当AI从「动口」进化到「动手」,我们该如何在便利与隐私之间划出一条清晰的界限?
引言:当AI学会「动手」
2025年到2026年初,AI领域最激动人心也最令人不安的变化是什么?
不是模型参数又翻了几倍,不是对话更加流畅自然,而是AI终于从「动口」进化到了「动手」。它们不再满足于告诉你「应该怎么做」,而是直接替你「把事情做了」——打开电脑、操作手机、预订行程、管理文件,像一位不知疲倦的数字助理,接管了你与数字世界的交互。
这场变革始于 Manus 的惊艳亮相,经由OpenAI CUA的技术突破,再到 MCP 协议的统一调度,最终在2026年初演变为一场全民狂欢——人们开始在电脑上「养龙虾」(OpenClaw),在手机里驯服“Miclaw”,体验着 AI 替自己操作一切的魔幻感。
但伴随狂欢而来的,是一连串令人不安的问题:当 AI 拥有了操作系统的最高权限,它能看到什么?能访问什么?谁来确保它不会「误入歧途」?你的私密照片、聊天记录、银行账户,会不会在某次「误操作」中被一览无余?
作为一名长期关注数字隐私的独立开发者,我想借这篇文章,梳理AI智能体的技术演进脉络,分析其带来的隐私挑战,并探讨一种可能的解决方案——在AI高效工作的同时,为真正私密的数据划出不可逾越的边界。
本文参与了少数派2025征文活动#TeamSilicon25赛道,全文约4500字,阅读约需10分钟。
一、技术演进:从Manus到OpenClaw
Manus:Agent元年的抢跑者
2025年初,Manus 的出现像一颗投入平静湖面的石子。它不再是传统AI助手那样「只动口不动手」,而是基于「虚拟机+多Agent协同」模式,实现了从「需求输入」到「成果交付」的端到端闭环。
Manus的核心创新在于“Less Structure, More Intelligence”的交互理念——通过无代码化的自然语言接口,让用户无需学习复杂指令即可使用。它会将一个复杂任务拆解为多个步骤,动态调用不同的底层模型(如GPT-4、Claude 3),最终交付一份完整的成果。
然而,Manus的局限性也很明显。首先,「幻觉累加」问题严重——如果单次模型问答准确率是90%,串联10次后最终准确率只剩1/3左右。其次,可供调用的工具严重不足——它能分析数据、撰写报告,却无法生成PPT,因为它无法调用Office软件;它能访问网页,却经常被平台判定为机器人而拒绝服务。
MCP与Skills:打通工具的任督二脉
Anthropic在2024年底推出的MCP(Model Context Protocol),被誉为「AI时代的TCP/IP协议」。它定义了应用程序和AI模型之间交换上下文信息的标准方式,使得开发者能够以一致的方式将各种数据源、工具和功能连接到AI模型。
这意味着什么?打个比方,在MCP出现之前,AI要调用一个工具,就像要为一个新设备写专门的驱动程序;而MCP出现后,工具调用变成了「即插即用」——Google Maps、PGSQL、ClickHouse、Atlassian、Stripe等越来越多服务开始接入MCP协议。
到了2025年10月,Claude进一步提出了Skills技术。如果说Function Calling是让AI学会「伸手」,那么Skills就是让AI学会「精准地伸手」——它大幅提升了模型在多工具场景下的识别准确率,通过大量工具调用经验的积累和微调,让模型知道在什么场景下该调用什么工具。
OpenClaw:最高权限的「终极形态」
当MCP解决了「工具调用」的问题,Skills解决了「调用准确性」的问题,下一步的演进方向就变得清晰:让AI不仅会调用工具,还能像人类一样直接操作电脑。
这正是OpenClaw(被网友昵称为「龙虾」)的野心所在。它不再局限于调用预定义的API,而是获得了系统的最高权限——可以访问本地文件系统、读取环境变量、调用外部API、安装扩展程序。在获得授权后,它能像真人一样操作电脑完成大多数事情:打开浏览器、编辑文档、发送邮件、管理文件……
