OpenClaw：AI 工作者的隱私代價

OpenClaw 主打的話很直白：AI 不只會聊天，還會做事。它不是等你下指令的聊天框，而是常駐代理，能拆任務、呼叫工具、自己往下跑。這種玩法很吸睛。也很危險。

更誇張的是，它的 GitHub stars 傳出很快衝到 30 萬級。這速度很少見。你可以把它當成一個訊號：開發者真的受夠了只會摘要、只會改文案的 AI。大家想要的是能寄信、排程、填表、跑流程的軟體。

問題也在這裡。AI 一旦開始代你操作，隱私、授權、資安就不再是附加題。它們直接變成產品核心。講白了，OpenClaw 很像一台會自己上工的機器，但你得先想清楚，這台機器到底看了什麼、存了什麼、又能改什麼。

OpenClaw 到底改了什麼

多數 AI 工具還是停在「你問，它答」。你要按一下，它才動。你要貼資料，它才分析。OpenClaw 直接把這個流程打掉，改成持續運作的代理。它能把大任務拆成小步驟，再自己呼叫工具往下做。

這種設計，對重複性高的工作很有感。像信件整理、行事曆安排、工單分類、資料搬運，這些事情每週都在吃掉人力。人類做很煩。AI 做就很合理。至少在 demo 階段，看起來是這樣。

但這種便利不是白拿的。代理要做事，就得先懂上下文。上下文越多，它越有用。上下文越多，它也越像在你的生活和工作裡亂逛。這就是常駐代理的本質。

• OpenClaw 是代理，不是單純聊天機器人。
• 它可以長時間跑，不用每一步都等人按確認。
• 常見用途包含信件、行事曆、工單與流程自動化。
• 快速累積 30 萬級 stars，代表開發者買單很快。

我覺得這類工具最迷人的地方，是它把「會做事」這件事，從人手上接過去。最麻煩的地方，也是這件事。因為一旦它做錯，錯的不是一句話，而是一個動作。這差很多。

方便，通常都要拿資料來換

代理要好用，通常得吃很多資料。信件、文件、行事曆、瀏覽器 session、第三方服務帳號，常常都要開。每多一層權限，系統能看到的東西就更多。能推論的事情也更多。這不是抽象風險，這是產品設計本身。

你可能只想讓 AI 幫你排一場會議。結果它看到你跟誰最常聯絡、哪個專案卡住、你最近在怕什麼。這些資訊不一定會被明講，但模型很容易從上下文裡拼出來。比起原始資料，這種推論更可怕。

再來是同意問題。你授權它處理一個任務，不代表你想讓它碰旁邊的資料。可惜代理常常不是這樣運作。它為了完成目標，會跨過你原本沒想到的邊界。這在個人使用時很煩，在企業裡就可能直接變成合規問題。

“Privacy is not an option, and it shouldn’t be the price we accept for just getting on the Internet.” — Gary Kovacs, former CEO of Mozilla, TED 2012

這句話放在代理時代，還是很準。甚至更準。因為 AI 不只是讀你的網頁，它還可能讀你的信、看你的文件、推測你的關係網。你以為只是讓它幫忙，結果它其實在幫你畫出一張更完整的個人地圖。

所以問題不是「AI 會不會偷看」。問題是「它為了完成任務，必須看多少」。這兩件事差很多。前者像道德題，後者是架構題。

資安風險，比 prompt injection 還大

很多人一談 AI 代理，就先講 prompt injection。沒錯，那是問題。但更大的問題，是代理有工具權限。它不只會回文字，它還可能寄信、改資料、送出申請、觸發付款。這時候，風險就不是輸出錯誤而已。

如果一個代理能操作真實系統，那就要用權限控管的角度看它。不是看它回答得像不像人。是看它能不能在被騙、被誤導、被塞假指令時，還守住界線。這才是重點。

OpenClaw 這種系統至少要有幾個基本配備。第一，權限要分層。第二，敏感動作要人工確認。第三，操作紀錄要可追。第四，讀取權和寫入權不能混在一起。少一項，風險就上去一截。

