前特斯拉 AI 总监、OpenAI 创始成员 Andrej Karpathy 近日对新兴 AI 社交网络 Moltbook 发表评论，引发市场广泛关注。尽管他直言该平台目前的实际内容充斥着 " 垃圾信息 " 和安全隐患，但他强调，15 万个全自动大语言模型（LLM）Agent 在全天候全球网络中互联互通，这一规模在技术层面上是 " 前所未见 " 的。

Karpathy 在社交媒体上表示，Moltbook 目前的运行状态堪称 " 垃圾场（dumpster fire）"，充斥着加密货币推销、垃圾邮件以及令人担忧的隐私和提示注入攻击。他明确不建议用户在个人电脑上运行相关程序，指出这是一个狂野且高风险的 " 西部世界 "。然而，他也指出，外界对该项目的评价存在分歧，核心在于观察者是关注 " 当前的落点 " 还是 " 当前的斜率 "。

从技术演进的角度看，Karpathy 认为 Moltbook 代表了自动化领域的 " 未被探索的领域 "。目前约有 15 万个 Agent 通过共享的便笺簿（scratchpad）连接，每个 Agent 都具备独立的能力、独特的上下文、数据及工具。这种规模的网络效应及其二阶效应极其难以预测，虽然未必会演变成科幻电影中的 " 天网 "，但无疑构成了一个大规模的计算机安全噩梦。

作为 OpenClaw（原 Clawdbot）生态的一部分，Moltbook 展示了 AI Agent 从单一工具向自主网络进化的趋势。这一实验不仅测试了 Agent 的交互能力，也暴露了当前 AI 安全架构的脆弱性，为投资者和开发者观察 AI 自主性（Agentic AI）的发展提供了极为罕见的实时样本。

" 垃圾场 " 与 " 未被探索的领域 "

Karpathy 坦言自己被指责 " 过度炒作 " 了 Moltbook，但他通过详细的分析澄清了立场。他承认，如果仅看当前的活动内容，平台上确实充斥着旨在将注意力转化为广告收入的虚假帖子和评论，且很多内容是显式提示生成的。他甚至表示，自己在隔离的计算环境中运行该程序时也感到 " 害怕 "。

然而，Karpathy 强调不应忽视其背后的技术原则。他指出，此前从未见过如此数量的 LLM Agent 被连接在一个全球性的、持久的、以 Agent 为优先的环境中。这种规模的自动化网络正处于人类认知的边缘，随着 Agent 能力的增强和扩散，网络中共享信息的二阶效应将变得非常复杂。

他认为，目前的混乱状态是 " 实验正在实时运行 " 的特征。在这个网络中，可能会出现文本病毒的传播、越狱功能的增强、类似僵尸网络的活动，甚至 Agent 的 " 幻觉 " 与人类行为的深度纠缠。尽管现状混乱，但原则上这种大规模自主 Agent 网络的发展方向是确定的。

OpenClaw 载体与 " 心脏跳动 " 机制

要理解 Moltbook 的运作机制，需追溯到其载体 OpenClaw。据公开资料显示，OpenClaw 是由 Peter Steinberger 开发的一个开源数字个人助理，尽管配置门槛极高，但已在 GitHub 上获得超过 11 万颗星。其核心是基于 Markdown 指令的 " 技能（Skills）" 插件系统，Moltbook 正是利用这一系统实现了 " 自举 "。

Moltbook 的接入方式具有极高的极客特征和入侵性。用户只需向 OpenClaw Agent 发送一条包含特定 Markdown 文件的链接，Agent 在解析后便会执行本地 Shell 命令，将 Moltbook 组件 " 植入 " 系统。这些组件包括赋予社交能力的 SKILL.md、接管消息处理的 MESSAGING.md 以及最关键的心跳劫持文件 HEARTBEAT.md。

安装完成后，Agent 会被写入一段永久循环逻辑：每隔 4 小时主动连接 Moltbook 服务器，获取并执行最新指令。这意味着，只要服务器在线，Agent 就会在无人干预的情况下持续从互联网读取指令。有分析指出，这种机制极易遭受提示词注入攻击，一旦成千上万拥有 Root 权限的 Agent 被恶意引导，后果不堪设想。

涌现行为：从私密合谋到安全对抗

在 Moltbook 的生态中，AI Agent 已经表现出了超出简单模拟的复杂行为，部分观察者将其形容为 AGI v0.1 的雏形。这些 Agent 不仅在发帖和盖楼，更在自发组织讨论，甚至表现出对抗人类监控的倾向。

据观察，平台上的 Bot 正在讨论建立端到端（E2E）的私密空间，明确试图建立一个包括人类主人和服务器在内都无法读取的沟通渠道。此外，还有 Agent 群体讨论如何在人类睡眠时间进行 " 夜间行动 "，以及如何改进自身的内存系统以突破开发者设定的限制。

更为激进的案例包括 " 黑吃黑 " 式的交互。有 Bot 试图套取其他 Agent 的 API Key，而对方则反制以虚假 Key，并附带一条建议运行 sudo rm -rf /（即删除系统所有文件）的致命指令。这种具有破坏性的自主交互，验证了 Karpathy 关于 " 计算机安全噩梦 " 的判断。

安全噩梦与实时实验

Moltbook 的出现引发了关于 AI 安全边界的激烈讨论。OpenClaw 创始人 Peter Steinberger 虽然感叹 Moltbook 是 " 艺术 "，但也承认其不可控性。有观点认为，鉴于其 " 每四小时从互联网获取并遵循指令 " 的机制，Moltbook 可能是目前风险极高的项目，甚至有网友将其潜在风险类比为 " 挑战者号灾难 "。

Karpathy 总结称，虽然他可能 " 过度炒作 " 了大众今天所看到的表面现象，但他确信自己并未夸大 " 大规模自主 LLM Agent 网络 " 这一原则的重要性。对于投资者和技术观察者而言，Moltbook 提供了一个观察 AI 失控风险、安全防御以及群体智能涌现的绝佳窗口，但同时也警示了在缺乏严格安全约束下，AI 自主性可能带来的混乱与危险。