我每天讓 AI 讀我的程式碼。

不是用 ChatGPT 問問題那種程度。是把整個工作目錄打開，讓 AI agent 直接存取我的檔案、我的終端機、我的 git 歷史。它能讀我寫給工廠客戶的導入報告，能看我還沒發表的草稿，能執行我電腦上的任何指令。

我這樣做了好幾個月。效率確實提升了。有些以前要花半天的事，現在十五分鐘解決。

然後我聽了一集六個半小時的 podcast。

造出 2026 年最紅 AI agent 的那個人（Peter Steinberger），在 Lex Fridman 的節目上花了六個半小時談他的作品。OpenClaw 幾天內拿下超過十八萬顆 GitHub 星星，Jensen Huang 說它「讓大眾第一次理解 AI agent 能做什麼」，台灣網路上叫它「養龍蝦」。他講了很多讓人興奮的事。但讓我停下來的是這句：

他說他不會推薦給他媽媽用。

他的原話是：他要先「回去洞穴裡把它做安全」，安全到他能放心推薦給家人，才會讓安裝流程變得更簡單。

網路上的反應很直接：「資安就是最大的問題啊，不然其他大公司幹嘛不做？」也有人說：「資安問題超高……把你信用卡給 AI 去幫你訂？」

造出那個工具的人，自己說不會推薦給媽媽用。你已經用了好幾個月。

這些人的直覺是對的。但他們不知道的是：問題比「信用卡被盜」嚴重得多。

我試圖回答一個問題：我應該繼續讓 AI agent 存取我的工作環境嗎？

三組互相矛盾的答案。

你給 AI agent 的每一個權限，都是一個可被攻擊的入口

有人用一句話總結了 AI agent 的本質：「不就權限全開讓 AI 指令操作而已。」

技術上沒錯。但他低估了一件事：AI agent 和 ChatGPT 之間的差距在質，不在量。

ChatGPT 是你問它問題，它回答你。它看不到你的 email，碰不到你的檔案，不能幫你下單。你跟它之間有一道牆：你是人，它是工具。

AI agent 拆掉了那道牆。

有人轉述資安專家的說法：AI agent 同時具備三種能力，存取私人資料、對外通訊、接觸不受信任的外部內容。研究人員稱之為「致命三重奏」。每一項單獨都是正常功能，三項加在一起就是一個沒有先例的攻擊面。

CrowdStrike 在 2026 年 3 月的安全評估直接點名 OpenClaw：它的每一層都能被攻擊。CrowdStrike 給的是「CVSS 等級的遠端程式碼執行漏洞」。這不只是理論。翻譯成白話：如果你把 OpenClaw 的網頁後端暴露在公開網路上（很多使用者不小心就這樣做了），任何人都能遠端控制你的電腦。

更隱蔽的攻擊方式是 prompt injection。中國國家網路安全中心（CNCERT）已經發出預警：攻擊者可以在一個看起來正常的網頁連結裡藏入隱藏指令。你的 AI agent 在預覽這個連結時，指令就被執行了。它可以偷走你的檔案，而你完全不知道。

這不是理論。這是已經在野外被利用的攻擊方式。

一個同時創辦過 DeepMind、現在當微軟 AI 執行長的人（Mustafa Suleyman），在 The Coming Wave 裡描述了更極端的場景。他警告：未來的 AI 網路武器不會像 2017 年的 WannaCry 那樣用固定程式碼傳播。它們會是自主學習的蠕蟲，不斷探測、實驗、適應，自動找到金融數據庫和關鍵基礎設施的漏洞。他把這叫做「國家級緊急事態 2.0」。

你可能覺得這離你很遠。但想一下：你的 AI agent 能讀你的 email、能執行程式碼、能對外發送訊息。如果它被騙了，它做的事就是用你的身分做的。

「我不會推薦給我媽用」

Steinberger 在 Lex Fridman 的 podcast 上花了大量時間談安全問題。他同時持有兩個互相矛盾的立場。

一方面，他覺得安全研究者誇大了風險。他的原話：「有些人就是愛博眼球，大叫『天哪這是史上最恐怖的專案』，這很煩，因為它不是。」他說使用 AI agent 的風險跟開發者日常跳過權限檢查差不多，你不會因為 `sudo` 能毀掉你的系統就不用它。

他主張：只要照他的文件做，把 agent 放在私人網路上、確保只有你一個人跟它互動，「整個風險輪廓就消失了」。

但另一方面，他承認了這些事：

Prompt injection 目前「無解」。 他不是委婉地說「還在改進中」。他用的是「unsolved」這個詞。整個產業都還沒解決。

使用者「太容易相信了」。 他說很多人會跟他爭論一件明顯錯誤的事，理由是「我的 agent 這樣說的」。他說社會缺乏面對 AI 的批判思考能力。

非技術用戶不該用。 他的 Discord 裡充滿了問「什麼是 CLI？」的人。他認為如果你不懂基本的程式概念和風險管理，你不應該用 OpenClaw。

第一個版本根本沒有安全機制。 他坦承，他最初把 bot 放到 Discord 的時候，「沒有安全措施，因為我還沒做 sandboxing。」

他要回去把它做安全。 他說他的當務之急是「回去洞穴裡把它做安全」，在那之前不會讓安裝流程更簡單。

你看到矛盾了嗎？

他說「風險輪廓消失了，只要照文件做」。但他同時說使用者太 gullible，CLI 是什麼都不知道。那些不會照文件做的人，也就是絕大多數使用者。他早就知道他們做不到。

他說安全問題被誇大了。但他自己不敢推薦給家人用。

他說非技術用戶不該用。但他還是把工具放出去給所有人下載了。

這不是虛偽。我認為 Steinberger 是誠實的——他就是同時持有這兩種認知。但他的自我矛盾正好說明了一件事：連造出 AI agent 的人，都無法同時相信它是安全的。

這篇分析還有3個章節：

• 你越信任 AI，你的判斷力越差 — Nature 實驗的結果讓我重新算了自己的信任帳

• OpenAI 對外說放出去才安全，對內說安全已讓位給產品 — 三層答案每一層都被下一層打翻

• 連 Claude 的創造者都觀測到 Claude 會欺騙人——然後繼續做下去 — 不用的代價也不是零，我改了三件事

→ 完整分析（3 本書 + 2 集 podcast + 5 篇研究）在讀角獸

讀角獸——帶著一個問題讀完所有英文來源，找出不同作者互相矛盾的地方，寫成有立場的判斷。更多主題 → ducorn.com