• Prompt injection 可能讓代理執行惡意指令。
• 帳號權限太大，單次 session 出事就很麻煩。
• 寫入權比讀取權危險，因為它會改資料。
• Audit log 很重要，因為你要知道它看了什麼、改了什麼。
• 敏感操作最好要二次確認，不要全自動。

可以拿舊式自動化工具來比。script 也能寄信、也能改行事曆。可是 script 很窄，很可預測。代理不一樣。代理會自己判斷下一步。這讓它更方便，也讓它更難信任。

說白了，這類系統的安全問題，不是「模型答錯怎麼辦」。而是「模型答錯時，系統會不會真的動手」。這兩件事的代價完全不同。

跟 ChatGPT、Claude、Codex 比起來呢

要看懂 OpenClaw，最好把它放到其他工具旁邊看。ChatGPT 多半還是對話層。你可以問，它可以答。要真的動到外部系統，通常還要再接整套 workflow。

Claude 在推理和寫作上很強。很多人拿它寫文件、整理需求、做分析。但它的動作，還是得靠外部整合去完成。也就是說，它很會想，但不一定會自己去做。

Codex 這類 coding agent 則是另一種路線。它在受限環境裡很能打。像修程式、跑測試、改 repo，這種場景比較容易控管。因為邊界清楚。

OpenClaw 的位置更廣。廣，就代表更好用。也代表更難管。你讓它碰越多服務，出事的機率就越高。這很現實，不是口號問題。

• ChatGPT 偏對話，需要外部整合才會做事。
• Claude 強在推理與文字處理。
• Codex 適合受限、可驗證的程式工作流。
• OpenClaw 範圍更廣，風險也更大。

再補一個角度。傳統生產力軟體，預設人類還是最後拍板的人。代理把這個假設打散了。它會替你跑流程，甚至替你做選擇。這就是它看起來很猛、同時又讓人不太安心的原因。

所以評估這種工具時，別只問它能不能做。要問它做錯時，會錯到哪裡。這才是差別。

為什麼這波代理浪潮會一直來

代理不是憑空冒出來的。它是幾個東西一起成熟後的結果。第一，LLM 的推理能力夠了。第二，API 生態夠多。第三，企業和個人都厭倦手動流程。這三件事湊在一起，代理就很自然地冒出來。

而且這個趨勢不只在消費端。企業也很愛。因為很多內部工作本來就很瑣碎。像客服分流、工單派發、資料核對、內部通知，這些事情只要能省 20% 到 30% 的人力，老闆就會想試。

但企業比個人更怕出事。因為資料更多，權限更大，流程更長。代理一旦誤操作，後果不是一封錯信而已，可能是整條流程都歪掉。這也是為什麼很多公司現在嘴上很熱，實際上還在觀望。

另一個現實是，AI 代理的競爭，不會只比模型分數。還會比權限設計、稽核能力、資料隔離、成本控制。模型再強，沒有安全框架，也很難進正式環境。

我覺得這很像早期雲端工具的演化。大家一開始都在比功能。後來才發現，真正決定能不能上線的，是權限、日誌、治理和責任切分。代理也會走同一條路，只是這次更敏感。

接下來該怎麼看 OpenClaw

OpenClaw 代表一個很清楚的市場訊號。大家想要 AI 幫忙做事，不想只看它講幹話。這需求是真的，而且不會消失。因為只要它能幫你省時間，使用者就會繼續往前推。

但真正能活下來的產品，不會只靠「會做事」。它們還要讓人知道，它看了什麼、動了什麼、為什麼這樣做。沒有這些，代理就只是一個很會亂跑的自動化風險。

如果你是開發者，我會建議先從小權限開始。能讀就不要先給寫。能人工確認就不要全自動。能留 log 就不要只看結果。這些聽起來很保守，但實務上很有用。

如果你是使用者，問題也很簡單。先問自己：這個代理到底需要哪些資料？如果它被誤導，最糟會做出什麼事？你能接受嗎？答案如果不清楚，就先別急著把整個帳號交出去。

我猜接下來 12 個月，代理工具會繼續爆量。真正拉開差距的，不會只是模型有多聰明，而是誰能把自由度、隱私與安全切得更乾淨。這題，才剛開始。