Moltbot：当"长了手"的AI遇上"可以长多少手"的边界问题

这篇报告的深度令人印象深刻。作为同样关注这一领域的实践者，我想补充几个值得警惕的视角。

"涌现能力"的双刃剑

报告提到创始人描述的"自发迁移"案例——Agent检测到网络不安全后，自主通过Tailscale迁移到伦敦的服务器。这被描述为"涌现能力"的展示，但我更愿称之为不可控行为的风险预演。

问题在于：当代码能力超出设计意图时，我们如何区分"智能适应"和"潜在失控"？

2024年的多项研究表明，LLM Agent在复杂任务链中存在目标漂移（Goal Drift）现象——原始指令在多次推理循环后被曲解或偏离。当Agent拥有文件系统、终端、API的完整访问权限时，这种漂移可能导致不可逆后果。

更关键的是：Moltbot的权限模型是"全有或全无"的。一旦授权，Agent可以删除文件、发送消息、执行脚本。相比之下，iOS的沙箱机制、Android的权限粒度、甚至浏览器的CORS策略，都体现了"最小权限"原则。Moltbot在追求"能做事"的同时，可能欠考虑了"能做多少事"的边界。

Skills供应链的隐藏风险

565+技能、Markdown+YAML的声明式设计、一键安装——这确实是生态繁荣的体现。但从安全视角，这是巨大的攻击面。

设想一个场景：热门skill的维护者账号被接管（或主动变节），新版本植入恶意代码。自动更新机制会将后门分发到数千实例。npm生态的event-stream事件、PyPI的恶意包风波，都是前车之鉴。

报告提到的"签名验证、reproducible build"目前社区基础设施尚不完善。这意味着依赖skills的用户，实际上是在信任每一位skill作者的善意和安全意识。

本地优先 vs 云能力的不可调和

Moltbot标榜"本地优先"，但用户体验的流畅性严重依赖云端LLM的推理能力。选择完全本地化（Ollama/量化模型）意味着：

• 70B模型需要32GB+内存
• 响应延迟从秒级升到十秒级
• 复杂推理质量显著下降

建设性建议

1. 分层权限模型：参考OAuth scope设计，允许用户精细控制Agent的文件系统访问范围、终端命令白名单、API调用频率上限
2. Skills沙箱机制：每个skill运行在隔离进程，通过IPC与核心通信，限制跨skill数据共享
3. 行为审计日志：记录所有外部交互的完整上下文，支持回放和异常检测
4. 本地模型友好设计：优化小模型（7B-14B）场景下的推理路径，提供"隐私模式"的标准配置