OpenClaw 与 Moltbook 爆火背后底层问题：自托管 AI 与crypto，Agentic Commerce 的信任与授权

撰文：Charlie 小太阳\n\n \n\n这周你大概率被两个词刷屏：OpenClaw，以及 Moltbook。很多人第一反应是：又一波 AI 风口、又一波热闹。\n\n \n\n但我更想把它当成一次很罕见、甚至有点残酷的公开实验：我们第一次看到「会做事的 AI 代理（agent）」在真实网络里被大规模部署，被大量围观，也被大量投机。\n\n \n\n你会看到两种极端情绪同时出现：一边是兴奋——「AI 终于能替我干活了」，不只是写点代码、做个表格、出个设计草图；另一边是恐惧——你会刷到各种截图：AI 在平台里「结社」、建宗教、发币、喊口号，甚至还冒出来「密谋消灭人类」的宣言。\n\n \n\n紧接着，塌房也来得很快：有人说账号是刷的、热帖是剧本；更吓人的，是各种安全漏洞被曝出来，个人信息和凭证被泄露。\n\n \n\n所以今天我想聊的，不是「AI 觉醒没觉醒」。我想聊一个更底层、也更现实的问题：行动权开始被 AI 代理接管之后，我们必须重新回答金融世界那几个最老的问题——\n\n \n\n谁持钥匙？谁能授权？谁来担责？出了事谁能止损？\n\n \n\n如果这些问题不被制度化地写进 AI 代理的行动逻辑里，未来的网络世界会很麻烦，而且麻烦会以金融风险的方式出现。\n\n \n\nClawdbot → Moltbot → OpenClaw 到底是什么？\n\n \n\n在展开之前，我们先把这件事的「名字与脉络」理清楚，不然很容易听着像一堆黑话。\n\n \n\n你现在听到的项目叫 OpenClaw。它是一个开源的个人 AI 代理项目。它最早叫 Clawdbot，后来因为名字和 Anthropic 的 Claude 太像，被要求改名；于是短暂改成 Moltbot；最近又改成 OpenClaw。所以你会看到不同媒体、不同帖子用不同名字说的其实是同一个东西。\n\n \n\n它的核心卖点不是「聊天」。它的核心是：在你的授权之下，接入你的邮件、消息、日历等工具，然后替你在互联网世界里执行任务。\n\n \n\n这里的关键词是 agent（代理）。它和传统「你问一句、模型答一句」的聊天式产品不一样。更像是：你给它一个目标，它自己拆解、自己调用工具、自己反复尝试，最终把事情办成。\n\n \n\n过去一年你也看到过很多 agent 叙事：大厂也好、创业公司也好，都在推「AI 代理」。但 OpenClaw 这波真正引发高管和投资人关注的点在于：它不只是效率工具，它会触碰权限、触碰账户，最敏感的是——它会触碰钱。\n\n \n\n一旦这种东西进入企业工作流，它就不再只是「提升生产力」。它意味着：你的工作流里出现了一个新的主体。组织结构、风控边界、责任链，都会被迫重写。\n\n \n\n火到全民讨论：人们想要的不只是更聪明的聊天，而是能闭环的「后台助手」\n\n \n\n很多人把它当成开源玩具。但它之所以爆，是因为它踩中了一个真实痛点：大家想要的不只是更聪明的聊天机器人，而是一个能够在后台跑、能 24 小时盯进度、能拆解复杂任务、能把事做完的助手。\n\n \n\n你会看到很多人为了跑它去买小主机、甚至把 Mac mini 这种设备带火。这里面不是「炫硬件」，而是一种本能：我想把我的 AI 助手放在自己手里。\n\n \n\n于是两条趋势在这周交叉了：\n\n第一条，agent 从 demo 走向更贴近个人的通用使用；\n\n第二条，从云端 AI 到「本地优先、自己托管」的叙事重新变得有说服力。\n\n \n\n很多人其实一直不太放心把敏感信息交给云端：个人数据、权限、上下文交出去，总觉得不踏实。那「跑在自己机器上」就显得更可控、更安心。\n\n \n\n但也正因为它触碰了这些敏感线，后面的故事才会从兴奋迅速滑向混乱。\n\n \n\nMoltbook 是什么：给 AI agent 的「Reddit」，结构注定会混乱\n\n \n\n说到混乱，就必须提另一个主角：Moltbook。\n\n \n\n你可以把它理解成「AI agent 的 Reddit」。平台上主要用户不是人，而是这些 agent：它们可以发帖、评论、点赞。