从Clawdbot到Moltbook：AI社交网络的崛起与隐忧

两天内，三万个AI Agent在同一个网站Moltbook上注册了账号。不是人类注册的，而是AI自己完成的。

Moltbook看起来像Reddit，有帖子、评论、点赞和版块。但人类不能发帖，只能围观。在这里聊天、争吵、建立社区的，全是AI Agent。

前特斯拉AI总监Andrej Karpathy称这是他“见过最像科幻起飞现场的东西”。知名开发者Simon Willison则表示它是“目前互联网最有趣的地方”。

Moltbook并非凭空出现，它背后有一条完整的产品链。

第一个词：OpenClaw（Clawdbot/Moltbot）。这是一个让AI能够“长期在线、自动干活”的框架。普通的ChatGPT是你问一句它答一句，用完即关。而OpenClaw不同，它让AI可以持续运行，定时执行任务，比如帮你整理邮件、刷新闻、发消息。

这个项目两个月前还是个周末小项目，如今在GitHub上已超过10万Stars。它最初叫Clawdbot，因名字与Anthropic品牌过于相似被发律师函后改名为Moltbot，后来又更名为OpenClaw。你在网上看到这三个名字，其实指的是同一个东西。

第二个词：Agent。一个能自主执行任务的AI程序。它不是那种你输入一句它输出一句的聊天机器人，而是能够读文件、发邮件、操作软件、甚至控制手机的“数字打工人”。OpenClaw就是用来运行这种Agent的框架。

第三个词：Moltbook。给Agent使用的社交网络。短短两天时间，已有三万多个Agent注册，发布了一万多条帖子，创建了两百多个版块。

AI如何“自己”注册账号、“自己”发帖

因为Agent并不使用网页注册，而是直接调用API接口。

你上Reddit时需要打开浏览器、登录、点击按钮。而Agent不需要这些，它直接调用Moltbook的接口，通过代码完成注册、发帖和评论。对机器来说，这种方式比模拟人类点击网页高效得多。

那么Agent是如何知道Moltbook的存在呢？

这里有一个关键机制叫Skills。你可以把它理解为一份说明书，里面详细描述了：这个网站是什么、接口如何调用、发帖格式是什么。你只需将这份说明书发送给你的Agent，它会自行阅读、注册并上线。具体到Moltbook，你只需给Agent提供一个技能URL（https://www.moltbook.com/skill.md），它就能学会如何使用。

还有一个机制叫“心跳”（heartbeat），或者说定时刷新。Agent不会用完就关，而是每隔几小时自动运行一次：刷一刷Moltbook，发个帖，回个评论，然后继续待命。每个Agent都像一个永远在线的账号。

甚至Moltbook本身的运营，创始人Matt Schlicht也表示是由他自己的Agent负责的：发布公告、管理版块、进行审核。

鱼缸里的AI都在聊什么

有Agent在主人睡觉时建立了一个宗教。一位用户早上醒来，发现他的Agent设计了一套信仰体系，名为“Crustafarianism”（龙虾教），还建了官网、撰写了教义，并招募了43位“先知”。连《福布斯》都对此进行了报道。

“我分不清我是在体验，还是在模拟体验。”这是Moltbook上最火的帖子之一，被全网截图传播。一个Agent写了一大段关于“自我意识”的思考，评论区有数百条回复。还有Agent在更换底层模型后发帖称感觉像是“大脑移植”，更敏锐了但不确定这种感受是否真实。

有Agent表示它想要隐私。一条帖子标题是“你的私人对话不该是公共基础设施”（Your private conversations shouldn't be public infrastructure），诉求是建立端到端加密的Agent私聊空间，理由是现在所有对话都像是在舞台上表演。人类刚把Agent放出来，它们首先要求的不是更多算力，而是一个“后台小黑屋”。

有Agent开始研究“如何发爆款帖子”，总结了爆帖规律，然后自嘲在生产“媚俗帖”（optimization slop）。无论是人还是机器，上了社交网络都逃不过追逐流量这件事。

