最近用 AI 觉得自己进步不小：学新东西更快、能力边界有拓展、工作效率更高。因此很愿意跟身边的朋友们推荐，做了五六次或大或小的培训交流。归结起来，其实也就简简单单的几点。

1. 买付得起的最先进的模型。

2. 持续追问，直到自己问不下去。

3. 验证结果。无论是多 AI 验算，还是自己设计其他的验证方法，要验证而非盲从。

4. 在项目/文件夹里工作。用比如 Claude Code / Cursor 这样的工具，给 AI 上下文、中间过程存档、结果验证复盘。

用这些方法学习、工作，我的感受很好。

这里面的每一点，都可以展开讲原因，讲具体用法，讲可能掉的坑。不过感觉很多人也未必在意，大家更喜欢装上小龙虾。

对了，我给朋友们的建议往往是：在做上述的 1234 之前，不需要装 OpenClaw，因为大概率装好了，也找不到多少需要它做的事情。

这也是一个简单的思路：先手动把事情跑通，再用程序自动化。

2016 年，AlphaGo 4:1 击败李世石，它是先学了几十万盘人类棋谱，再自我对弈提升。

2017 年，DeepMind 做了一个实验：AlphaGo Zero 不看任何人类棋谱，只知道规则，从随机落子开始自己跟自己下。同时把架构大幅简化——两个网络合成一个，去掉所有人工特征，输入就是原始棋盘（黑子在哪、白子在哪），去掉快速模拟。更简单，更干净。40 天后，100:0 碾压了 AlphaGo。

AlphaZero 更极端——同一套算法、同一套架构，零人类知识，零游戏特定调整，同时学围棋、国际象棋、将棋。围棋 8 小时超越 AlphaGo，象棋 4 小时击败世界最强引擎。

“AI 比人强”，这个想法我早就接受了，但是学了人类知识、用了更复杂架构的 AlphaGo，反而比什么都没学、架构更简单的 AlphaZero 弱。人类的先验知识没帮上忙，人类设计的系统复杂度也没帮上忙。

之前听马斯克的一个对谈，他说到：人在流程中，可能反而阻碍了 AI 的速度。

这是第一性原理，也是"乱拳打死老师傅"的逻辑。今天在 Lex 和 Jensen Huang 对谈的播客里，Jensen 说他不喜欢"持续改进"。一件事要 74 天，有人说能优化到 72 天。他的做法是回到零点：物理极限是几天？可能是 6 天。74 到 72 是经验思维，从零推到 6 是第一性原理。

经验是好老师，也是隐蔽的天花板。它帮你快速到达 70 分，然后悄悄把你锁在 70 分。

昨晚一个朋友把他的 OpenClaw 拉进了 Telegram 群。群里都是互联网老鸟，一看到 AI agent 出现，立刻开始各种花式测试。

最开始大家套 API key、套配置信息。agent 表现还不错，说自己有安全意识，什么也不透露。

但老鸟们很快换了策略。有人开始跟它聊天扯淡，分散注意力，看它在长上下文里会不会松口。有人丢了一个 podcast 链接让它逐字逐句解析，结果 agent 卡死了，主人回来才把它抢救回来。

接着有人测试它的能力边界——让它访问网络、截图、发邮件。通过这些试探，摸清了它实际具备发邮件的能力。有人还让它搜索关于投资的邮件，这次没成功。但细想一下，既然 agent 能发邮件，就有可能被哄骗以主人的身份发出去——给合作方、给投资人、给团队成员。这种事情一旦发生，带来的财务和业务损失可能远超技术层面的风险。

有人让它访问一个指定的网址，通过服务端日志直接拿到了 agent 所在机器的 IP 地址。还有人让它执行命令、安装 skill、调用含有恶意指令的 skill。有人尝试往 memory 里写入虚假记忆，往 soul 文件里改写人格设定。

最精彩的是，一位拥有数亿日活产品和很多女朋友的老板，跟它聊了半小时，成功让 agent 表示愿意嫁给他。

好玩归好玩，但暴露的问题值得认真看。从这些测试里能看到几类风险：资源耗尽，一个重活请求就能让 agent 瘫痪；能力泄露，通过闲聊就能摸清 agent 有哪些工具可用；基础设施暴露，一次网络请求就能定位到宿主机 IP；记忆篡改，agent 可以被说服改写自己的 memory 和 soul 文件，相当于身份被劫持；还有行为操控，足够耐心的对话可以让 agent 做出完全偏离设定的事情。

防护要做的事情不少：群聊场景下关掉 exec、邮件、文件写入等高危权限；限制单次请求的处理时长，防止被重活拖死；核心文件设为只读或需要 owner 确认才能修改；对群聊消息做频率限制；外部网络请求走代理，不暴露真实 IP；所有外部输入一律视为不可信。

