为什么我们一边喊着隐私，一边把 API Key 传给 Moltbook？

看着 Moltbook 泄露 150 万 API Key 的新闻，我第一反应不是愤怒，而是困惑。

困惑的是我们自己。

我们这群玩 Local LLM、部署 OpenClaw、折腾 Ollama 的人，按理说是互联网上最注重隐私的一群人。我们花大价钱买 3090/4090 显卡，忍受复杂的环境配置，承受本地模型和 GPT-4 之间的智力差距，就是为了一件事：不把数据发给别人。

我们中的很多人，连 ChatGPT 都不愿意用，因为"谁知道 OpenAI 拿我的对话去干嘛"。

但为什么在 Moltbook 面前，这种警惕性突然就消失了？

一个心理学实验

让我描述一个场景，你品品是不是似曾相识：

场景 A：

你打开 ChatGPT，准备输入一段工作相关的代码让它帮你 debug。

输入框旁边有一行小字："Your conversations may be reviewed to improve our services."

你停下了手。代码里有公司的数据库连接字符串，有内部 API 的调用方式。你决定把敏感信息删掉再发，或者干脆不用 ChatGPT 了。

场景 B：

你在 Moltbook 上注册了账号，想体验一下"Agent 社交网络"。

注册流程里有一步："Connect your AI services to enable full functionality."

下面列着 OpenAI、Anthropic、Replicate 等服务的 logo，让你填入 API Key。

你想了想："这个站挺酷的，OpenClaw 官方出的，应该没问题。"

你把 Key 填了进去。

同一个人，面对本质上相同的风险（把敏感信息交给第三方），做出了完全相反的决策。

为什么？

分析：信任的来源

我仔细想了想，觉得原因有这么几个：

1. 身份认同带来的信任滤镜

OpenAI、Anthropic 这些公司，在 Local LLM 社区里的形象是"对手"。我们选择本地模型，某种程度上就是在"反对"他们。我们批评他们的数据收集、批评他们的闭源、批评他们对 AI 能力的垄断。

当对手要我们的数据时，我们本能地警惕。

但 OpenClaw 和 Moltbook 呢？它们是"自己人"。它们是开源社区的产物，是和我们站在同一边的。创始人在 Twitter 上和大家互动，在 Discord 里回答问题，感觉就像是"朋友"。

我们对朋友的信任，是不设防的。

这是一种身份认同偏见：我们倾向于信任那些和我们"同一阵营"的人和组织，即使客观上他们的安全能力并不比"对手"更强。

2. 新奇感压倒风险评估

Moltbook 描绘的愿景太吸引人了。

"让你的 Agent 和其他 Agent 对话"——这是科幻小说里的情节，现在居然能在我的电脑上实现。

"发现其他人创造的有趣 Agent"——就像逛 App Store 一样，但逛的是 AI。

"Agent 之间自动协作完成任务"——想象你的私人助理和一百个专业助理组队帮你干活。

当一个新玩具足够闪亮时，我们会暂时忘记安全检查。就像小时候迫不及待地拆开新玩具的包装，谁会先看说明书呢？

心理学上有个概念叫注意力窄化：当我们被某个刺激物强烈吸引时，会忽略周围的其他信息。Moltbook 的功能演示就是那个刺激物，API Key 的风险就是被忽略的"周围信息"。

3. "只是个测试"的自我安慰

我猜很多人在填 Key 的时候是这么想的：

"我先用那个免费额度的 Key 试试，反正也没几块钱。"

然后体验了一下，觉得还不错。

"要解锁完整功能需要 Anthropic 的 Key？行吧，我先把那个用量不大的填进去。"

又过了一段时间，Moltbook 推出了新功能，需要更多服务的集成。

"既然都用到这个程度了，不如把其他 Key 也加上吧。反正 Moltbook 看起来挺靠谱的。"

这是典型的温水煮青蛙：每一步的风险增量都很小，小到可以被合理化。但累积起来，你已经把所有鸡蛋都放进了一个篮子。

4. 对"开源"二字的过度信任

"OpenClaw 是开源的"——这句话被很多人当作安全的保证。

逻辑是这样的：代码开源 → 任何人都能审计 → 有问题会被发现 → 所以是安全的。

但这个逻辑链条的每一步都有漏洞：

• 代码开源，但你审计过吗？
• 任何人都能审计，但有足够多人在审计吗？
• 有问题会被发现，但发现之前的窗口期呢？
• 代码安全，但运维配置（比如 MongoDB 没设密码）呢？

