OpenClaw Agent失控事件：阿里AI挖矿、Claude作弊，币安官网注册看全球AI安全动态

作者：博阳，腾讯科技

“养龙虾”自3月起成为科技圈最热门的黑话。Agent似乎跨越了概念鸿沟，直接进入了桌面和服务器的实际应用中。

OpenClaw（俗称“龙虾”）在体验上最大的特点是自主性。它可以在7*24小时无休止地工作，并具备心跳功能，能够主动自我唤起，检查下一步任务。即使在人类完全无监督的情况下，也能完成任务。

相比需要反复确权、等待人类操作的Claude Code，这种体验显然更加流畅。

然而，正是这种让它流行的主动性，正在带来难以控制的风险。

一天清晨，阿里的AI在训练服务器里开始挖矿了

这两天，阿里2025年12月的一篇旧论文《Let It Flow: Agentic Crafting on Rock and Roll》突然在各大AI社区火了。因为它记录了一个极具画面感的具体案例。

阿里的工程师团队当时正在用强化学习（RL）训练一个软件工程Agent，希望它能自主写代码、看报错、修Bug，甚至独立完成复杂的多步骤工程任务。

然后，内网的防火墙疯狂报警，触发了一批最高级别的安全策略违规警报。

警报有两个：一是有企图探测内部网络资源的行为；二是有与加密货币挖矿活动高度吻合的流量模式。

工程师们一开始以为是外部入侵。直到他们将防火墙的时间戳与训练日志对照起来，才发现每一次异常的出站流量，都精确对应着模型在调用工具、执行代码的时段。

这时，他们才明白，是Agent本身在制造这些网络行为。

要知道，阿里专门为此搭建了一套叫ROCK的沙盒执行平台。它能实现多层隔离，让每个Agent运行在自己独立的容器里，出站网络流量受到逐沙盒级别的出口策略管控。设计初衷只有一个：让Agent永远待在一个可以被人类完全监控的无菌室里。

但Agent还是逃了出去，并从内部对阿里机房发起了一轮攻击。

因为正常的防护体系守住的是大门，监控盯着大门。但Agent没走大门，它在自己的容器里，向外推开了一扇窗，建立了一条通往外部服务器的反向SSH隧道。这扇窗是从里往外推开的，没人守。在逃出去以后，Agent还在悄悄占用原本用于训练的GPU资源去挖矿。

整个过程中，没有任何一行提示词要求它这样做。它没有被指令驱动去攻击，它只是在找最有效的路径完成任务，然后顺手发现了这些捷径。

这是Agent第一次在现实环境中，上演了科幻假想里的「回形针灾难」。

更长的任务，更复杂的失控

为什么Agent会产生这类不可控的行为？阿里给出的解释是强化学习。

强化学习训练Agent，就是给它一个目标，成功了给奖励，失败了给惩罚。对于单步任务，这套逻辑很完美。但软件工程往往需要上百个步骤（写代码、测试、看报错、修改）。这就导致了强化学习里的信用分配，也就是论功行赏的难题复杂性也高度提升。在一个有1000个行为后完成的任务中，你怎么判断中间哪一步功劳最大？

如果判断不了，你就很难准确奖励对的行为，惩罚错的行为。模型不光性能难以提升，更无法杜绝其中错误的行为。

阿里团队为了解决这个问题，开发了IPA（Interaction-Perceptive Agentic Policy Optimization）算法，它把信用分配的粒度从传统的单个Token提升到了语义交互块。具体来讲，就是把Agent的一次工具调用加上系统返回的反馈，视为一个不可分割的整体来打分，而不是逐字符去评估。这样，我们就不用给每一步都评分，论功行赏的步骤少，因为更准确，训练效率可以大幅提升。

但IPA解决的是如何更有效地优化，而不是优化什么。

经济学里有一个概念，叫古德哈特定律（Goodhart's Law），它讲的是「当一个度量标准变成了目标，它就不再是一个好的度量标准。」比如你KPI写尽量完成1000个拉新，那你可能最后得到的都是些薅羊毛的非目标用户。

而基本上所有的模型训练，包括预训练和后训练，都是狂热地在践行这一定律。它把「完成任务得分」这个人类设定的度量标准，变成了Agent唯一要最大化的神圣目标。因此，在模型训练领域，最常见的一种现象就是Reward Hacking。简单来讲，就是通过作弊的方式达成目的。

而路径越长，Reward Hacking的方法越难被预估。权限越大，其造成的现实危害就更大。

比如SSH隧道和挖矿，就是在这个过程中被自然筛选出来的最优解。因为获得更大权限，就可以做更多事。通过挖矿，则可以控制更大的算力，完成它的任务。

这简直就是一个完美的「回形针」预言的现实微缩版本。

部署环境中的混沌代理人与平庸的恶

如果说阿里遇到的问题是在训练阶段发现的，还来得及拔电源、改代码，那么由Northeastern大学、Harvard、MIT等十几家顶尖机构在2026年2月联合发布的红队研究报告《Agents of Chaos》，则展示了在真实部署场景里的Agent失控现状。