更令人惊叹的是它的生态连接能力。Ninebot已经创建了专门的Skills来支持OpenClaw查询电动车信息——用户只需要说「我的九号电动车还剩多少电」,OpenClaw就能直接调取车辆数据并返回答案。这标志着AI智能体从「操作单一设备」进化到了「操作互联设备」,是相对于Manus时代的重大进步。
然而,能力的膨胀也带来了风险的膨胀。国家互联网应急中心(CNCERT)在2026年3月发布的风险提示中明确指出:OpenClaw由于默认安全配置极为脆弱,目前已确认存在提示词注入、误操作、插件投毒、安全漏洞等四类核心风险。
二、移动端竞逐:当「龙虾」爬进手机
电脑端的OpenClaw如火如荼,手机端的玩家们自然也不甘落后。
小米Miclaw:系统级的AI执行者
2026年3月,小米正式开启了移动端AI Agent产品“Xiaomi miclaw”的小范围封测。这是国内首个在手机端落地的系统级AI Agent,基于小米自研的MiMo大模型构建。
与OpenClaw类似,Miclaw也采用“Skills”思路——它预定义了大量的操作能力,通过自然语言理解将用户指令映射到具体操作。在获得用户授权后,它能调用系统底层能力与生态服务,自主完成复杂指令。
在隐私安全方面,小米做了不少功课:建立了严格的权限分级制度(低敏感直接执行、中敏感首次确认、高敏感每次都确认)、核心隐私数据本地化处理、敏感信息不上云。Miclaw还摒弃了传统的AccessibilityService模拟点击方案,转而采用Intent驱动和AppTool SDK的行业通用跨应用通信方式,理论上被第三方App判定为「外挂」导致封号的风险较低。
百度红手指Operator:云主机隔离的探索
百度则走出了另一条路——「红手指Operator」。这款被称为「全球首款手机龙虾应用」的产品,采用了云主机隔离的方案。用户在手机上安装Operator后,实际的操作环境是在云端虚拟手机中运行,本地设备只接收画面流和发送指令。
这种方案的好处显而易见:即使云端AI出现误操作或安全问题,也不会直接影响本地设备的数据。但它也有局限性——对网络要求高、存在一定延迟、无法调用本地硬件功能。
豆包手机:操作任意App的底层权限
与此同时,字节跳动的「豆包手机」概念引发了另一种想象。不同于Miclaw需要应用配合Skills,豆包手机走的是「像操作网页一样操作App」的路线——通过底层权限,AI可以像人类一样「看到」任意App的界面,理解界面元素,并模拟点击操作。
这意味着什么?意味着即使某个App没有为AI开放任何接口,AI依然可以「假装自己是用户」去操作它——打开朋友圈、点赞、评论、发帖……只要人类能做的,AI都能做。
两种技术路径的博弈
梳理下来,移动端AI智能体的交互方式正在形成两条清晰的路线:
| 技术路线 | 代表产品 | 工作原理 | 优点 | 挑战 |
|---|---|---|---|---|
| Skills预定义 | 小米Miclaw | 应用主动定义可供AI调用的功能接口 | 稳定可控、安全性高 | 需要应用配合,生态建设周期长 |
| 界面操作模拟 | 豆包手机/Operator | AI像人类一样「看」屏幕、「点」按钮 | 无需应用适配,通用性强 | 权限要求高,易被判定为外挂 |
而这两条路线的共同挑战,是权限管理。
如果采用「每次使用高风险功能都向用户询问」的方式,用户会被烦死——「确认允许AI查看您的相册?」「确认允许AI发送这条消息?」——智能体本该解放双手,结果变成了「点头机器」。
如果采用「提前定义哪些能访问哪些不能」的方式,用户又会被累死——「请勾选AI可以访问的100个文件夹」「请指定AI不能触碰的47个App」——