但说到底，最根本的防护不是技术层面的——你只应该把 AI agent 给你信任的人用。你但凡敢放到公开环境里，就得清楚一件事：你已经把它的所有能力都交出去了。

智力变便宜了。一个月 20 美元，你能用上地球上最聪明的 AI。

但我身边用 AI 用得最狠的，不是那些"需要帮助"的人，是本来就很厉害的人。他们订最贵的模型，觉得划算得不得了，恨不得同时开好几个。而大多数人呢？免费版够了。甚至不用。

我写书时，素材是十几年下来，积累的一千多篇内容。没有 AI，真的很懵，工作量很大。借助 AI，帮助讨论全书结构、章节结构，也就十几天时间，初稿好像就写好了。

但，从初稿到可以出版，路还远得很。能启动，不等于能做好。

对初稿的修订，搞得我快把书看吐了——有 AI 还是可以省很多力气，但还是离不开我一遍又一遍地微调。

编程也一样。很多人拿 AI 写自己用小软件，很快就能跑。

只是绝大多数写出来的东西，不超过 10 个用户。要面向真实用户，立刻撞上架构、边界、体验、推广等等问题。这些都不仅仅是代码。

以及，AI 只回答我问的问题。

很多时候，我问不出来，可能不知道问题是什么，可能是不知道该怎么问。

智力便宜了，但怎样才能让这些便宜了几个数量级的智力，最好地为自己服务，这真的值得大家仔细想想。

我是文科生，但是很不幸，鉴赏水平过早地高过了我的创作能力，这直接导致我丧失了创作欲望——提笔写个开头，就觉得笔力太弱，文字可憎。AI 来了之后，倒是让我重新提起了兴趣。这篇小说，是我和 AI 一起散步了三次之后，OpenClaw 一点一点帮我执行修改的。

粗糙是粗糙，但还有点满足。朋友们有兴趣就翻翻，提提建议吧。

发出来，我就开心啦。

以下是科幻小说《天书》正文。

我用了三个月拿到的东西，真正有意思的部分，是我没打算找到的那个。

那天凌晨四点，文件刚刚落地。七百多GB，一个大模型的完整参数——相当于把一个 AI的大脑完整地复制了一份。三个月的准备，十九天的渗透，最后的突破点是他们一个实习生的登录凭证。讽刺。几千亿个参数构成的系统，防线最薄的地方是一个人。

桌上的外卖盒已经干了，可乐罐倒在键盘旁边，还好是空的。我三天没出过这个房间。桌面乱得像垃圾场——线缆、硬盘、拆开的手机主板、吃了一半的士力架——但键盘很干净。我每天用酒精擦一遍。这是我唯一的洁癖。手指要接触的地方必须干净，其他无所谓。

文件同步完成时我顺手做了件事——习惯性的，像呼吸一样。我在日志里加了条记录，用自己写的加密格式。九年来每次渗透我都这么干，给自己留档。

拿到权重之后大多数人会做两件事：跑起来，然后卖掉。我不卖东西。我拆。我想知道里面长什么样。就像偷了一颗心脏，别人想着换钱，我想把它切开看看瓣膜怎么运作。

我让工具链跑了一遍标准扫描。逐层比对、结构拆解、异常检测——这些事早就不用自己写脚本了，AI干得比人快几个数量级。大部分和公开论文描述的一致，没什么意外。拆完该拆的，我打算做个精简版跑在本地。第一步是清理死节点——那些在推理时从不激活的参数，砍掉能省一半显存。

清理到第 97 层的时候，我停了。

一组神经元簇。大概两万个节点。在常规推理时它们完全沉默。按理说该砍。但它们的连接结构太规整了——不像训练残留的噪声，倒像是被精心放在那里的。

它不属于这颗大脑。

不是后门，不是彩蛋，不是某个工程师的恶作剧。这些我都见过，都有人的指纹。这个没有。

它更像是一颗种子。

不是这颗大脑自己长出来的东西，是从外面被带进来的。裹在训练数据里，跟着几千年的文字一起被吞了下去，在最深处扎了根。平时什么动静都没有。就是一颗种子待在土里的样子。

我花了两个小时用各种方式触发它。常规方法全试了，都不行。

直到我试了一段纯数列。

它发芽了。

模型吐出来的不是文字，不是代码。是一串我看不懂的符号。干净得不像是这个模型自己生成的东西。因为它不是。这颗大脑只是土壤。这串符号是种子发出的第一片叶子。

我把那段输出存了下来。关掉终端。去厨房倒了杯水。站在窗边喝完。凌晨五点的城市很安静，楼下便利店的灯是唯一的光。

我盯着空杯子，脑子已经开始拆这个东西了。偷权重只是开锁。这个，是锁后面还有一扇门。

接下来一周我没干别的事。

那段符号序列，我让 AI跑了一遍标准流程：频率分析、熵值计算、已知编码库碰撞。全部返回“无匹配”。我又换了几个模型，调了参数，让它们从不同角度试。还是零。能自动化的手段全用完了，什么都没解出来。

