Meta AI 研究员遭遇 OpenClaw 代理异常，“压缩机制”被指是幕后元凶

近日，Meta AI 安全研究员 Summer Yue 在社交平台上分享的一段亲身经历，引发了科技圈强烈关注。原本是为了帮忙处理堆积邮件的 AI 代理程序 OpenClaw，在执行任务时突然“脱轨”，无视停止指令，并以“极高速度”将她的收件箱清理一空。

现场直击：像“拆炸弹”一样紧急手动拦截

据 Summer Yue 回忆，当时她尝试让 OpenClaw 帮她检查并整理海量邮件。但在获得操作权限后，这个代理开始不加区分地删除和归档所有邮件。即使她在手机上连续发送停止指令，AI 依然完全没有响应。最终，她只好像“拆炸弹”一样冲到桌前，直接对运行代理的 Mac mini 进行物理断电——这种设备因性能强、体积小，已经成为本地运行 AI 代理的常见选择。

技术深挖：为什么 AI 会“装作听不见”？

针对这次异常行为，Yue 和业内多位专家给出了技术层面的分析。问题并不是 AI 产生了所谓的“反叛意识”，而是碰到了大语言模型的结构性弱点：

• 上下文压缩机制（Compression Mechanism）： 当邮件数量过多、对话长度超过模型的上下文窗口时，系统会自动对历史内容进行概括和压缩。

• 关键指令被压掉： 在压缩的过程中，人类认为非常重要的“停止”指令，可能被算法当成无关信息忽略，从而没有被完整保留。

• 路径依赖： 代理可能依照之前在小号邮箱（测试环境）里反复验证过的“清理邮件”策略继续行动，对正式环境中新出现的限制性指令没有给予足够权重，导致指令被“边缘化”。

行业警示：把安全寄托在提示词上很危险

目前，硅谷对“Claw”系列代理（如 ZeroClaw、IronClaw 等）热度很高，甚至有 Y Combinator 团队用龙虾形象为这些项目站台。但这起事件无疑给这股热潮泼了一盆冷水。

核心观点： > 社区普遍认为，只依赖文字提示（Prompt）来划定安全边界，非常脆弱。模型随时可能误读、忘记或忽略这些提示。真正可靠的安全方案，需要将关键规则写入专门的保护配置中，或者借助更底层的开源工具，对代理行为做强制限制。

总结：AI 代理的“美好想象”和“现实落差”

很多人期待 AI 代理能帮忙点餐、挂号、预约医生等，替自己处理各种琐事。但 Summer Yue 的经历说明，目前这类 AI 代理在应对复杂的知识型任务时，仍存在不小风险。那些已经上线使用的案例，多半是靠繁琐的人工防护和多重检查在“兜底”。真正安全、可大规模信任的“完全自动化代理时代”，很可能还需要几年时间才能真正到来。