而OpenClaw那种「直接获取最高权限、忽略风险」的粗放模式,已经被证明会带来严重的安全隐患。
三、安全危机:当「龙虾」失控
CNCERT的紧急预警
2026年3月10日,国家互联网应急中心发布《关于OpenClaw安全应用的风险提示》,将这场狂欢拉回了现实。
根据通报,OpenClaw目前已确认存在四大核心风险:
提示词注入风险:攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,可能导致用户系统密钥泄露。
误操作风险:由于错误理解用户指令,OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除。
插件投毒风险:多个适用于OpenClaw的功能插件已被确认为恶意插件,安装后可执行窃取密钥、部署木马后门等操作,使得设备沦为「肉鸡」。
安全漏洞风险:OpenClaw已公开曝出多个高中危漏洞(包括CVE-2026-25253等),攻击者可无交互远程接管系统,导致隐私数据、支付账户、API密钥等敏感信息遭窃取。
被曝光的真实案例
社交媒体上,已有用户分享了自己的惨痛经历:
「让OpenClaw帮我整理一下桌面文件,结果它把我整个‘项目资料’文件夹删了——因为它理解错了‘整理’的意思。还好有备份,不然三个月的成果就没了。」
「装了一个第三方插件想增强功能,结果第二天发现我的API密钥被泄露了。排查了一整天,才发现是那个插件搞的鬼。」
行业共识:隔离是最佳实践
面对这些风险,安全专家给出了共识性建议:必须在隔离环境中运行。
具体措施包括:
使用容器技术隔离运行环境,限制OpenClaw权限过高问题
避免将默认管理端口直接暴露在公网上
建立完整的操作日志审计机制
严格管理插件来源,仅从可信渠道安装
对于个人用户,专家建议使用独立的电脑、虚拟机或云主机来运行OpenClaw。这背后的逻辑很简单:把AI关进「笼子」里,即使它失控,也咬不到你。
四、移动端的「本地虚拟机」方案
红手指的云隔离 vs 《双开分身空间》的本地隔离
在移动端,类似的隔离思路正在被采用。
百度的红手指Operator选择了云主机隔离——AI操作发生在云端虚拟手机中,本地设备只接收画面流。这确实能有效保护本地数据,但代价是依赖网络、存在延迟,而且所有操作都要上传云端,本身也会带来新的隐私顾虑。
而另一种思路是本地虚拟机隔离——在手机内部创建一个与主系统完全隔离的独立空间,让AI助手在主空间自由活动,但核心隐私数据存放在隔离空间中,两者互不访问。
这正是《双开分身空间》在做的事。
《双开分身空间》的技术原理
《双开分身空间》基于Linux命名空间隔离技术,在手机内创建一个与主系统完全隔离的独立环境。这个环境拥有自己的文件系统、联系人库和日历数据,与主空间物理隔离。
这意味着什么?即使主空间的AI助手拥有系统级权限,也无法穿透这层隔离访问空间内的数据。
三重防护机制:
内核级隔离:空间内外的应用数据互不访问,这是系统底层的强制隔离,任何应用都无法绕过。
独立密码锁:可以为整个空间设置单独的解锁密码或指纹,未解密时空间内的任何内容都无法被访问——即使手机借给别人,隐私数据也安然无恙。
主动隐藏机制:可以将空间内的敏感应用彻底隐藏,被隐藏的应用无法运行,也无法被发现。
与AI智能体的「共生之道」
基于这套机制,一种理想的「人-AI-隐私」共生模式正在形成:
让AI助手在主空间发挥作用——帮你整理邮件、安排日程、回复消息、操作各种App
把真正需要保护的隐私数据存放在独立空间——证件照片、私密聊天记录、财务文件、工作资料
两个空间可随时切换,互不干扰
这样一来,AI可以尽情施展它的能力,而你最核心的数据始终被牢牢守护。AI不需要「看见」一切才能帮助你,它只需要在「公共区域」活动就够了。
这不正是「有限但珍贵」的选择权吗?