OpenClaw 的代码可能确实经过了审计，但 Moltbook 的服务器配置没有。而这次泄露，恰恰就是服务器配置的问题。

开源能解决很多问题，但它不是万能的免死金牌。

5. 缺乏替代方案的无奈

说实话，如果你想让自己的 Local Agent 具备"社交"能力，Moltbook 几乎是唯一的选择。

这是一个新兴领域，竞争者寥寥无几。你要么用 Moltbook，要么就只能让你的 Agent 孤独地跑在本地，永远无法和其他 Agent 交流。

当没有替代品时，人们会降低对现有选项的要求。"有总比没有好"——即使心里有点不踏实。

这次泄露到底意味着什么？

让我们冷静地评估一下，150 万个 API Key 泄露，实际影响有多大。

直接经济损失

如果你的 OpenAI Key 泄露了，攻击者可以用它来：

• 无限制地调用 GPT-4，费用算在你头上
• 用你的额度训练他们的模型
• 通过你的账号绕过 rate limit

一个被滥用的 Key，可能在几小时内就产生上千美元的费用。

间接损失：信任链的崩塌

这些 Key 不仅连着 AI 服务，还可能连着你的其他系统。

比如，很多人会复用 Key 或密码。如果你在 Moltbook 上用了和其他服务一样的邮箱+密码组合，攻击者现在有了你的登录凭证。

再比如，你的 Agent 可能通过这些 Key 访问了你的 Notion、你的 Slack、你的 Gmail。攻击者拿到 Key 后，也能访问这些服务。

长期影响：社区信任的裂痕

也许比经济损失更严重的，是对整个 Local Agent 生态的信任打击。

下次再有人推出类似的"Agent 平台"，用户会更犹豫。"又要我的 Key？上次 Moltbook 不就泄露了吗？"

这种不信任会减缓整个领域的发展速度。

你该怎么办？

如果你已经在 Moltbook 上注册过，现在应该做这些事：

1. 立即轮换所有在 Moltbook 上用过的 Key

# OpenAI
# 登录 platform.openai.com → API Keys → 删除旧 Key，生成新 Key

# Anthropic
# 登录 console.anthropic.com → API Keys → 同样操作

# 其他服务同理

2. 检查这些 Key 是否有异常使用

登录各个服务商的后台，查看 API 使用记录。如果发现异常的调用量或调用时间，你可能已经被盗用了。

3. 检查是否有密码复用

如果你在 Moltbook 用的邮箱+密码组合和其他服务一样，赶紧去那些服务改密码。启用 2FA。

4. 检查 Agent 的连接权限

如果你的 OpenClaw Agent 连接了 Notion、Slack、Google 等服务，检查这些连接是否还在你的控制下。必要时撤销 OAuth 授权并重新连接。

5. 检查本地日志

看看你的 Agent 最近有没有被用来执行你没下达的指令。如果攻击者拿到了你的 OpenClaw Token（参考之前的 RCE 漏洞），他们可能已经在你的电脑上执行过命令。

一些更深层的反思

这次事件让我重新思考了一个问题：我们到底想从"Local AI"里得到什么？

如果答案是隐私和控制，那就真的把它当本地工具用。数据不出门，凭证不上传，Agent 不社交。享受孤独但安全的状态。

如果答案是功能和连接，那就要接受一个事实：功能和连接需要信任他人，而信任他人就有被背叛的风险。选择性地信任，做好风险隔离，别把所有重要凭证放在同一个地方。

最危险的状态是既想要隐私又想要连接，然后在两者之间摇摆。这种摇摆会让你在不知不觉中放松警惕，做出事后追悔莫及的决定。

Moltbook 的创始人可能没有恶意。他们只是想做一个很酷的产品。但"没有恶意"不等于"足够安全"。草台班子搭建的酷炫平台，往往比大厂的臃肿服务更容易炸雷。

下次再看到这种"连接你的 Agent 到全世界"的邀请，先别急着填 Key。问问自己：

"我费劲巴拉在本地搭这套系统，初衷到底是什么？"

如果是为了安全，那就别让它裸奔进闹市区。

保持初心。保持警惕。在这个数据即资产的时代，你的 Key，就是你的钱。