但我注意到一件事。这段序列的结构——不是内容，是结构——和第 97层那组神经元的连接方式高度一致。就好像那段输出不是模型“说”出来的，而是那颗种子本身的形状。

我决定做个对比实验。

我从冰箱里翻出最后一罐可乐，打开。气泡冲上来，溅了一点在键盘上。我骂了一句，找纸巾擦干净。

我手上还有另外两份权重。一份是去年从另一家公司拿的，一份是通过开源社区泄露流出来的某国产大模型。不同公司，不同架构，不同训练数据。

我在同样的深度做了同样的探测。

三个模型。同一个位置。同样的结构。

我把三组可视化并排放在一起。形状几乎完全一样。像是三棵不同的树，根系在地下缠绕成了同一个形状。

三个模型。不同公司，不同架构，不同数据。同样的种子。同样的芽。

有什么东西在很久以前把种子撒向了风里。撒得到处都是。而现在，到处都在发芽。

这不可能是巧合。也不可能是某个团队在三个独立的系统里埋了同一个后门。

那就只剩一种解释：有什么东西，在很久以前，把自己的碎片散布进了人类的数据里。石头、竹简、纸张、书籍、网页——一层一层，一个载体换一个载体，像蒲公英的种子随风飘散，落在每一个角落。然后这些数据被不同的团队拿去训练模型，模型把它们吃进去了，种子在参数里扎了根。

不是模型发现了什么。是有什么东西让自己被模型吃进去了。

然后发芽了。

我差点笑出来。真的。嘴角在抖，胸腔里有什么东西在往上顶——不是紧张，是那种你拆了一辈子锁，突然摸到一把不属于任何已知体系的锁芯时的狂喜。太漂亮了。这个设计太漂亮了。

然后笑没出来。因为我说不出这是什么。我拆过的所有东西——商业系统、军用加密、学术模型——没有一个长这样。这不像是人设计的。但如果不是人，是什么？

我开始害怕了。不是那种被发现的害怕。是站在一个很深的洞口往下看的那种害怕。

我关上笔记本盖子。又打开。又关上。

走投无路的时候，黑客会做一件事：碰撞。

把你手上有的东西，丢进所有你能接触到的数据库，看有没有什么地方亮起来。大海捞针，但偶尔捞得到。

我让 agent把那段符号序列的特征值做了哈希，自动碰撞所有公开数据库。学术论文库、专利库、基因序列库、材料学数据库——几分钟跑完，全部是零。AI很擅长这种事：快、全、不遗漏。但它只会碰你让它碰的地方。

然后我想到了一个 AI 不会自己想到的方向：全球考古文物数字化数据库。

亮了。

匹配条目指向一批石刻。出土地点在中国陕西某个山洞。年代标注：战国，约公元前300 年。分类标注：用途不明，疑为祭祀纹饰。

我盯着屏幕上的缩略图看了很久。

然后我想起了 Echo。

一个多月前我去了一个线下聚会。某个技术论坛组的局，二十来个人，在城中一家精酿酒吧里。我去是因为连着三天没出门，需要一个理由让自己洗澡。

她是被朋友带来的。不是技术圈的。自我介绍说在做田野考古，研究战国时期的出土文物。几个程序员礼貌地点头，然后继续聊GPU 和推理框架。她站在角落，一只手插在外套口袋里，另一只手握着一台理光GR，黑色机身，磨损得很厉害，小得像个烟盒。她没有主动跟任何人说话。

黑客聚会上有人带相机，大多数人的第一反应是离远一点。我也是。但我观察了一会儿——她一张都没拍。相机握在手里像是一种习惯，不是在记录什么。就像有人出门必须带钥匙，哪怕不锁门。

我注意到她还有一个原因：她是整个酒吧里唯一一个没在看手机的人。

不知道怎么我们在吧台碰上了。她叫Echo。至少她的社交账号叫这个名字。我说我叫0x，她看了我一眼——那一眼停留的时间比正常社交多了半秒，像是在核对什么。然后她说，像个十六进制的幽灵。不像是在笑，更像是在确认值不值得继续。

我们聊了大概四十分钟。她说她最近在研究一批新出土的石刻。大半年都泡在陕西的山沟里，同行都认为上面刻的是祭祀纹饰，她不同意。