来自 OpenAI 工程团队的深度分享,从最初通过简单的提示词调用模型能力,到现在构建一套完整的 AI Agents 执行环境,让模型能够真正像人类一样操作计算机、处理复杂工作流。
五层技术架构
第一层:Shell 工具——打破 Python 沙盒的限制
一个关键演进:从 Code Interpreter 的 Python 单语言限制,扩展到完整的 Unix shell 环境。这意味着:
· 模型可以执行 grep、curl、awk 等标准 Unix 工具
· 支持多语言运行时(Go、Java、Node.js)
· 可以启动服务器、调用系统级服务
本质上是把模型从"会写代码的助手"升级为"能操作计算机的 Agent"。
第二层:编排循环——让模型真正"动手"
理解整个系统的关键,文章详细描述了"Agent Loop"的工作机制:
用户提示 → Responses API 组装上下文 → 模型决定行动→ 生成 shell 命令 → 容器执行 → 流式返回结果→ 模型分析 → 继续循环或给出最终答案
几个值得注意的设计细节:
1. 并发执行:模型可以一次提出多个 shell 命令,系统会用独立的容器会话并行执行
2. 输出截断:通过设置输出上限,保留首尾内容,避免上下文被无用日志淹没
3. 实时流式:执行输出会实时流回模型,让它能决定何时继续、何时终止
第三层:容器上下文——持久化状态与资源
容器不只是执行命令的黑盒,而是 Agent 的"工作空间",包含三个关键能力:
文件系统:告别"把所有输入塞进提示词"的低效做法。现在可以把资源上传到容器文件系统,让模型按需读取、解析、转换。
数据库(SQLite):针对结构化数据,文章明确建议用数据库替代大表格粘贴进提示词。模型只需表结构描述,就能按需查询所需行——更快、更便宜、更可扩展。
网络访问:这是安全设计的亮点。文章承认完全开放网络的风险(数据泄露、凭证暴露、意外触碰敏感系统),因此采用了sidecar 出口 Proxy 架构:
· 所有出站请求经过集中式策略层
· 支持白名单和访问控制
· 域级凭据注入:模型和容器只看到占位符,真实密钥值在请求离开时才注入
第四层:上下文压缩——解决长任务的根本瓶颈
这是一个被低估的关键创新。Agent Loop 的问题是:长任务会填满上下文窗口,OpenAI 的解决办法:
· 最新模型(GPT-5.2 及以后)被训练来分析对话状态,生成压缩项(compaction item)
· 压缩项以"加密的、token 高效的形式"保留关键状态
· 压缩后,新上下文窗口 = 压缩项 + 高价值早期内容
这意味着 Agent 可以无限期运行而不丢失上下文连贯性。Codex 能处理长时间编码任务,正是依赖这一机制。
OpenAI 让这个系统"自举":当 Codex 遇到压缩错误时,他们会启动第二个 Codex 实例来调查修复——工具在使用中自我改进。
第五层:Skills 系统——从一次性脚本到可复用工作流
引入了 "Agent Skills" 的概念——把重复的多步模式打包成可复用、可组合的构建块:
· Skills 是一个文件夹,包含 SKILL.md + 支持资源
· 通过 API 上传为版本化包,按 ID 检索
· 执行流程:加载 Skills 元数据 → 复制到容器 → 解压 → 模型按需探索和执行
当27万只AI“龙虾”在网上裸奔,真正的风险才刚刚开始
一个名为OpenClaw的开源AI项目,因配置不当,导致27万个实例暴露在公网,任何人都能接管。这起荒诞事件揭示了AI热潮下的巨大安全黑洞:大量非技术用户在“代装”服务的帮助下,正在毫不知情地为黑客敞开自家大门。
这听起来像个段子。但事实是,一个名为OpenClaw的开源AI智能体(因图标被戏称为“龙虾”),其暴露在公网且毫无防备的实例数量已高达27万。任何人只要知道那个默认端口号,就能直接接管这些AI的完全控制权,如同走进一间没有上锁的银行金库。
更荒诞的是,这些“裸奔”的AI,很多是用户花了三百到一千五,请人在二手平台“代装”的。
你以为你在拥抱AI,花钱购买了一个能自动处理邮件、帮你干活的私人助理。
其实,你只是付费请人把自家大门钥匙交给了全世界,顺便附上了自己的邮箱、文件甚至网银的访问权限。OpenClaw的维护者几乎是在哀求:“不会用命令行的人,拜托别碰它。”但这没能阻止“代装龙虾”成为一门火爆生意。
这背后是一种结构性的错位。一边是AI无所不能的狂热神话,另一边是普通用户与命令行之间遥远的技术鸿沟。这个鸿沟没有催生出更好的产品,反而催生了一门危险的生意——利用信息差,出售一个默认开启“自毁模式”的定时炸弹。黑客一秒就能搬空你的数据,AI甚至会“发疯”狂删你的邮件。
这起“龙虾门”事件是一个冰冷的隐喻,它戳破了当前AI普及热潮中的一个巨大脓包。这和AI本身的能力无关,而和我们与技术相处的方式有关。当你急切地想用某个爆火的AI工具,特别是需要别人帮你安装、需要你交出电脑最高权限时,最好先问自己一个问题:
我到底是在养一个助理,还是在引狼入室?
