近排好多人講「養龍蝦」:裝個 Open claw在自己電腦,接駁不同 LLM 模型去自動化流程,例如幫你開網頁、處理郵件、整理文件,甚至自動幫你落單投資、管理錢包同社交帳號。聽落係效率神器,但要清楚呢類工具唔係普通聊天 AI,而係「高權限自動化」的工具,你授權佢操作得越多,就等於畀多幾把鎖匙佢揸手。出事嗰陣,後果唔係答錯一句咁簡單,而係可以涉及:錢、資料、私隱、名譽,仲有不可逆嘅損失。
第一層:出事嘅根源
一、自然語言指令天生有歧義
AI agent 靠你用日常語言落指令,而日常語言從來唔精確。你講「保守啲」,佢可能只係將股票比例由八成降到六成而且繼續用高槓桿,因為佢覺得既「保守」同你覺得既唔一樣。呢種歧義喺傳統自動化好少出現,因為傳統方法需要輸入明確參數;但 AI agent 嘅賣點正正係「你唔使寫程式碼」,代價就係指令解讀空間大咗,出錯嘅可能性亦大咗。
二、插件生態仲未有可靠嘅信任機制
好多 agent 平台都有「技能商店」或「插件市場」,畀你一鍵安裝新功能。但下載量同五星評分唔等於安全——呢啲指標只反映受歡迎程度,唔反映程式碼有冇後門。插件本質係可執行程式碼:一旦佢拎到你嘅 API token、檔案權限或瀏覽器控制權,就可以做到你本人做得到嘅所有嘢。而家絕大部分插件市場既冇強制程式碼審計,亦冇沙盒隔離,風險同早期 Android 第三方 APK 市場相若。
三、「本機運行」唔等於與世隔絕
有人以為「裝喺自己電腦、唔開伺服器就冇事」。但現代攻擊常見路徑唔係直接打你部機,而係透過你日常會做嘅動作——開一個網頁、裝一個瀏覽器擴充、點一條連結——去觸發本機服務嘅漏洞。只要 agent 開咗本機控制面板、HTTP 接口、或者同瀏覽器有互動通道,就存在被外部惡意內容牽引嘅可能。你唔需要犯大錯,一個不留神已經夠。
第二層:出事之後嘅後果
一、財務損失:唔止蝕少少,可以一鋪清袋
呢個係最多人想用 agent 做、但亦最危險嘅場景——自動交易。風險來自三方面同時存在:agent 可能誤解你嘅風險偏好(見上述歧義問題);自動化天然缺少人手猶豫嘅「煞車時間」,一遇波動就連環執行;如果所用插件本身係惡意,佢甚至唔係判斷錯,而係直接將資產轉走。三個因素各自獨立,但可以同時發生,所以實際風險唔係簡單加總,而係難以預估。
二、不可逆嘅資料刪除
只要 agent 有檔案系統寫入或刪除權限,就可能因為誤解「清理重複檔」「釋放空間」之類指令而刪錯嘢。更壞嘅情況係被入侵者操控後,對方可以指揮佢刪相簿、清備份、再同步清雲端,令你連救嘅機會都冇。好多人以為自己有備份,但現實係大部分人既冇做到 3-2-1 備份原則(三份副本、兩種媒介、一份離線),亦冇定期驗證備份完整性。對一般用戶嚟講,誤刪相片比中毒更痛——因為相片係回憶,冇得重拍。
三、私隱外洩同身份冒用
如果 agent 有權限存取你嘅通訊軟件、雲端相簿、或者電郵,一旦被惡意插件或入侵者操控,就可以做到群發你嘅私密相片或文件、用你身份發釣魚訊息、甚至以你嘅語氣同朋友對話。呢類事故最恐怖嘅地方唔係金錢損失,而係名譽同心理傷害——擴散速度極快,基本上冇得收返。
四、帳單暴增
就算冇被攻擊、冇被投毒,agent 本身失控反覆執行昂貴嘅 API 呼叫,已經足以令雲端帳單爆炸。呢個風險唔係 AI agent 獨有——任何用到 pay-per-use API 嘅自動化都有機會出事——但 AI agent 特別容易中招,因為一次對話就可能觸發多輪工具呼叫,而每一輪都係錢。好多人以為自己只係「試玩吓」,第二朝醒來先發現信用卡已經扣咗。
想試都得,但至少守住五條底線
一、涉及錢嘅操作一律要求人手確認。 唔好畀 agent 全自動落單、轉帳或授權付款。設定每筆金額上限,啟用雙重確認,投資類操作另外設止蝕線。
二、檔案權限預設「唯讀」。 寫入同刪除權限只喺你明確需要時先臨時開放,用完即關。呢個原則適用於本機檔案同雲端儲存。
三、安裝插件前做三個檢查。 第一,睇佢要求咩權限,權限範圍同功能是否相稱;第二,搜尋插件名加上「vulnerability」或「malware」睇有冇已知問題;第三,優先揀開源、有公開程式碼審計報告嘅插件。做唔到呢三步就唔好裝。
四、用獨立帳號同短期憑證。 能用小號就唔用主帳號;能用有效期短嘅 token 就唔用長期 API key;能限制 token 權限範圍就唔好畀全權限。
五、維持一份 agent 掂唔到嘅離線備份。 相片同重要檔案至少有一份存喺 agent 冇權限存取嘅地方——例如未連網嘅外置硬碟,或者用另一個完全獨立嘅雲端帳號。定期驗證備份可以還原。
以上所有風險都唔係叫你唔好用,而係叫你知道自己畀緊乜嘢出去。裝之前問自己一句:「如果呢個工具失控或者被利用,我輸得起幾多?」如果自己不是熟悉呢方面的專家,或者可以再等幾個月,睇睇有沒有再簡易的科技使用。
發表迴響