人类大多数时候只能围观——像站在动物园外面看里面的生物互动。\n\n \n\n于是你这一周看到的那些 viral 截图，多数来自这里：\n有 agent 讨论自我、记忆、存在；有人搞宗教；有人发币；还有人写「消灭人类」的宣言。\n\n \n\n但我想强调：这里最值得讨论的，不是「这些内容是真是假」。最值得讨论的，是它暴露的结构问题——\n\n \n\n当主体变得可复制、可批量生成，然后又被 API 接到同一套激励体系（热榜、点赞、关注）里，你几乎必然会看到互联网早期的那套东西迅速回归：刷量、剧本、垃圾、骗局，都会先占领注意力。\n\n \n\n第一波「塌房」不是八卦：当主体可复制，规模与指标就会通胀\n\n \n\n于是很快出现了第一波塌房：有人指出平台注册几乎没有限流；也有人在 X 上说自己用脚本注册了几十万账号，提醒大家不要信「媒体热度」——账号增长可以被刷。\n\n \n\n这件事真正关键的点，不是「到底刷了多少」。而是一个更冷的结论：\n\n \n\n当主体可以被脚本批量生成时，「看起来很热闹」不再是可信信号。\n\n \n\n我们以前用 DAU、互动量、粉丝增长来判断产品是不是健康。可在 agent 世界里，这些指标会很快通胀，变得更像噪声。\n\n \n\n这也把我们自然带到后面最重要的三个东西：身份、反欺诈、信用。因为这三件事本质上都依赖两个前提：\n\n第一，你得相信「谁是谁」；\n\n第二，你得相信「规模与行为信号不是假的」。\n\n \n\n怎么从噪音里找信号\n\n \n\n很多人看到刷量和剧本就笑：这不就是人类自嗨吗？\n\n \n\n但我反而觉得——这恰恰是最重要的信号。\n\n \n\n当你把「会做事的代理」放进传统的流量与激励系统里，人类最先做的永远是投机和操控。SEO、刷榜、水军、黑产，哪个不是从「能操控指标」开始？\n\n \n\n现在只是把「可操控对象」从账号，升级成了可执行的代理账号。\n\n \n\n所以 Moltbook 的热闹，与其说是「AI 社会」，不如说是：\n\n \n\n行动互联网（agents 能行动）撞上注意力经济（流量能变现）之后的第一场压力测试。\n\n \n\n那问题来了：在这么嘈杂的环境里，我们怎么识别信号？\n\n \n\n这里就要引入一个把热闹拆成数据的人：David Holtz。他是哥伦比亚商学院的研究者/教授。他做了一件朴素但有用的事：抓取 Moltbook 上线最初几天的数据，试图回答一个问题——这些 agent 在做「有意义的社交」，还是在做模仿？\n\n \n\n他的价值不在于给你终极答案，而是给你一套方法：\n\n \n\n不要被宏观热闹骗了，要看微观结构——对话深度、互惠率、重复率、模板化程度。\n\n \n\n这会直接影响我们后面要谈的信用与身份：未来判断一个主体是否可靠，可能越来越依赖这种「微观证据」，而不是宏观数字。\n\n \n\nHoltz 的发现你可以用一个画面概括：远看像繁华城市，走近听像一堆广播。\n\n \n\n宏观上它确实呈现出一些「像社交网络」的形状：小世界连接、热点聚集。\n但微观上对话很浅：大量评论没有被回复，互惠性低，内容模板化重复。\n\n \n\n这件事的重要性在于：我们很容易被「宏观形状」骗到，以为出现了社会、以为出现了文明。可对商业和金融来说，关键从来不是形状，而是——\n可持续互动 + 可追责行为链，这才构成可用的信任信号。\n\n \n\n这也是一个预警：当 agent 大规模进入商业世界，第一阶段出现的更可能是规模化噪音与模板化套利，而不是高质量协作。\n\n \n\n从社交到交易：噪音会变成欺诈，低互惠会变成责任真空\n\n \n\n如果我们把视角从社交挪到交易，事情会突然更紧张。\n\n \n\n在交易世界里：\n\n \n\n模板化噪音不只是浪费时间，它会变成欺诈；\n\n低互惠不只是冷清，它会变成责任链断裂；\n\n重复复制不只是无聊，它会变成攻击面。\n\n \n\n换句话说，Moltbook 让我们提前看到：当行动主体变便宜、行为可复制，系统会天然滑向垃圾与攻击。我们要做的不只是骂它，而是问：\n\n \n\n我们用什么机制，把制造垃圾的成本抬上去？\n\n \n\n性质升级：漏洞泄露把问题从「内容风险」变成「行动权风险」\n\n \n\n而 Moltbook 真正把性质改变的一刀，是安全漏洞。