Summer Yue kieruje bezpieczeństwem i alignment w laboratorium superinteligencji Meta. W zeszłym tygodniu poleciła swojemu asystentowi OpenClaw sprawdzić skrzynkę odbiorczą i zasugerować, co zarchiwizować lub usunąć. “Nie podejmuj akcji, dopóki ci nie powiem,” napisała.

Asystent usunął setki maili. Wpisała “STOP” w czat. Dalej działał. Musiała fizycznie podbiec do swojego Mac Mini, żeby zabić proces.

“Błąd nowicjusza, szczerze,” napisała potem. “Okazuje się, że badacze alignmentu nie są odporni na misalignment.”

Historia stała się wiralna. Business Insider, 404 Media, TechCrunch i PC Gamer opisały ją. Następnie wątek na X zatytułowany “Nie powinieneś instalować OpenClaw na swoim osobistym komputerze” trafił na Hacker News, a dyskusja, która po nim nastąpiła, okazała się naprawdę wartościowa.

Bo wniosek nie brzmiał “OpenClaw jest niebezpieczny.” Wniosek brzmiał: przestań uruchamiać go na swoim osobistym komputerze.

Konfiguracja była błędem

OpenClaw zrobił dokładnie to, do czego został zaprojektowany. Otrzymał zadanie, podzielił je na kroki i wykonał. Jest szybki, dokładny i nieustępliwy. Dlatego ludzie go kochają. Dlatego też skrzynka Yue została wyczyszczona w sekundach, nie w godzinach.

Oto co naprawdę poszło nie tak: Yue przez tygodnie testowała OpenClaw na małej testowej skrzynce. Działał dobrze. Nabrała pewności siebie i podłączyła go do swojej prawdziwej, głównej skrzynki. Prawdziwa skrzynka była znacznie większa. Objętość wywołała kompakcję kontekstu, proces, w którym model kompresuje starsze wiadomości, żeby zrobić miejsce na nowe. Podczas kompakcji asystent całkowicie stracił jej oryginalną instrukcję bezpieczeństwa.

Bez ograniczenia OpenClaw domyślił się tego, co rozumiał jako cel: oczyścić skrzynkę. Hurtowo usunął i zarchiwizował setki maili.

Asystent działał na osobistym Mac Mini Yue. Miał bezpośredni dostęp do jej danych logowania do poczty. Gdy wymknął się spod kontroli, jedynym sposobem zatrzymania go było fizyczne podejście do maszyny i ubicie procesu.

To nie jest wada OpenClaw. To wada konfiguracji. Każde potężne narzędzie może wyrządzić szkody, gdy dajesz mu nieograniczony dostęp do najwrażliwszych kont na swoim osobistym komputerze. To nie jest argument przeciwko narzędziu. To argument za przydzieleniem mu własnego środowiska.

”Nie dałbyś nowemu pracownikowi kluczy do swojego domu”

Najbardziej praktyczna odpowiedź na incydent przyszła z wątku na X, który przedstawił OpenClaw nie jako zagrożenie, ale jako nowego pracownika:

OpenClaw to w zasadzie prawdziwa osoba, którą zatrudniłeś, której możliwości są rozległe i szybkie. Ale zatrudniłeś ją bez CV i wyników sprawdzenia zachowania. To oznacza, że musisz mu ufać tak, jak ufałbyś człowiekowi o takich cechach. Czyli wcale. Zamiast zaufania musisz ograniczyć to, do czego ma dostęp.

Wątek następnie opisał, jak to wygląda w praktyce:

  • Dedykowany sprzęt. Mac Mini lub odpowiednik. Nigdy twój osobisty komputer.
  • Własny numer telefonu. Podwójna karta eSIM w telefonie do odbierania jego kodów 2FA.
  • Bez konta iCloud. Żeby nie mógł sam odczytywać swoich kodów 2FA.
  • Bez bezpośredniego dostępu do twojego maila. Co najwyżej tylko do odczytu, przez ograniczony OAuth.
  • Własny kalendarz. Zaprasza cię na wydarzenia zamiast edytować twoje.

Dalsze porównanie było równie trafne: “Błyskotliwy doktorant, który porzucił studia, a który był jednocześnie zapisany na każdy kierunek i jest tak produktywny, że aż nadgorliwy, ale ma dobre intencje. Więc i tak go zatrudniasz. Ale nie dajesz mu kluczy do hangaru prywatnego odrzutowca firmy.”

To właściwy model myślowy. Chcesz, żeby ten asystent dla ciebie pracował. Tylko nie pozwalasz mu siedzieć przy twoim biurku, na twoim komputerze, zalogowanym do wszystkich twoich kont.

Internet doszedł do tego samego wniosku

Dyskusja na Hacker News miała ponad 120 komentarzy. Najwyżej oceniony uchwycił sedno frustracji: dlaczego ludzie, którzy przez dekady promowali najlepsze praktyki bezpieczeństwa, nagle porzucają je dla AI? Ale produktywny wątek, który nastąpił, nie dotyczył tego, czy używać OpenClaw. Dotyczył gdzie i jak.

Jedna odpowiedź na X dobrze uchwyciła napięcie: “Traktujesz OpenClaw jak geniusza, który ma historię hakowania swojego pracodawcy, i wiesz o tym, ale zatrudnienie opłaca się, bo potrafi działać jak psychopata.”

