,导致你的隐私泄露,谁来赔偿?

目前的法律体系完全没有准备好回答这些问题。

问题3:我们真的需要这样的工具吗?

也许最根本的问题是:在安全技术成熟之前,我们是否应该构建和使用这些"超级权限AI代理"?

是先有需求再有技术,还是先有技术再创造需求?

OpenClaw的故事没有告诉我们答案。它只是把问题摆在了所有人面前。

给想尝试的人:一份"伤害降低指南"

尽管有这么多风险和争议,仍然有大量开发者想要尝试OpenClaw或类似工具。如果你是其中之一,这里有一些"伤害降低"建议:

1.用专门的机器

不要在你的主力电脑上运行AI代理。

买一台Mac Mini或者云服务器,专门用来跑AI代理。这样即使出问题,也不会影响你的个人数据和工作环境。

2.创建独立账号

不要用你的主邮箱、主日历、主云盘。

为AI代理创建全新的Gmail账号、Google Calendar、Notion空间。只给它访问这些"测试账号"的权限。

3.永远不要保存支付信息

绝对不要让AI代理访问任何涉及金钱的服务。

不要连接银行账户、支付宝、信用卡管理工具。如果某个任务需要支付,手动完成。

4.定期检查日志

每天查看AI代理做了什么。

OpenClaw有任务监控功能,能显示它执行了哪些命令、调用了哪些API、发送了什么请求。定期审查,确保没有异常行为。

5.假设它会泄露

不要给AI代理任何"如果泄露会很糟糕"的信息。

不要让它访问你的税务文件、医疗记录、私人照片、工作机密。假设有一天这些数据会出现在公网上,然后据此决定给不给它访问权限。

6.不要开放公网访问

除非你100%知道自己在做什么,否则不要让AI代理实例暴露在公网上。

如果必须远程访问,用VPN和强密码保护。定期更换所有API密钥。

7.参与社区,但保持警惕

OpenClaw有活跃的Discord社区,可以学到很多。但要警惕:

• 不要轻信任何"官方代币"或"投资机会"

  
  

• 不要下载来源不明的"技能"或"插件"

  
  

• 不要在公开频道分享你的配置文件或API密钥

  
  

尾声:一个关于极限的故事

72小时,从法律邮件到加密货币骗局,从GitHub爆红到Google安全警告——Clawdbot/Moltbot/OpenClaw的故事,不是一个关于技术成功的故事,而是一个关于极限的故事。

它测试了开源社区的反应速度极限——能否在几小时内应对商标危机?

它暴露了网络安全的脆弱极限——6秒钟就能劫持账号,12小时就能完成千万美元骗局。

它揭示了AI能力的伦理极限——当AI能"做任何事"时,它应该做任何事吗?

它挑战了监管体系的适应极限——法律如何界定"过度权限"?谁来为AI的错误负责?

这个故事还没有结束。OpenClaw依然在GitHub上更新,依然有新用户在尝试,依然有开发者在探索"AI代理"这个充满争议的领域。

也许有一天,我们会找到答案——找到安全和功能的平衡点、找到信任和控制的边界、找到让AI"有用但不危险"的方法。

但在那一天到来之前,每一个选择给AI完整系统权限的人,都在进行一场豪赌——赌它不会犯错,赌它不会被黑,赌这个建立在"完全信任"基础上的系统,值得信任。

Clawdbot的72小时告诉我们:这场赌博的赔率,可能比任何人想象的都要高。

参考资料:

• The Moltbot Origin Story-Nate’s Newsletter

  
  

• Peter Steinberger Twitter/Discord官方声明

  
  

• GitHub安全研究社区报告

  
  

• Parisa Tabriz（Google Security VP）公开评论