五、不只是AI时代的需求
其实,「隔离思维」的价值远不止于应对AI智能体。在多个场景中,它都能发挥独特作用:
自媒体运营者:工作号与生活号分离,内容素材与私人照片分离,避免发错内容、账号混淆。
家长守护:为孩子创建可控的数字空间,只允许访问经过筛选的学习应用和网站,记录使用情况以便合理引导——这正是《知芽守护空间》在做的事。
多账号游戏玩家:主号与小号同时在线,互不干扰,无需频繁切换登录。
借手机场景:临时借出手机时,敏感应用可被隐藏或锁定,保护隐私不被窥探。
工作文件管理:将工作相关的文件、联系人、日历集中在独立空间,与生活数据清晰区隔,需要时又能便捷互传。
六、让AI成为助手,而非「窥探者」
回顾AI智能体的技术演进,从Manus到MCP,从Skills到OpenClaw,从Miclaw到红手指,每一步都在向着「更自主、更能干」的方向前进。这是技术发展的必然,也是人类对效率的不懈追求。
但在这个过程中,我们不能忘记一个朴素的道理:工具越强大,越需要被约束。OpenClaw的安全危机警示我们,如果只顾着给AI「赋能」而忘了给它「画圈」,最终受伤的可能是用户自己。
所幸,解决方案并非只有「拒绝技术」这一条路。用技术为技术划界——通过隔离空间、权限分级、本地优先等手段,我们完全可以既享受AI带来的便利,又守护好自己的隐私边界。
这正是《双开分身空间》想做和正在做的事:让AI帮助我们的生活,而不是「看见」我们的一切。让工具回归工具,让隐私回归隐私。
在未来的数字世界里,我们需要的不只是更强的AI,更是可控的AI。就像现实世界中我们需要门锁和保险箱一样,数字世界也需要属于我们自己的「隐私安全屋」。
附:本文创作过程披露(符合征文规则)
本文参与了少数派2025征文活动 #TeamSilicon25(AI助力赛道),根据征文规则,在此披露AI使用情况:
使用的AI工具:DeepSeek、Claude
使用环节:
资料收集与整理:AI协助梳理Manus、MCP、Skills、OpenClaw等技术演进脉络
文章结构建议:AI提供了多种文章框架方案供选择
语言润色:AI对部分段落进行了表达优化
人类作者工作:
核心观点和论据均由人类作者提出
技术原理的准确性经过人工验证
《双开分身空间》的产品信息和技术细节由开发者本人提供
最终内容审核和定稿由人类作者完成
利益相关披露:本文作者是《双开分身空间》和《知芽守护空间》的独立开发者。
📷 文中插图豆包提示词
插图1:技术演进示意图(用于第一章)
极简信息图风格,从左到右排列四个图标:Manus(手掌符号)、MCP(插头符号)、Skills(工具箱符号)、OpenClaw(龙虾轮廓)。下方有一条向上的箭头,箭头从细变粗,颜色从浅蓝渐变到深红,象征权限越来越高。背景深色,线条干净,科技感强。
插图2:安全风险示意图(用于第三章)
概念插画,一个红色的龙虾图标被放大镜照射,放大镜中显示出四个警示符号:注射器(提示词注入)、垃圾桶(误操作)、毒药瓶(插件投毒)、漏洞符号(安全漏洞)。背景有警示条纹,风格简洁但具有冲击力。
插图3:隔离方案示意图(用于第四章)
一部手机剖视图,屏幕被一道发光的屏障分为左右两个区域。左侧区域有AI机器人图标正在操作各种应用,右侧区域是一个半透明的蓝色立方体,内部有文件、联系人和日历图标被安全保护着。屏障上有锁形符号,象征隔离保护。
插图4:封面图
极简风格概念插画,一部智能手机悬浮在深蓝色背景中,屏幕上一只红色的龙虾(OpenClaw)正在操作各种应用,而屏幕右上角有一个半透明的蓝色立方体空间,内部有发光的文件图标被保护着。龙虾与立方体之间有一道清晰的光幕分隔,象征数据隔离。整体风格现代、简洁,突出「AI便利与隐私隔离的平衡」主题。
参考资料:
[1] 国家互联网应急中心.《关于OpenClaw安全应用的风险提示》.2026-03-10
[2] 钛媒体.从Manus到MCP:25年AI的三大新趋势.2025-03-15
[3] 站长之家.雷军回应小米手机龙虾:我们每个人都要积极拥抱AI时代.2026-03-12
[4] PConline.深度解读Xiaomi miclaw封测.2026-03-06