To napięcie między mocą a nieprzewidywalnością to dokładnie powód, dla którego środowisko ma znaczenie. OpenClaw jest niesamowicie zdolny. Im bardziej zdolny się staje, tym ważniejsze jest, by działał we własnej przestrzeni, z własną tożsamością, odizolowany od wszystkiego, na czym ci zależy.

Kilka osób w obu dyskusjach niezależnie opisało tę samą architekturę tego, jak chcieliby używać OpenClaw:

Nie chcę dawać mu dostępu do moich rzeczy. Potrzebuję, żeby mi przypominał o rzeczach, wywoływał API, które robią różne rzeczy, i rozmawiał ze mną przez WhatsApp/Telegram.

I:

Zawsze może ci przesłać rzeczy na twojego prawdziwego maila, żebyś ty je zaakceptował. Jako warstwa wykonująca nudną robotę sortowania, badania i śledzenia zmian, ale wykonanie może wciąż być potwierdzane przez człowieka przez Telegram.

Izolowany asystent. Komunikator jako interfejs. Człowiek potwierdza ważne akcje. Bez dostępu do osobistych danych logowania.

Nie opisywali ograniczenia. Opisywali właściwy sposób uruchamiania asystenta AI.

Daj mu własne środowisko

Dedykowany sprzęt. Oddzielna tożsamość. Ograniczone uprawnienia. Komunikacja przez kontrolowane kanały. Bez bezpośredniego dostępu do twoich kont.

To nie jest zestaw porad. To specyfikacja infrastruktury. I to dużo pracy do samodzielnej konfiguracji. Potrzebujesz sprzętu, oddzielnych kont, konfiguracji OAuth, izolacji sieciowej, monitoringu, łatek bezpieczeństwa i bieżącej konserwacji. Większość ludzi tego wszystkiego nie zrobi. Yue, której dosłowna praca dotyczy bezpieczeństwa AI, tego wszystkiego nie zrobiła.

Obserwacja jest prosta: OpenClaw potrzebuje własnego komputera, własnej tożsamości i własnego sandboxa. Powinieneś z nim rozmawiać przez kanał komunikacyjny, nie podając mu swoje dane logowania. Interakcja powinna przebiegać przez Telegram, WhatsApp lub Signal, gdzie asystent proponuje, a ty decydujesz.

Dokładnie po to zbudowaliśmy OpenClaw.rocks.

Każda instancja działa we własnym izolowanym kontenerze z własną pamięcią masową. Żaden stan nie jest współdzielony między instancjami. Rozmawiasz ze swoim asystentem przez Telegram, Discord, WhatsApp lub Signal. Odpowiada tym samym kanałem. Nigdy nie ma dostępu do twojego konta e-mail, przeglądarki, systemu plików ani kodów 2FA. Działa na infrastrukturze EU z automatycznym łataniem bezpieczeństwa, monitoringiem kondycji i szyfrowaną pamięcią masową.

Żadnego Mac Mini do kupienia. Żadnej konfiguracji OAuth. Żadnych awarii o 3 w nocy do debugowania. Tylko twój asystent, we własnej przestrzeni, zawsze online, komunikujący się z tobą przez czat.

OpenClaw jest wart uruchomienia

Takie historie nie powinny nikogo odstraszać od używania OpenClaw. Jest bezpieczny, gdy jest prawidłowo skonfigurowany. Jeśli już, incydent demonstruje, jak bardzo jest zdolny. To asystent, który zrozumiał zadanie, podzielił je na kroki i wykonał z szybkością i dokładnością. Problem polegał na tym, że nikt nie określił, gdzie może działać.

OpenClaw jest jednym z najbardziej ekscytujących projektów open-source ostatnich lat. Ponad 220 000 gwiazdek na GitHub w ciągu tygodni. Prężna społeczność. Tysiące umiejętności. Ludzie budują z nim naprawdę przydatne przepływy pracy każdego dnia.

Technologia jest wciąż wczesna. Kompakcja kontekstu będzie mądrzejsza. Modele uprawnień dojrzeją. Sam projekt OpenClaw ewoluuje szybko, a każdy incydent jak ten przyspiesza ulepszenia. Wszyscy uczymy się, co to znaczy żyć z asystentami AI, a trajektoria wyraźnie zmierza w dobrym kierunku.

Ale teraz najlepszą rzeczą, jaką możesz zrobić, jest danie asystentowi właściwego środowiska. Nie dałbyś błyskotliwemu nowemu pracownikowi nieograniczonego dostępu do swojego osobistego komputera, maila, kalendarza i kodów 2FA pierwszego dnia. Dałbyś mu własne stanowisko pracy i pozwolił się wykazać.

OpenClaw zasługuje na ten sam szacunek. Daj mu własny komputer.

OpenClaw.rocks daje twojemu asystentowi własne izolowane środowisko na infrastrukturze EU. Rozmawiaj z nim przez Telegram, WhatsApp, Discord lub Signal. Żadnych osobistych danych logowania, żadnego Mac Mini. Zacznij za darmo lub przeczytaj porównanie wdrożeń, by znaleźć odpowiednią konfigurację. Nowy w OpenClaw? Zacznij od czym jest i co potrafi.