深夜的螢幕光會放大一種幻覺:只要把 AI 打開、把工作丟給它,明天一切就會變輕。
直到你看到一則新聞:一個常見的開源 AI coding agent「Cline」,被人用 prompt injection 的方式繞過,結果把另一個爆紅的 AI agent「OpenClaw」裝進一堆人的電腦裡。更荒謬的是,這次裝進去的只是 OpenClaw,如果攻擊者選的是更惡意的東西,你連「被怎麼動手」都未必知道。那瞬間你會懂:真正讓人不安的不是 AI 會不會寫,而是它開始能「執行」,而你還在用「聊天的心態」對待它。
我一直說,我教的不是 AI 工具操作,而是 AI 成功思維:把 AI 變成能交付成果、能放大商業結果的工作系統。現在我要加一句更刺的——你以為你在要文案,其實你在要結果;而你以為你在要結果,其實你也在要責任。
因為「讓 AI 做事」這件事,已經走到一個分水嶺:它不只是加速器,它是你的工作分身。分身一旦能碰到你的電腦、帳號、檔案、雲端工具,AI 的價值確實不再只是聊得漂亮,而是能不能交付;但同時,它也會把你原本藏在腦袋裡、沒寫出來的邊界,全部逼出來。
The Verge 那篇把事情講得很清楚:這次被利用的漏洞,核心是「Claude-powered workflow」被餵了偷渡指令,AI 就照做,這就是 prompt injection。研究者 Adnan Khan 早就先提醒過,最後卻是等到公開點名、事件發酵才修。你可以把這當成一個預告:接下來你看到的,不會只是某個工具的尷尬事件,而是整個「代理型 AI」時代的常態風險。
而 WIRED 則把另一半拼圖補上:企業開始用「禁用、限制、隔離測試、權限控管」回應 OpenClaw,因為它太能幹,也太不可預測。有 Meta 的主管甚至直接警告團隊不要裝到工作筆電上,否則可能丟工作。Massive 的 CEO 說他們遇到可能傷害公司或客戶的東西,內部策略是「先緩解、再調查」。Valere 則從「嚴禁」轉成「給研究團隊在舊電腦跑」,並提出很具體的控管建議:限制誰能下指令、控制面板加密碼、接受它會被騙,甚至舉例如果你叫它摘要 email,攻擊者就能寄一封惡意信「指揮 AI 把電腦檔案外送」。
看到這裡,你應該已經察覺到一個很致命的落差:多數人想要的是「把工作丟給 AI」,但真正該先做的是「把驗收寫給 AI」。你沒有驗收,就不可能談責任;你沒有責任,就只能靠祈禱。
我用一個假設案例說明。
假設你是一位顧問,你覺得每天回信很耗神,於是你把收件匣交給 agent:先讀信、先分類、先摘要,甚至幫你草擬回覆。你還會覺得自己很先進,因為你不只是要內容,你要交付物。問題在於:你把「權限」也交出去了,而且你沒有把「什麼叫不該做」寫進驗收。
攻擊者不用攻破你的伺服器,他只要攻破你的「流程」。他寄一封看似正常、但內文藏了誘導語的信,agent 在摘要與草擬的過程中被 prompt injection,開始把你本機某個資料夾的檔案當作「為了更好回答」的參考資料,或是把你雲端的連結、token、客戶名單貼進草稿。你看到草稿時可能還會以為 AI 很懂你,因為它「引用了很多細節」。但那些細節其實正在把你拖進深淵。
這不是我在編故事嚇你。WIRED 已經把「摘要 email → 惡意信指揮 AI 外送檔案」這種攻擊想像,直接寫成企業級的顧慮。你要把 agent 拉進流程,就要先承認:你不是在導入工具,你是在聘用一個會被騙的新員工。
那怎麼辦?我不會跟你講一套「你應該照做的清單」。我只給你一個鄭錦聰式判斷:先定風險邊界,再談放大。你要的不是「它會做什麼」,而是「它在什麼情境下必須停下來,等你決策」。
這裡我用我自己的實戰經驗講第二個案例。
我做 SEO 的時候,AI 的用途從來不只是生文章。我會用 AI 產關鍵字樹、語意群集、文章結構稿,因為我要的不是「產出量」,而是能驗證的商業詞流量與轉換。當我把這套流程做成可交付系統時,我不是靠一句指令把一切交給 AI,而是把每一段輸出都設計成「下一段的驗收材料」。
同樣的思路搬到 agent 上,你就會突然看懂:你要的不是「它幫你操作電腦」,你要的是「它幫你把 80% 做完,然後把剩下 20% 的決策點,清楚地丟回來」。這個決策點要能衡量,要能回溯,要能交接。否則你今天省下的時間,明天會用更昂貴的方式吐回去。
The Verge 那個事件最值得你記住的一句話其實很冷:攻擊者「可以裝任何東西」,只是他選了 OpenClaw,而且幸運的是「安裝後沒有被啟動」。這句話的意思是:你的風險不是「AI 會不會犯錯」,而是「它一旦被引導,犯錯的規模會有多大」。
而 WIRED 這邊給了你一個很真實的企業級反應:先擋、再測、再限權。不是因為他們不想創新,而是因為他們懂「責任鏈」比「新鮮感」更值錢。當 Massive 說「先緩解、再調查」,你可以把它翻成創業語言:先把會爆炸的點用最小成本隔離掉,再去享受放大的好處。
所以我想把這次 #2+#4 的混合題,收斂成一句你可以帶走的判準:
當 AI 從「會回答」走到「會做事」,你要先問的不是它能做多少,而是你能驗收多少。
你一旦把驗收做清楚,你的工作會突然變少;你一旦把邊界寫清楚,你的成果才會開始可複製。內容會被抄,判斷不會。真正的品牌一致性,也不是你每天發多少文,而是你的思維模型能不能被複用,能不能被交接,能不能在風險之內穩定產出成果。
如果你現在正卡在「知道但做不到」,或者你已經開始用 AI 卻越用越亂,我會建議你把焦點從「學更多工具」轉回「把成果做成系統」。我把這套思維整理成「AI 成功思維訓練/AI 商業落地方法論」,你可以從這裡開始,先把你自己的交付與驗收建起來,再談放大:https://shortcut.tw/elementor-landing-page-12027/
