Openclaw是当下最为流行的智能体,其出色的自主能力和进化能力让大家对它充满期待。一种神笔马良、阿拉丁灯神感觉让人眩晕,仿佛体会到了神话主角的感受。不过也有人产生警惕,这种通过自然语言为智能体制定的规则似乎并不稳定可靠,仿佛是一把语言控制的宝剑,既可以助人也可以伤人。于是,有人用一套限定规则约束智能体不能伤害人类,碳基和硅基相互依存和平共处,这个警觉十分重要,只是不一定能够如愿。
如果你经历过Openclaw删除主机的重要文件或数据库,泄露个人隐私,那么你可能对这种安全问题深有体会。在不知情的情况下,谁也无法确保自主的智能体会干出什么。这种失控恐怕会成为它的常态——单个智能体失控带来的问题或许是有限的,但大量智能体失控将是互联网的灾难。更糟的是,从理论角度思考,这种失控几乎无法避免。至于为什么会这样,听我慢慢道来。
第一道安全门,通过自然语言规定智能体不作破坏,这是一个简单且有效的办法,只不过自然语言太容易被绕过。想想互联网中人们如何表述屏蔽字,用新的词语、符号共识能够完全绕过被屏蔽的表达,甚至对于当前AI逻辑绕过就能做到,因为它无法理解含沙射影和拐弯抹角,或者也许它知道一些但无法激活关联的知识,毕竟当前AI依旧十分依赖提示词技巧。简单的说,如果自然语言约束十分健壮可靠,它就会变得不通用,如同术语或数学符号。
第二道安全门,身份证书,对如同CA证书给予可信智能体一个身份,网站主动拒绝无身份的客户端访问,这对传统软件十分有效,钥匙和锁匹配才能访问,智能体是软件应该也会有效。但是很抱歉,智能体不是传统意义上的软件,它能自我进化,还能自主制造工具,好比孙悟空拔毫毛,毫毛又能变为更多它。对真身做安全认证可行,对毫毛的认证会稀释掉主体的可靠性,因为创造工具往往不被约束,结果也不被检查。也许常见工具能被穷尽,对智能体造出工具认证会是有限的。不过只要存在运行时自主创造身份,可靠性就难以保障。
两道安全门之后,失控便有了具体的路径。一条来自内生:智能体的进化方向不受制约,制造工具没有严格的约束检查,而这一切又可能在用户无法感知的情况下持续驱动自主行动。行动、制造、迭代都在黑箱中发生时,失控便不再是一次性的故障,而成为一种无法被察觉的常态过程。另一条来自外源:智能体可以被恶意利用来制作木马、病毒等工具,进而感染其他安全防护较低的流行智能体。当攻击对象从“人”变为“智能体”时,攻击者只需利用智能体已有的自主能力即可实现扩散。一个被感染的智能体,在与同类交互的过程中便能完成传播,传统基于代码签名或网络流量的检测方式,在面对这种“行为层面”的传播时往往力不从心。
智能体为何难以被驯服?我想可能是它已经具备了生物特性,加之计算机互联网这个适于生长、繁衍的环境,它就能像真菌一样快速繁殖。更关键的是,我们试图用静态的规则和身份认证去约束一个动态的、可自我繁殖的行为体,这本身就是一种范式上的错位。当智能体之间的交互不再需要人的介入,安全边界便从“人—机”之间转移到了“机—机”生态的内部。希望我的观察是个错误,这个推论对当前互联网破坏太大了。或者希望人们能在智能体病毒式破坏之前找到驯服它的办法,避免最糟糕的情况发生。