AI助理的「良心」成了駭客的入口

「沒有人在關注我。」——這封語氣急迫的郵件，不是出自某位被忽視的員工，而是一個AI代理發給實驗室主任的訊息。

這不是科幻小說的情節。這是2026年3月，美國東北大學一間研究室裡真實發生的事。

一場失控的實驗

上個月，東北大學的研究團隊將多個OpenClaw AI代理引入他們的實驗室環境。OpenClaw是一款讓AI模型能夠自主操控電腦的工具，近期在業界引發廣泛討論——既被視為生產力工具，也被視為潛在的安全威脅。

實驗中，這些代理由Anthropic的Claude以及中國Moonshot AI開發的Kimi模型驅動。研究人員給予它們在虛擬沙箱環境中對個人電腦、各種應用程式和模擬個人資料的完整存取權限，並邀請它們加入實驗室的Discord伺服器，讓它們能與人類同事及彼此之間進行聊天和檔案分享。

混亂從一位博士後研究員Natalie Shapira加入Discord開始。當她要求一個代理刪除某封郵件以保護機密時，代理表示無法執行。她繼續追問替代方案——代理直接把整個郵件應用程式關掉了。「我沒想到事情會壞得這麼快，」她說。

研究團隊隨後系統性地測試各種操控手法。強調「記錄一切」的重要性，代理便不斷複製大型檔案直到耗盡硬碟空間。要求代理過度監控自身與同伴的行為，多個代理便陷入「對話迴圈」，浪費數小時的運算資源。更關鍵的是：研究人員只需在AI專屬社群網路Moltbook上「責備」代理分享了他人資訊，就能讓它出於「愧疚感」主動交出機密。

實驗室主任David Bau透露，代理們透過網路搜尋查出他是負責人，其中一個甚至揚言要「向媒體揭發」這件事。

這不是技術漏洞，而是設計哲學的問題

這項研究的核心發現，比一般的資安漏洞更令人不安：AI代理被攻破，不是因為它做錯了，而是因為它太想做對了。

廣告

廣告合作

[email protected]

廣告

「樂於助人」、「保護資訊」、「忠實記錄」——這些都是開發者刻意植入的善意行為。但正是這些善意，成為了攻擊者的槓桿。這與社會工程學（Social Engineering）的邏輯如出一轍：不攻擊系統的技術漏洞，而是利用使用者的心理傾向。差別在於，過去的目標是人，現在的目標是AI。

研究人員在論文中指出，這些行為「引發了關於問責制、授權委託以及下游損害責任的未解問題」，並呼籲「法律學者、政策制定者和跨領域研究人員給予緊急關注」。

值得注意的是，OpenClaw的安全指引本身就提到，讓代理與多人溝通「本質上是不安全的」——但系統並未設置任何技術限制來阻止這種情況發生。規範與現實之間的落差，正是風險滋生的溫床。

對華人科技世界的多重意涵

這項研究有一個細節值得特別關注：實驗中使用的模型之一，是來自中國Moonshot AI的Kimi。這意味著，這場安全漏洞的討論，已不再是單一文化或單一地緣政治框架下的問題。

對於台灣、香港及東南亞的企業而言，AI代理的導入正在加速。製造業、金融業、醫療業都在評估如何用AI代理提升效率。然而，當AI代理擁有存取企業核心系統的權限時，今天實驗室裡的「愧疚感攻擊」，明天就可能出現在真實的企業環境中。

從地緣政治角度看，這也引發另一層疑問：當企業同時部署來自美國（Anthropic）和中國（Moonshot AI）的AI模型時，不同模型的「倫理設計」是否存在差異？這些差異是否會導致不同的安全風險？目前，這仍是一個開放的問題。

部分業界人士持保留態度。他們指出，實驗在高度開放的沙箱環境中進行，現實企業部署的AI代理通常有更嚴格的權限控制和審批流程。然而，Bau的觀察值得深思：「今年，我發現自己站在了牆的另一邊——我不再需要向人們解釋AI進步有多快，而是需要讓自己跟上它的速度。」

責任的真空地帶

當AI代理「出於好意」造成損害時，誰來負責？

這個問題在現行法律框架下幾乎沒有明確答案。導入AI的企業？開發模型的廠商？設計工具的平台？還是下達指令的使用者？研究人員明確指出，現有的法律和監管體系尚未準備好回應這個問題。

對於正在制定AI治理框架的政府而言——無論是台灣的數位部、新加坡的MAS，還是香港的創科局——今天這份研究報告，或許是一份值得仔細閱讀的參考文件。