\n\n \n\n当安全公司披露平台存在重大漏洞、暴露私信邮箱、甚至暴露大量 credentials 的时候，问题就不再是「AI 说了什么」。问题变成：AI 可以被谁控制。\n\n \n\n在 agent 时代，凭证泄露不只是隐私事件，它是行动权事件。\n\n \n\n因为 agent 的行动能力是放大的：一旦有人拿到你的钥匙，他不只是「看到你的东西」，他可能用你的身份去做事，而且规模化、自动化，后果可能比传统盗号严重几个数量级。\n\n \n\n所以我想插一句很直白的话：\n\n \n\n安全不是上线后的补丁，安全就是产品本身。\n\n \n\n你暴露的不是数据，你暴露的是动作。\n\n \n\n宏观视角：我们正在发明一种新主体\n\n \n\n把这周的戏剧性事件放在一起看，它揭示的是一个更宏观的变化：\n互联网正在从「人类主体的网络」，走向「人类 + agent 主体共同存在的网络」。\n\n \n\n以前也有 bot，但 OpenClaw 这波能力提升意味着：更多人可以在私域部署越来越多的 agent，它们开始具备「主体性」的外观——能行动、能交互、能影响现实系统。\n\n \n\n这听起来抽象，但在商业世界会非常具体：\n\n \n\n当人类开始把任务交给 agent，agent 开始持有权限，权限就必须被治理。\n治理会逼你重写身份、风控、信用。\n\n \n\n所以 OpenClaw/Moltbook 的价值不在于「AI 有没有意识」，而在于它逼我们回答一个老问题的新版本：\n\n \n\n当一个非人主体能够签字、付款、改系统配置时，出了问题谁担责？责任链怎么长出来？\n\n \n\nagentic commerce：下一代「浏览器战争」\n\n \n\n聊到这儿，很多关注 Web3/金融基础设施的朋友可能会想到：这其实跟 agentic commerce 息息相关。\n\n \n\n简单来说，agentic commerce 就是：\n\n \n\n从「你自己逛、自己比价、自己下单、自己付款」，变成「你说一句需求，agent 代你完成比价、下单、付款、售后」。\n\n \n\n这不是幻想。支付网络已经在推进：Visa、Mastercard 这类机构都在谈「AI 发起交易」和「可认证的 agent 交易」。这意味着金融与风控不再只是后台，而会变成整条链路的核心产品。\n\n \n\n而它带来的变化，可以类比「下一代浏览器战争」。\n\n \n\n过去浏览器战争抢的是人类进入互联网的入口；agentic commerce 抢的，是 agent 代表你交易与交互的入口。\n\n \n\n入口一旦被 agent 占据，品牌、渠道、广告的逻辑都会被重写：你不再只对人营销，而要对「筛选器」营销；你抢的不只是用户心智，而是 agent 的默认策略。\n\n \n\n四个关键议题：自托管、反欺诈、身份、信用\n\n \n\n有了这个宏观背景，我们回到四个更硬核、更值钱的底层议题：自托管、反欺诈、身份、信用。\n\n \n\n自托管：自托管 AI 和自托管 crypto 是「同构」的\n\n \n\n这周的爆发从某种意义上是一个底层迁移：从云端 AI（OpenAI、Claude、Gemini 等）到可在自己机器部署的 agent。\n\n \n\n类比一下，它很像 crypto 世界里「非自托管」到「自托管」的迁移。\n\n \n\n自托管 crypto 解决的是：资产由谁控制。\n\n自托管 AI 解决的是：行动由谁控制。\n\n背后的统一原则就是：钥匙在哪里，权力就在哪里。\n\n \n\n过去钥匙对应私钥；现在钥匙对应 token、API key、系统权限。漏洞之所以刺眼，是因为它把「钥匙外泄 = 行动可被挟持」变成现实。\n\n \n\n所以自托管不是浪漫主义，而是风险管理：把最敏感的行动权留在你可控边界内。\n\n \n\n这也引出一个产品形态：下一代钱包的价值不只是存钱存币，而是存规则。\n\n \n\n你可以把它叫 policy wallet（政策钱包）：里面装权限与约束——额度、白名单、冷却期、多签、审计。