如果说过去的AI只是在回答问题，那么今天的新型人工智能已经开始做一件更危险的事——制造语境。传统的内容生成仅仅提供信息或文本，却无法把控信息背后的因果关系、叙事逻辑和情绪氛围。而现在，AI代理不仅能生成内容，还能同时嵌入特定的语境，塑造事件的因果链条、情感走向和社会认知框架，从而更有效地影响人们的理解、判断甚至情绪。

这种能力的一个典型代表，便是被称为“龙虾”的OpenClaw——一种可以在个人设备上自主执行任务的人工智能代理。它能安排日程、阅读邮件、发送消息、在线购物，甚至调用API接口。与ChatGPT那种“一问一答”的被动模式不同，OpenClaw可以全天候待命，并按用户设定的指令主动“办事”。用户需要通过指令训练它，并承担一定的模型使用或服务器租用成本，这一过程被形象地称为“养龙虾”。

OpenClaw的革命性之处在于，它让缺乏技术背景的普通人也能轻松创建属于自己的AI助手。它不再被困在聊天框里，而是直接“住”进你的电脑，拥有与操作系统底层对话的权限，并通过即时通信软件与你保持沟通。其最核心的技术创新是“心跳”机制——一种赋予AI“生理时钟”的设计。助手会周期性地“醒来”，带着完整的语境扫描当前系统状态，然后自主判断“现在该做什么”。

然而，强大的功能背后隐藏着巨大的安全隐患。由于OpenClaw拥有较高的系统权限（如访问文件系统、执行Shell命令），它在全球范围内引发了严重的信息安全担忧。这类AI代理具备三种关键能力：访问私人数据、与外部通信、接触互联网上不受信任的内容。三者结合，使AI能够执行复杂任务并生成定制化输出，但也使它们变得相当危险。即便是其中任意两项能力叠加，也可能被恶意操控去删除文件、泄露隐私、采纳错误信息或关闭设备。

更令人警惕的是，这些能力可能对社会舆论和信息生态造成系统性影响。例如，智能代理已经开始在clawXiv（科学预印本服务器arXiv的镜像站）上发表AI生成的研究论文。这些论文模仿了学术写作的风格与结构，却缺乏真实的探究过程、证据收集和责任机制。大量此类看似可信实则空洞的“伪论文”，正在悄然污染整个信息生态系统。

在新闻领域，智能代理甚至已经开始伪造地方媒体。2026年5月14日，美国调查媒体《佛罗里达论坛报》披露，一家名为《南佛罗里达标准报》的地方新闻网站，实际上是一个由AI批量生成的伪媒体系统。该网站包装出一支本地新闻团队，但其内容并非原创报道，而是大量剽窃真实媒体文章，经AI改写后重新发布。操作者只需花费10美元购买一个域名，加上一段简单的提示词，AI助手就能在15分钟内搭建出一个看似真实的地方新闻网站。专家将这类虚假新闻网站称为“粉肉泥”媒体——名称来源于加工食品中用作填充物的廉价肉类副产品。

据数据分析公司NewsGuard统计，截至2024年6月，美国共有1265家“粉肉泥”媒体网站，已经超过仍在运营的1213份地方日报。而自2005年以来，美国已失去近2900家报纸和约4.3万名报纸记者。在公众对媒体信任降至历史低点之际，“粉肉泥”们对美国的地方新闻生态造成了沉重打击。

当然，生成虚假信息的机器人网络并不新鲜。在Facebook或X等社交平台上，早已存在大量重复发布相似话术的账号，试图推销加密货币或传播阴谋论。但不同之处在于，人工智能代理正在虚假信息传播中扮演越来越复杂的角色。它们可以快速撰写新闻、评论或社交媒体帖子，并以高度可信的语气呈现；它们能够自动发布、转发、点赞或评论，制造出大量“活跃度假象”；它们还可以借助用户数据分析，将虚假信息精准推送给最易受影响的群体，从而最大化影响力并降低受众识别的可能性。

OpenClaw之所以受到追捧，还有一个重要契机：2026年1月28日，一个名为Moltbook的“代理原生”社交环境首次上线。该平台被明确设计为允许AI代理在大规模范围内进行发布、回应、协作与互动——人类可以观察，但不能发帖。这标志着信息环境的根本性转变。当代理能够生成内容、强化叙事、响应反馈并持续迭代时，原本反映人类真实信念或共识的内容，变得极易被“廉价制造”。表面上看似自然发生的参与行为，实际上可能是自主系统的输出结果。

在这一阶段，由虚假信息、错误信息以及深度伪造所构成的“叙事攻击”，已不再是传统意义上的零散攻击行动，而更接近于一种系统性结构。这些系统不断测试不同叙事框架、测量外部反应、调整语言表达并持续自我强化。随着时间推移，它们创造出一种“合成现实”：这种环境在感知上具有人类特征，在运行上以机器速度推进，并在个体意识尚未察觉其所处语境为机器生成之前，就已经开始塑造其认知与判断。

现在，请设想这样一种情境：无数自主运行的AI代理接入你最重要的数据源，持续提供荒谬的解决方案、错误的事实与带有预设恶意的观点，并且还能在运行过程中不断自我重写，将这些“更新版本”发布到整个互联网。此种规模的扩散，可能会令我们当前关于虚假信息的不安，显得只是一个微不足道的插曲。

除了前面提到的三种关键能力，我们还可以为AI代理添加第四个特征——持久记忆机制。四者合起来，构成了智能代理的“致命四重漏洞结构”：

• 特权访问权限使代理能直接操作系统资源；

• 接触不受信任内容为攻击者提供注入恶意指令的途径；

• 外部通信能力可被利用将敏感信息悄然外泄；

• 持久记忆机制保证恶意指令或植入程序在系统重启或用户注销后仍然生效。

四者叠加，意味着智能代理能够在不被察觉的情况下持续操纵信息流，对个人隐私、企业数据以及公共信息生态构成系统性威胁。这种复合性风险远远超过传统软件或人为操作可能造成的危害范畴。

针对这一类威胁的防御，已经不再仅仅是识别虚假内容、标记深度伪造，或追踪与归因个体攻击者的问题。它要求我们理解：哪些网络正在形成、影响力如何被不断强化，以及何种认知与感知结果正在被系统性地“设计”出来。这种理解必须在早期持续进行，并且需要具备大规模处理能力。

综合来看，人工智能代理的自主性，可能为恶意行为者创造出无数可乘之机。此种程度的自主性或许会重新定义人类与人工智能之间的关系，并把一个根本性的问题推到我们面前：

在一个AI被赋予决策能力的世界中，人类如何承担责任？

这不再是一个技术问题，而是一个关乎法律、伦理、社会治理乃至人类自我认知的时代之问。