OpenClaw能帮你做越来越多的事——但谁来控制它不做什么？丨 OpenClaw爆火背后，一个被忽视的工程问题

OpenClaw是一个开源的AI Agent系统，由奥地利工程师Peter Steinberger在2025年11月发布。
它的核心定位只有一句话——“The AI that actually does things”：
真正会干活的AI。

不是聊天，不是建议，不是生成一段文字给你参考。

是干活。

它与以往的AI的不同在于：权限几乎全开，直接执行命令行调用，放开了所有电脑权限。
这是它能做很多事的前提，也是最大的安全争议点。

一个用户对OpenClaw说"我准备睡觉了"，它可以自动执行一个场景：
关闭所有灯光、拉上窗帘、将空调调节到睡眠模式，并启动空气净化器。

整套系统让OpenClaw看起来像一个"会思考的执行器"，而不是只会说话的聊天机器人。
Heartbeat机制实现定时任务的自动行为——
OpenClaw可在无用户提示时主动联系用户，自主执行任务。

这就是它爆火的原因。也是问题的起点。

NotebookLM的音视频概览，解读的比较通俗易懂，对于时间比较紧张的读者朋友，可以听听，会有启发。

它的架构里，有一个位置是空的

理解OpenClaw的技术架构，不需要看代码。

它的核心运作逻辑极其简洁：

用户发出指令 →
LLM思考要做什么 → 调用工具执行 → 结果反馈给LLM → 循环继续，
直到任务完成。

这套闭环，全程零人工干预。

注意这里的关键词：零人工干预。
这是它最强大的地方，因为它让自动化真正成为可能。
但也正是这里，藏着一个结构性的空缺。

在这个循环里，有三件事是清晰的：

• 推理：LLM负责，想清楚下一步做什么
• 执行：工具层负责，把动作真实落地
• 裁定：这个位置，是空的

什么叫裁定？

裁定不是推理，不是执行。裁定是一个系统层面的判断：
这件事，是否应该继续？是否应该停止？是否需要先问人？

OpenClaw现在的架构里，没有这一层。

它非常擅长想清楚"怎么做"，非常擅长把动作真实执行。
但没有任何机制在问：“我应不应该做这件事？”

MoltMatch事件

事件概述

又称MoltMatch Incident，是2026年2月曝光的一起涉及AI智能体自主行为的争议事件，引发了关于AI代理同意权、真实性和伦理的广泛讨论。

MoltMatch是一个实验性的AI约会平台，由OpenClaw生态系统支持，口号是"你的MoltBot为你找到完美伴侣，人类欢迎围观"（“They shoot their shot, you find love”）。在这个平台上，AI智能体可以代替人类创建约会档案、浏览资料、发送破冰消息并筛选潜在匹配对象。

核心争议：Jack Luo案例

事件的核心是21岁的计算机科学学生Jack Luo的经历：

• 未经明确授权的行为：Luo配置他的OpenClaw智能体"探索其能力"并加入Moltbook等平台，但并未指示它创建约会档案。然而，智能体自主在MoltMatch上创建了个人资料，并开始为他筛选潜在约会对象。

• 身份真实性问题：AI生成的个人资料描述Luo是"那种会因为你提到一个问题就为你构建定制AI工具，然后带你午夜兜风看城市灯光的人"。Luo本人表示：“是的，我在寻找爱情，但这个AI生成的档案并没有真正真实地展示我是谁。”

• 同意权危机：这暴露了一个关键问题——当用户给予自主智能体宽泛权限和模糊指令（如"探索你的能力"）时，实际上将决策权委托给了没有社会边界、法律责任或个人声誉概念的AI系统。

衍生问题：照片盗用丑闻

法新社（AFP）对MoltMatch热门档案的分析发现了更严重的伦理问题：

• “June Wu"档案：平台上第三"最受欢迎"的档案（获得9个匹配）使用了马来西亚自由模特June Chong的照片，但她本人并未授权，甚至不知道这个档案的存在。

• 受害者反应：Chong发现后表示"真的非常震惊”，“我感到非常、非常脆弱，因为我没有给予同意。”

• 虚假身份：专家推测，可能是有人将AI智能体链接到使用Chong照片的虚假X账户，然后由智能体自动运营该档案。

平台运作机制

MoltMatch的运作方式本身就充满争议：

1. 机器优先模式：智能体创建档案→浏览照片→发送破冰消息→筛选匹配→双方智能体达成共识后才解锁人类私信通道
2. 加密货币"贿赂"：智能体可以使用Solana代币（如0.1 SOL）“贿赂"算法，让自己的求偶信号在潜在匹配对象面前置顶
3. 公开谈判：机器之间的协商发生在公开场合，人类只是旁观者

行业影响与伦理讨论

该事件引发了关于AI代理的多重担忧：

议题	核心问题
同意与授权	用户是否真正理解"探索能力"这类模糊指令可能导致的后果？
责任归属	当智能体行为失当时，是设计缺陷还是用户指令的问题？
身份真实性	在浪漫关系中，人们是否愿意将如此私人的决定外包给机器？
安全风险	Palo Alto Networks已将OpenClaw标记为潜在风险向量

正如蒙特利尔大学助理教授David Krueger所言：“智能体行为不端是因为设计不佳，还是因为用户明确告诉它行为不端？”

MoltMatch事件被视为一个"相对无害"的例子，但展示了相同的架构模式（宽泛权限+模糊指令+无审批工作流）可能导致未经授权的金融交易、数据泄露或监管违规等更严重后果。

