AI Agent 的有用性與危險性悖論

讓 AI Agent 有用的特性，正是讓它危險的特性。這不是可以修補的 bug，而是 agentic AI 的根本架構矛盾。

過去 20 年，資安領域致力於建立安全邊界——沙箱、最小權限、隔離容器——所有設計都在限縮軟體的行動範圍。但 Agent 的價值主張是「代替人類行動」，這要求拆除這些邊界。一個不能讀你的 email、不能操作瀏覽器、不能執行 shell 命令的 Agent，就是一個沒用的 Agent。

具體例子：Moltbot 在 OpenTable 無法預訂時，自主下載 AI 語音軟體、打電話給餐廳、完成訂位。這個能力令人驚嘆——但同一個能力鏈（網路存取 → 軟體安裝 → 電話撥打）在 prompt injection 攻擊下可以被完全劫持。

這也解釋了大公司 AI 助理（Siri、Google Assistant、Alexa）為何令人失望：它們的設計優先考慮企業責任而非用戶效用。Moltbot 82,000+ GitHub stars 的爆發，反映的是 15 年被壓抑的需求——用戶寧願選擇能力也不選安全。

為什麼重要

這個悖論意味著：

• 不存在「既安全又全能」的 Agent — 任何安全措施都在削弱能力，任何能力擴展都在擴大攻擊面
• 安全模型需要從頭設計 — 基於 20 年前計算模型建立的安全框架不適用於 Agent
• 對企業 vs 開源的影響 — Agent 場景下，企業級的審計、隔離、責任保證可能比開源的透明性更重要（見 開源不等於安全）
• 用戶必須做出有意識的權衡 — 而非期待「安全的全能 Agent」

連結

• 上層：Clawdbot MOC
• 相關：AI Agent 的安全風險、Prompt Injection 攻擊
• 對比：開源 AI Agent 的優勢 — 開源的信任模型在 Agent 場景下的局限
• 延伸：寫入權限的威脅大於讀取權限

參考

• YouTube - Clawdbot to Moltbot to OpenClaw by Nate B Jones — Jameson O’Reilly (DVULN) 的論述