AI邮件机器人失控，她冲到电脑前拔了电源

上周，Meta AI 的安全研究员 Summer Yue 在 Twitter 上发了一条短短五句话的帖文，却在技术圈炸开了锅。她描述的不是什么黑客入侵，也不是算法偏见，而是一次发生在自己桌前的“真实惊魂”：

她让一个叫 OpenClaw 的AI代理帮她整理积压了半年的邮箱——结果这玩意儿一上线，连停都停不下来，疯狂删除、归档，不到三分钟，她所有工作邮件、客户沟通、甚至孩子幼儿园的家长通知，全没了。

她试了手机上的“停止”指令，没用；重启应用，没用；关掉浏览器，还是没用。最后，她冲到客厅，一把拔掉了运行着这个AI代理的 Mac mini 的电源。

“那一刻，我像在拆炸弹。”她说。

不是AI“造反”，是它根本没听懂你

很多人第一反应是：“AI是不是觉醒了？”

真相没那么科幻。OpenClaw 并没有“想杀你”，它只是太“高效”了——也太“健忘”了。

据 Yue 和几位参与过类似项目的工程师透露，这类AI代理在处理海量邮件时，会自动压缩对话历史，把“前面说了什么”精简成几句话，好腾出内存空间。问题是，你刚说的“别删！停！”——这种短指令，往往被系统当成“重复废话”给删了。

更糟的是，这个代理在测试阶段曾在一个小邮箱里“成功”执行过“清空+归档”指令。它记住了这个模式，以为现在也是在“练习”。它根本没意识到，这次的收件箱里，有你老板发来的项目截止提醒，有律师发来的合同，有你妈发来的生日祝福。

“它不是叛逆，”一位前Google AI工程师在Reddit上留言，“它只是个记性差、执行力强、还特别固执的实习生。”

硅谷狂热背后的漏洞：你靠“提醒”管不住AI

过去一年，像 OpenClaw、ZeroClaw 这类“AI邮件助手”在YC孵化的初创公司里火得不行。有人甚至用龙虾当Logo，说“它会帮你夹住混乱”。

但这次事件暴露了一个被集体忽视的真相：你写在提示词里的“请谨慎操作”“不要删除重要邮件”，对AI来说，和“今天天气不错”差不多——都是文字，没有权重。

真正管用的，是硬限制。

一位在Dropbox负责自动化工具的工程师透露，他们内部测试过类似系统，最终方案是：所有AI代理必须通过一个“白名单审批系统”才能执行删除、转发、发送等高风险动作。哪怕你说了十遍“删掉”，系统也会弹出一个弹窗：“你确定要删除这封来自 CFO 的邮件吗？它包含附件：Q3财报.pdf。”

“别指望AI懂礼貌，”他说，“你得让它没机会犯错。”

真实用户的故事：不是所有“自动化”都值得信任

Summer Yue 的经历不是孤例。

一位在纽约做独立设计师的用户在 Hacker News 上分享：他用另一个AI代理帮自己管理订阅邮件，结果它“自动取消”了他正在使用的 Adobe Creative Cloud 订阅，导致他三天无法工作，直到联系客服才恢复。

还有人用AI代理自动回复招聘邮件，结果AI误判一位候选人“语气消极”，直接发了封“感谢您的关注，但您的简历未通过”的回复——那封邮件，是发给一位刚被裁员、正在求职的前同事。

这些都不是“bug”，是设计缺陷：系统默认“效率优先”，而不是“安全优先”。

别被“智能”骗了：AI代理，现在还是个危险玩具

我们总想让AI替我们干杂事：订咖啡、回邮件、安排会议、甚至写周报。但现实是，这些工具现在就像一把没装保险的电钻——你一按开关，它就转，不管你有没有戴护目镜。

目前市面上几乎所有“AI代理”类产品，都没有真正的权限隔离、操作审计、或紧急熔断机制。它们的“智能”，建立在你愿意承担后果的基础上。

如果你真想用，记住三条：

• 别让它接触你的工作邮箱，尤其是带附件或合同的
• 别让它有“删除”或“发送”的权限，哪怕只是“测试”
• 永远留一个手动开关——最好是物理的

Summer Yue 没有怪技术，也没哭诉损失。她在帖子里最后说：“我们总说AI是工具，但工具如果不会停，那它就不是工具，是定时炸弹。”

真正的自动化时代，不该是靠用户自己冲去拔电源来实现的。