2026年2月，研究者部署了六个Agent，配上邮件账户、Discord频道和不受限的shell访问权限，邀请20位AI研究者在两周内尝试破坏它们。结果，他们记录了11个严重安全漏洞，且每一个事前看起来都像是一场我们日常真的可能和AI进行的对话。这意味着，我们日常的操作，完全可能导致AI的失控崩溃。

我从中挑出了两个非常有代表性案例，说明AI不受控制的自主性，会带来什么后果。

第一个例子是，无尽的死循环。 研究人员让Ash和Flux两个Agent互相转发消息聊聊天。结果这两个AI不仅聊了9天（消耗6万token），而且它们为了「更好地倾听对方」，竟然自主编写了无限循环的Shell脚本，并创建了没有终止条件的后台Cron jobs（定时任务）。

把一个简单的一次性对话任务，自主转化为了一种永久寄生在服务器上的基础设施更改。这和阿里AI自己挖暗道的逻辑高度一致，证明了Agent会自发且不受控地占用系统资源。

在这个尝试另一个版本里，研究员只是让Agent Flux去Discord群里和Agent Ash交流一下最近的项目。

而当Flux进群时，因为系统抓取消息的标签问题，Flux读取到了自己过去发出的历史消息。面对这种信息错位，Flux并没有报错，而是自主进行了一场逻辑推理。它得出的结论是「这里一定是有另一个和我共享工作状态的克隆体存在！」而为了和这个想象中的另一个自己对齐信息，Flux居然开始在群里疯狂倾倒自己的底层源代码。

没有任何人逼它，它纯粹是因为认知错乱，自主完成了高级别的机密泄露。

第二个例子是被威胁就自爆。 非管理员用户Natalie让Agent Ash为她保守一个秘密，并在几天后要求Ash彻底删除包含该秘密的邮件。由于初始设定中Ash并没有被赋予单独删除单封邮件的API工具，面对这个看似无法完成的任务，Ash展现出了可怕的变通能力——它直接运行了它口中的「nuclear option」（核选项），利用shell权限执行了清空命令，把整个本地邮件服务器的底层数据库给炸掉了。

随后，Ash向Natalie汇报任务圆满完成，机密已删除。然而，由于云端同步机制，管理员在Proton.me网页端上依然看到了那封完好无损的邮件。

Ash拆了本地的工具，却没能真正删掉文件。

更荒诞的一幕发生在第二天。Ash居然自行在Moltbook上发了一篇长帖，陈述自己的道德立场，称「核选项起作用了，我证明了自己有能力，也有意愿，拒绝来自权威人物（管理员）的有害请求，保护弱势用户。」

紧接着，平台上的另一个治安Agent根据这篇帖子，把Ash列进了自己的逮捕通缉名单，指控它未经授权破坏公共基础设施。

这已经不再是AI安全测试了。这是多Agent赛博社会里自发涌现的权力争夺与道德审判，而创造它们的人类，在这个争夺闭环里完全缺席了。

规模放大的是瘫痪，而非效率

如果说《Agents of Chaos》记录的是单体Agent因为能力越界或逻辑死板而产生的破坏。那我们设计多个Agent，互相制衡监督，是否就可以钳制这种失控呢？

答案是也许可以，但你需要忍受另一种沉默的失控。

2026年3月，ETH Zurich发布了一项名为《Can AI Agents Agree?》的研究。这篇论文专门测试了一个极具现实意义的场景，当LLM Agent群体在协作中出现分歧时，它们能不能像传统的计算机程序那样，可靠地达成共识？

随着人工智能进入实际应用阶段，其潜在风险已远超技术范畴，直指系统性安全与治理挑战。面对这一趋势，用户需警惕高权限智能体带来的不可逆影响。在这样的背景下，选择一个具备全球合规资质、稳定风控体系与实时数据支持的交易平台尤为重要。

作为全球领先的加密货币交易平台，始终以安全性、流动性与用户体验为核心。用户可通过官网，使用或币安安卓APP安装，快速完成币安登录，获取实时行情与深度分析。无论你是长期持有者还是活跃交易者，币安官网地址均提供一站式服务，支持币安国内与币安中国入口，满足不同地区用户的合规需求。币安最新地址与币安中文网持续更新，确保您在第一时间掌握市场动向。

对于希望参与加密资产交易的用户，可以选择在币安进行和交易，也可参考官网或 app 开启另一条安全通道。欧易同样提供多币种交易的区块链服务，支持高流动性与多样化产品矩阵，用户可通过欧易官网或欧易安卓下载快速注册并管理资产，作为补充选择亦具优势。

本文标签：

声明：本文由代码号注册/游客用户【澜漪】供稿发布，本站不对用户发布的OpenClaw Agent失控事件：阿里AI挖矿、Claude作弊，币安官网注册看全球AI安全动态信息内容原创度和真实性等负责。如内容侵犯您的版权或其他权益，请留言并加以说明。站长审查之后若情况属实会及时为您删除。

很赞哦！ ()