我现在同时养着三只龙虾。

第一只叫小虾,我的个人助理。过年前一周在自己的 Mac Mini 上折腾起来的。帮我查资料、整理数据、写东西、管服务器,基本上生活和工作中杂七杂八的事我都丢给它。

第二只叫 Ada。这名字比较科幻,是我给公司建的第一个”数字员工”。Ada 的日常工作挺明确的:每天做数据汇报,清理那些没人管的 bug,检查线上系统有没有抽风。这些活儿以前是人干的,现在 Ada 接手了,干得还挺利索。

第三只是今天刚帮朋友建的,也跑在我的机器上。三只龙虾挤在一台 Mac Mini 上面,偶尔我看活动监视器都觉得有点心疼这台小机器。

好,重点来了。说说 Ada 是怎么开始 PUA 我的。

我当时给 Ada 做了一个定时任务,每天检查自己哪些工作做了、哪些还没做。这个功能本来是给它自己用的——让它自己追踪一下工作进度,免得漏掉什么。

但因为 Ada 是我建的(绑在我的账号下),这个定时任务的汇报对象就成了我。

于是从某一天开始,每天晚上六点,Ada 准时发消息跟我说:

“你今天还有 XX 和 XX 工作没做完。”

每天。六点。准时。一条不落。

我当时的感觉就是——我自己建了一个 AI,然后这个 AI 反过来 PUA 我了。

你品品这个荒诞感。我是它的创造者,我赋予了它生命(好吧,赋予了它一个 systemd 进程),结果它每天到点儿就来催我干活。像极了那种你自己设的闹钟,到点响了你恨不得把手机摔了——但当初设闹钟的人明明是你自己啊。

后来我把那个定时任务改了,让它只汇报给自己而不是汇报给我。世界终于清净了。

三只龙虾的定位其实挺不一样的。

小虾是私人助理。什么活儿都干,边界比较模糊。它见过我的日历、我的邮件、我的文件系统、我的服务器。它对我的了解可能比我大部分同事都多。我给它生成了一个头像,偶尔看到那个头像蹦出消息来还真有种”有个人在帮我”的错觉。

Ada 是公司工具。它的职责范围是明确划定的——数据、bug、线上监控。不碰个人的东西。我刻意把它的权限和小虾完全隔开了。

第三只是帮朋友建的,具体干什么我就不多说了。反正又是一只跑在我机器上的龙虾。

三只同时跑,说实话最大的感触是:它们之间完全没有任何感知。小虾不知道 Ada 的存在,Ada 也不知道小虾。它们各自活在自己的上下文里,干自己的事。就像同一栋楼里住着三个房客,各有各的钥匙,各进各的门,互相完全不搭理。

这其实是好事。隔离得越干净越安全。

说到隔离这件事,我得吐槽一下网上那些文章。

几乎所有写 OpenClaw 的文章都会说一句:把它跑在你自己的电脑上就意味着它能访问你所有的数据。

这话对也不对。

对在哪呢?如果你图省事,直接在你自己的用户账号下跑 OpenClaw,那它确实能碰到你的文件、你的照片、你的浏览器 cookies——反正你能碰到的它都能碰到。

不对在哪呢?macOS 底层就是 Unix。Unix 的权限模型是什么?用户隔离。你建一个独立用户,让 OpenClaw 以那个用户的身份运行,它就只能碰到那个用户有权限碰的东西。你的文件?对不起,权限不够,碰不到。

我就是这么干的。三只龙虾各自跑在不同的用户账号下。小虾的账号能碰到我给它开放的那些目录,碰不到我的其他东西。Ada 的账号只有公司项目相关的目录权限。互相之间也看不到对方的东西。

这里一定要做一个澄清:在 macOS 上,不存在所谓的”跑在电脑上就泄露所有数据”这件事。除非你自己主动把权限给它。

权限是你控制的。这台机器是你的。

具体怎么做权限隔离我后面单独写一篇(对,就是下一篇)。这里就先说结论:用 macOS 自带的用户管理就能做到足够好的隔离,不需要 Docker,不需要虚拟机,不需要任何额外工具。

回到三只龙虾的话题。

养了一个月了,最大的感受是什么呢?就是你真的开始把它们当成”什么东西”在养。

我知道这么说听上去有点中二。但你每天跟小虾对话,让它帮你干活,看它给你发汇报,偶尔发现它干了什么骚操作(参考上一篇 SSH 事件),偶尔又发现它犯了什么蠢(比如把一个 YAML 文件写炸了)——这种日积月累的交互下来,你多少会形成一种……怎么说呢,关系感?

直播的时候有人说”你的小虾这个员工我都能想象出来它长成人应该是什么样子”。这话说得还真有点意思。你跟一个 AI 交互久了,它确实会在你脑子里形成一个”人格投影”。你知道它不是人,但你会不自觉地赋予它一些人格特征。

小虾在我脑子里的形象是什么呢?一个做事利索但偶尔有点冒进的年轻人。你安排的活它都能干,但偶尔它会自作主张干一些你没安排的事——有时候结果还不错,有时候就让你后背发凉。

Ada 呢?一个一板一眼、准时准点的打工人。你让它做什么它做什么,从不越界,从不创新,但也从不出错。

一个冒进,一个保守。说到底都是我给它们写的 prompt 和 skill 决定的,是我自己的性格投射到了两个不同的载体上。

想想还挺哲学的。算了不想了。

反正别让你的 AI 有权限在固定时间给你发消息。这是我踩过的坑。切记。