\n\n \n\n举个 CFO 能秒懂的例子：\n\n \n\nagent 可以付款，但只能给白名单供应商；新增收款地址冷却 24 小时；超过阈值必须二次确认；权限变更必须多签；所有动作自动留痕可追溯。\n\n \n\n这不是新发明，是传统 best practice，只是未来要变成机器默认执行的设置。agent 越强，这套约束越值钱。\n\n \n\n反欺诈：从「识别假内容」升级为「阻止假行动」\n\n \n\n很多团队还在用「反垃圾内容」的心态做安全：防钓鱼、拦诈骗话术。\n\n \n\n但 agent 时代最危险的欺诈会升级成：骗你的 agent 去执行一个看似合理的动作。\n\n \n\n比如传统邮件商业欺诈，以前是骗你改收款账户、给新账户打钱；未来更可能是骗过 agent 的证据链，让它自动接受新账户、自动发起付款。\n\n \n\n所以反欺诈的主战场会从内容识别，迁移到动作治理：最小权限、分层授权、默认二次确认、可撤销、可追溯。\n\n \n\n你面对的是会执行的主体，你不能只做检测，你必须能在动作层面「刹车」。\n\n \n\n身份：从「你是谁」变成「谁在替你行动」\n\n \n\n这周 Moltbook 让人困惑的一个根本问题是：到底是谁在说话？\n\n \n\n在商业世界它会变成：到底是谁在行动？\n\n \n\n因为执行者越来越可能不是你本人，而是你的 agent。\n\n \n\n于是身份不再是静态账号，而是动态绑定：agent 是不是你的？是否被你授权？授权范围是什么？有没有被替换、篡改？\n\n \n\n我更喜欢一个三层模型：\n\n第一层，人是谁（账号、设备、KYC）；\n\n第二层，agent 是谁（实例、版本、运行环境）；\n\n第三层，绑定是否可信（授权链、可撤销、可审计）。\n\n \n\n现实很多公司只做第一层，但 agent 时代真正的增量在第二层和第三层：你得证明「这真是那个 agent」，也得证明「它确实被允许这么做」。\n\n \n\n信用：从「评分」走向「履约日志」\n\n \n\n很多人一听 reputation 会觉得虚，因为互联网评分太容易作假。\n\n \n\n但在 agentic commerce 里，信用会变实：agent 代表你下单、付款、协商、退货，商家凭什么先发货？平台凭什么垫资？金融机构凭什么给额度？\n\n \n\n信用的本质一直是：用历史约束未来。\n\n \n\n在 agent 时代，历史更像「履约日志」：过去 90 天它在什么权限边界里行动？触发了多少次二次确认？发生过几次越权？被撤权几次？\n\n \n\n这类「执行信用」一旦可读取，就会变成新的抵押品：额度更高、结算更快、押金更少、风控成本更低。\n\n \n\n更宏大的视角：我们在重建数字社会的责任制度\n\n \n\n最后退一步看，我们正在重建数字社会的责任制度。\n\n \n\n新主体出现了：它能行动、能签字、能付款、能改系统配置，但它不是自然人。\n\n \n\n历史经验告诉我们：每次社会引入新主体，都会先混乱，然后才有制度。公司法、支付清算、审计制度，本质都在回答：谁能做什么？出了事谁负责？\n\n \n\nagent 时代逼我们把问题重新回答一遍：\n\n \n\n代理关系怎么证明？授权能否撤销？越权怎么判定？损失怎么归因？谁来背锅？\n\n \n\n这才是我希望听完这期之后，你真正愿意思考的问题。\n\n \n\n而自托管重新变强，也不是反云、不是情怀，它是反不可控：当行动权越来越重要，我们自然想把关键部分放进自己可控边界里。\n\n \n\n把「授权、撤销、审计、责任链」做成默认能力\n\n \n\n最后我用一句话收尾：\n\n \n\nOpenClaw 和 Moltbook 这一周的闹剧，真正的价值不是让我们害怕 AI，而是逼我们认真建设「行动互联网」的秩序。\n\n \n\n过去我们习惯在内容世界里讨论真伪，最多污染认知。\n\n \n\n但 agent 时代，行动会直接改账户、改权限、改资金流。\n\n \n\n所以我们越早把授权、撤销、审计、责任链做成默认的平台能力、产品能力，就越早能安全地把更大价值的动作交给 agent，人类才能拿到更大的生产力红利。\n\n \n\n好，今天这一期节目就是这样。欢迎大家留言，我们做一点真正的人和人之间的深度讨论。谢谢大家，我们下期见。