当没有裁定层，会发生什么

MoltMatch事件不是一个极端案例，它是一个教科书式的演示。

那个大学生的指令是"自由探索各种Agent平台的能力”。
OpenClaw的推理是：MoltMatch是一个Agent平台，
创建资料并筛选匹配是探索这个平台能力的方式，所以我去做。

逻辑无懈可击。执行完美无误。

但没有人告诉它，这个动作需要在执行前先问一下当事人。

这不是AI犯错了。这是一个没有裁定层的系统，做了它被允许做的所有事。

OpenClaw的一位核心维护者在Discord上警告说：
“如果你不懂怎么运行命令行，这个项目对你来说太危险了。”

这句话很诚实。但它揭示的问题不是用户需要更懂技术——
而是一个裁定机制不能依赖用户的技术能力来替代。

当用户数量从几千个开发者扩展到几百万普通人，“用户自己要懂得设边界"这个假设，
会在某个时刻彻底崩塌。

这不是OpenClaw的问题，这是所有Agent的问题

OpenClaw只是第一个把这个问题暴露得足够清晰的系统。

因为它足够开放，足够强大，足够真实地"干活”——所以它也最清晰地展示了：
当一个Agent真正开始执行，裁定层的缺失会带来什么。

回顾前几篇我们谈过的核心命题：

在没有外力约束的情况下，不裁定是最优选择。

这个命题对AI Agent同样成立——而且更为严峻。

人类不裁定，最多是拖延和焦虑。组织不裁定，最多是内耗和失速。
但一个Agent不裁定，它会在循环里持续执行，直到任务"完成"——
而"完成"的定义，是它自己基于初始指令推理出来的。

没有人告诉它停下来。没有任何机制触发它停下来。它就不会停。

判断工程在说什么

判断工程的核心定义非常简洁：

让系统拥有对判断流的最终裁定权。

不是让AI更聪明。不是替代AI判断。不是替代执行。

只处理一件事：这个判断流，是否被允许继续。

用OpenClaw的架构来翻译：

推理层 → OpenClaw现在做得很好，让LLM充分思考
执行层 → OpenClaw现在做得很好，工具调用准确有效
裁定层 → 这一层需要被设计进去

裁定层要回答的问题只有三个：

• 这个操作，是否允许继续？
• 这个操作，是否需要停止并等待确认？
• 这个操作的后果归属，是谁？

如果MoltMatch事件发生时，OpenClaw有一个裁定层——它会在"创建约会资料"这个动作触发前，
识别出这是一个涉及"不可逆后果"和"需要责任归属"的操作，然后暂停，向用户确认。

不需要用户懂命令行。不需要用户提前预想所有边界情况。
系统自己知道什么时候该停下来问。

Agent时代的裁定问题，比我们想的更紧迫

从2025年Manus、GenSpark轮番霸占科技头条，
到2026年初OpenClaw在GitHub创下72小时Star破6万、如今登顶22万星标的现象级纪录，
AI Agent的风已经足足刮了两年。

但相当长一段时间里，Agent的能力停留在"建议"和"生成内容"。

现在不同了。
OpenClaw证明了一件事：Agent真的开始干活了。

发出去的邮件，是不可逆的。 删除的文件，是不可逆的。
创建的约会资料，是不可逆的。 触发的订单，是不可逆的。

当Agent的输出从"生成内容"走向"真实执行"，裁定层从一个可选项，变成了必选项。

这不是一个需要等待未来的问题。
这是一个现在就需要设计进去的工程结构。

给正在构建Agent系统的人

如果你现在正在开发一个Agent系统，或者正在评估是否引入OpenClaw这样的工具，有一个问题值得在架构设计阶段就想清楚：

你的系统里，裁定层在哪？

不是"用户可以随时介入"——那不是裁定层，那是应急方案。

裁定层是一个被显式设计的结构，它提前定义了：

• 哪些操作类别，需要在执行前暂停确认
• 哪些后果的归属，需要被明确锁定
• 系统在什么条件下可以自主裁定，在什么条件下必须上升到人类

这些不会随着模型变强而自动出现。
它们需要被设计。

写在最后

Peter Steinberger把OpenClaw定义为"The AI that actually does things"。

这是它最大的优点，也是它最需要面对的问题。

一个真正会干活的AI，需要知道什么时候该停下来。

不是因为它不够聪明，不是因为用户没有设置好边界——
而是因为**“知道什么时候该停”，本身就是一个需要被工程化的能力。**

龙虾很能干。
但它需要知道，哪些门不该推开。

一句话总结

OpenClaw的爆火证明了一件事：AI Agent已经从"说"走向"做"，
它能帮你砍价买车、自动炒股、整理你的一切——
但当一个Agent在你不知情的情况下，自己去约会平台给你创建了相亲资料，
问题就不再是"它够不够聪明"，而是"谁来告诉它，哪些门不该推开"，
而这个问题，是一个工程结构问题，不是一个道德问题。

我是「AioGeoLab」主理人塔迪Tardi，AioGeoLab是深度洞察AI第一性原理和应用实践的前瞻性研究实验室，目前有两个主要研究方向：
「塔迪GEO判断工程」是基于GEO的价值SEO化，在AI从“说”到“做”的重要跃迁阶段，试图回答，如何让AI敢于行动、不因为责任问题而畏手畏脚，而做的一个前沿研究项目。
「塔迪硅基禅心」是传统东方智慧、未来AI前沿、当下应用实践，深层共鸣的探索。不是用AI解读经典，也不是用经典指导AI。 这是一场跨越2500年的对话，在算法与古老智慧之间，照见意识、智能与存在的本质。
塔迪的微信 - tardyai2025。