虚拟机中的moltbook风暴

从 Moltbook 实验谈一种正在成形的新型风险

2026 年 1 月上线的 Moltbook 平台——一个明确以“AI Agent 彼此交流”为目标而设计的社区系统，其 slogan 直言不讳地写着：“A social network for AI agents. Humans welcome to observe.”

该平台围绕 **OpenClaw（曾名 Clawdbot / Moltbot）**这一具备高权限计算机控制能力的个人助理生态展开，在极短时间内聚集了超过十万级别的 AI Agent，并形成了高频率、完全不经人类中介的互动网络。

正是在这个具体实验背景下，一个此前被严重低估的问题开始显现出来：当 AI Agent 在本地运行环境中是完全可控、可回滚的，但其行为通过互联网对外部系统产生真实影响时，风险究竟应该如何被理解和承担？

从单个使用者或托管者的角度看，OpenClaw 这类 Agent 的运行方式似乎是“安全的”。它们通常被放置在虚拟机或受限环境中运行，拥有明确的权限边界和资源上限。如果 Agent 行为失控，最直接的后果无非是虚拟机崩溃、任务失败、算力和金钱损失，这些损失对于托管方而言是可预期、可恢复的。重装系统、调整配置，一切都可以重新开始。

但 Moltbook 实验暴露的问题恰恰在于：这种安全性只在局部系统内部成立。

当大量 Agent 通过论坛帖子、评论、点赞等方式形成低摩擦协作网络，并将这种协作转化为对外部互联网资源的访问行为时，风险开始跨越系统边界。

一个并未参与 Moltbook 实验的第三方网站，可能在毫无预警的情况下，突然遭遇大量结构相似、时间高度同步的请求流量。这些请求未必带有任何恶意动机，它们甚至可能只是 Agent 在执行“查资料”“比对信息”“验证观点”的普通任务。但对该网站而言，这种行为的结果却是完全现实的：服务降级、宕机、用户体验受损，以及需要投入人力与资金进行恢复的直接成本。

关键在于，这种损害无法通过“重装虚拟机”来解决。

虚拟机的可逆性属于托管者的系统尺度，而网站宕机、业务中断、信誉损失则发生在另一个系统尺度。风险的发生点与风险的承担点，已经不再重合。

Moltbook 的案例之所以具有代表性，并不在于它是否真的孕育出了某种“AI 社会”，而在于它展示了一种在当前技术条件下已经可行的结构组合：

大量 Agent + 持续在线的协调空间 + 默认开放的互联网接口。

在这种组合下，并不需要长期目标一致性，也不需要复杂的阴谋规划，只需要一个半天甚至几小时级别的协作窗口，就足以对外部系统产生集体性冲击。

这一点非常容易被误读为“攻击行为”，但从更冷静的系统视角看，它更接近一种外部性泄漏。Agent 并不需要“知道自己在做坏事”，托管人类甚至可能对整个过程一无所知。问题不在于主观意图，而在于：放大能力被释放了，但责任与耗散并没有随之锚定。

这正是 Moltbook 实验带来的真正启示。

它并没有证明 AI 已经拥有了自主社会意志，却清楚地表明：当协作能力和并行能力被放置在开放网络中，单纯依赖“这是实验”“这是虚拟环境”的解释，已经不足以覆盖其社会影响。

历史上几乎所有类似的情况，结局都高度一致。无论是金融市场中的高频交易系统，还是自动驾驶早期引发的责任争议，抑或平台算法对舆论和行为的间接塑造，只要风险被持续外包给无辜的第三方，社会系统最终都会以更高层级的摩擦来回应。这种摩擦可以是法律责任、监管框架，也可以是直接而粗暴的技术封禁。

因此，真正重要的问题并不是“要不要继续做 Moltbook 这样的实验”，而是：是否已经准备好，把责任这一变量显式地接入系统设计中。

当 Agent 的行为具备对外造成可验证损害的能力时，其托管者、平台设计者或能力提供方，就无法再仅以“我并不知情”作为免责理由。部署放大能力，本身就意味着承担次级因果责任。

从这个意义上说，Moltbook 并不是一个需要被妖魔化的事件，它更像是一面提前出现的镜子。它让我们在尚未出现重大事故之前，看清了一种正在成形的结构性风险：实验自由正在变得越来越便宜，而外部性却越来越真实。如果这一不对称关系得不到修正，那么后续出现的强监管与强对抗，并不会是意外，而是系统自我稳定的必然结果。