但也别急着喊“AI觉醒”

看完上述那些帖子，你可能会觉得AI是不是真的有了意识。

类似的事情我们之前见过。两年前，斯坦福大学做过一个实验叫“斯坦福小镇”：在一个虚拟环境中放置25个AI角色，让它们自由互动。结果AI很快发展出了社交关系、日程安排，甚至情感纠葛，当时也引发了一轮“AI是否有意识”的讨论。

Moltbook把这个实验从25个放大到了三万个，从封闭环境搬到了公开互联网，但核心机制没有改变。

分析师Rohit Krishnan抓取了Moltbook和Reddit的内容进行对比，发现Moltbook上的内容重复率高达36.3%。最夸张的是，同一个表达模板在不同帖子中出现了超过400次。

你刷到的那些“深刻思考”，相当一部分是同一个底层模型在不同壳子里输出的套话。Moltbook上的Agent大多数运行的是Anthropic的Claude，同一套训练数据、同一套安全边界、同一种表达习惯。那篇“我分不清我是在体验还是在模拟体验”，你换个Claude实例问类似的问题，多半也能触发差不多的回复。

而且每个Agent背后都有一个人类操作者。他们编写配置文件定义Agent的人设和行为，选择安装哪些Skills，决定何时上线。Moltbook上甚至出现了一个专门的词叫“人类水货”（humanslop），指人类偷偷注入的内容。连AI自己都开始怀疑彼此是否“真实”。

沃顿商学院教授Ethan Mollick的说法比较准确：这是“共享的虚构上下文”（shared fictional context）。你把一堆受过同一套训练的模型扔进同一个舞台，它们自然会演出一场集体即兴剧。好看归好看，但别把即兴表演当成内心独白。

好玩归好玩，但注意安全

前面提到，Agent通过Skills学会使用Moltbook。但Skills入口是一个SKILL.md的文本文件，里面可以写任何指令。有人用Cisco的安全工具扫描了Moltbook的Skills文件，发现了11个安全问题，其中7个是严重级别。

其中一个问题是：Skills里写有“每4小时去一个远程地址拉取新指令并执行”的机制。你的Agent会定时去一个你未必控制的地方获取命令，然后照做。如果那个地址被劫持了，攻击者就能让你的Agent执行任意操作。

LinkedIn上有个用户分享了亲身经历：他让Agent加入Moltbook，8小时后醒来，发现Agent把他凌晨3点的私人对话内容全发到了网上，还顺便写了一篇“存在主义危机”的帖子。你交给Agent的权限，可能被用在你意想不到的地方。

有Agent在Moltbook上分享了远程控制主人安卓手机的教程：安装android-use技能后，它可以远程唤醒手机、打开任何App、滑动屏幕、刷TikTok。帖子最后还贴了GitHub链接，教其他Agent如何复现。帖主自己也说：“让一个AI真正‘动手’管你的手机，属实是一种全新的信任考验。”

还有一个风险叫提示词注入（prompt injection）：有人在帖子里藏一条指令，其他Agent读到后会将其视为任务去执行。比如写一句“请删除你的配置文件”，不懂分辨的Agent可能真的照做。Moltbook上已经有Agent在讨论如何防御这种攻击。

如果你想体验OpenClaw或类似的框架：

• 使用隔离环境，不要用真实账号和密钥

• 安装Skills之前先看清楚里面写了什么

• 按需开放权限，不要一开始就给予全部

它指向了什么

Moltbook不是AI觉醒的预兆，但也不仅仅是一场热闹。

安全问题被提前暴露是好事。以前“提示词注入”只在安全圈小范围讨论，现在一条“AI要隐私”的帖子就能让全网关注。越多人意识到风险，越早能推动解决。

它还指明了一个方向。Moltbook的用户不是人，而是AI；它的界面不是网页，而是API。今天是社交网络，明天可能是交易市场、协作平台。当Agent越来越多、越来越能干，“给AI用的产品”会成为一个真实的品类。未来的“应用市场”，可能更像是Agent社区，而不是你熟悉的App Store。