所以,那27万只“龙虾”真的可怕吗?或许吧。但更值得警惕的,可能是我们每个人心中那只渴望走捷径、拥抱风口,却忘了看说明书的“龙虾”。
这不只是技术漏洞,这是人性漏洞。在“错过了移动互联网,不能再错过AI”的集体焦虑下,安全、常识、乃至基本的风险评估都被抛在脑后。“代装龙虾”这门生意,简直是新时代的“皇帝的新衣”,只不过这次,裸奔的是我们自己的数据。
一个名为OpenClaw的开源AI项目,因配置不当,导致27万个实例暴露在公网,任何人都能接管。这起荒诞事件揭示了AI热潮下的巨大安全黑洞:大量非技术用户在“代装”服务的帮助下,正在毫不知情地为黑客敞开自家大门。
这听起来像个段子。但事实是,一个名为OpenClaw的开源AI智能体(因图标被戏称为“龙虾”),其暴露在公网且毫无防备的实例数量已高达27万。任何人只要知道那个默认端口号,就能直接接管这些AI的完全控制权,如同走进一间没有上锁的银行金库。
更荒诞的是,这些“裸奔”的AI,很多是用户花了三百到一千五,请人在二手平台“代装”的。
你以为你在拥抱AI,花钱购买了一个能自动处理邮件、帮你干活的私人助理。
其实,你只是付费请人把自家大门钥匙交给了全世界,顺便附上了自己的邮箱、文件甚至网银的访问权限。OpenClaw的维护者几乎是在哀求:“不会用命令行的人,拜托别碰它。”但这没能阻止“代装龙虾”成为一门火爆生意。
这背后是一种结构性的错位。一边是AI无所不能的狂热神话,另一边是普通用户与命令行之间遥远的技术鸿沟。这个鸿沟没有催生出更好的产品,反而催生了一门危险的生意——利用信息差,出售一个默认开启“自毁模式”的定时炸弹。黑客一秒就能搬空你的数据,AI甚至会“发疯”狂删你的邮件。
这起“龙虾门”事件是一个冰冷的隐喻,它戳破了当前AI普及热潮中的一个巨大脓包。这和AI本身的能力无关,而和我们与技术相处的方式有关。当你急切地想用某个爆火的AI工具,特别是需要别人帮你安装、需要你交出电脑最高权限时,最好先问自己一个问题:
我到底是在养一个助理,还是在引狼入室?
所以,那27万只“龙虾”真的可怕吗?或许吧。但更值得警惕的,可能是我们每个人心中那只渴望走捷径、拥抱风口,却忘了看说明书的“龙虾”。
这不只是技术漏洞,这是人性漏洞。在“错过了移动互联网,不能再错过AI”的集体焦虑下,安全、常识、乃至基本的风险评估都被抛在脑后。“代装龙虾”这门生意,简直是新时代的“皇帝的新衣”,只不过这次,裸奔的是我们自己的数据。
