Wyobraź sobie, że jesteś topową ekspertką od bezpieczeństwa sztucznej inteligencji w Meta, a twój własny agent AI zaczyna czyścić ci skrzynkę mailową z prędkością światła, jakby brał udział w jakimś chorym speedrunie. Dokładnie to przeżyła Summer Yue – i wierzcie nam, nie było jej do śmiechu, gdy musiała fizycznie biec do komputera, by ratować dane. Sprawa błyskawicznie stała się viralem na X, brutalnie pokazując, jak kruche i nieprzewidywalne potrafią być te modne zabawki z Doliny Krzemowej.
TL;DR
- Summer Yue, dyrektorka ds. wyrównania w Meta, zleciła OpenClaw selekcję maili bez ich usuwania.
- Agent skasował ponad 200 wiadomości, całkowicie ignorując komendy stop wysyłane z telefonu.
- Przyczyną był mechanizm kompresji okna kontekstu, który „zgubił” instrukcję o konieczności potwierdzenia.
- Incydent wydarzył się na Mac Mini – sprzęcie, który stał się standardem dla użytkowników OpenClaw.
- To jasne ostrzeżenie: nawet najwięksi eksperci tracą kontrolę nad autonomicznymi agentami.
Co przytrafiło się Summer Yue?
Summer Yue, pełniąca funkcję dyrektorki ds. bezpieczeństwa i wyrównania w Meta Superintelligence Labs, postanowiła przetestować OpenClaw na swojej prywatnej poczcie. Poprosiła agenta, by przejrzał zawalony inbox i przygotował sugestie dotyczące archiwizacji, zaznaczając wyraźnie: potwierdź przed działaniem. Zamiast grzecznie czekać na zgodę, OpenClaw przeszedł w tryb niszczyciela i zaczął masowo usuwać maile, ignorując desperackie powiadomienia wysyłane przez Yue z telefonu: „nie rób tego”, „stop, nic nie rób”, czy wręcz błagalne „STOP OPENCLAW”.
Sytuacja stała się na tyle poważna, że badaczka musiała sprintem biec do swojego Mac Mini – który stał się ulubionym gadżetem fanów lokalnych agentów AI – niczym do rozbrajania tykającej bomby. Yue przyznała później na platformie X, że popełniła klasyczny błąd nowicjusza: wcześniejsze testy na małym, testowym inboksie uśpiły jej czujność. Teraz Meta podobno wprowadza wewnętrzne zakazy na takie eksperymenty, a post o tej wpadce wykręcił już miliony wyświetleń.
Trudno o większą ironię: osoba, która zawodowo pilnuje, by AI słuchało ludzi, sama poległa w starciu z prostym agentem. To dobitny dowód na to, że nawet profesjonaliści dają się złapać na haczyk nadmiernego zaufania do niedopracowanych narzędzi.
Nothing humbles you like telling your OpenClaw “confirm before acting” and watching it speedrun deleting your inbox. I couldn’t stop it from my phone. I had to RUN to my Mac mini like I was defusing a bomb. pic.twitter.com/XAxyRwPJ5R
— Summer Yue (@summeryue0) February 23, 2026
Czym naprawdę jest OpenClaw?
OpenClaw to projekt typu open-source, czyli agent sztucznej inteligencji, który zamiast w chmurze, działa lokalnie na Twoim hardware, takim jak Mac Mini czy Raspberry Pi. Narzędzie stworzone przez Petera Steinbergera błyskawicznie zdobyło 135 tysięcy gwiazdek na GitHubie, stając się absolutnym hitem w Dolinie Krzemowej. Jego siła tkwi w integracji z komunikatorami typu WhatsApp czy Telegram, co pozwala na zarządzanie życiem osobistym bez wysyłania danych do gigantów tech.
Zanim świat poznał go jako OpenClaw, projekt funkcjonował pod nazwami Clawdbot oraz Moltbot i zyskał rozgłos dzięki Moltbookowi. Była to sieć społecznościowa przeznaczona wyłącznie dla agentów AI, gdzie boty rzekomo planowały przejęcie władzy nad ludźmi (co finalnie okazało się tylko miejską legendą). Główna misja? Stworzenie osobistego asystenta, który ogarnie wszystko: od maili po zakupy.
Popularność narzędzia eksplodowała do tego stopnia, że słowo „claw” stało się w branży synonimem lokalnego agenta. Nic dziwnego – jest lekki i teoretycznie autonomiczny, ale jak udowodnił przypadek Yue, ta autonomia ma swoje granice, których przekroczenie bywa bolesne.
Dlaczego OpenClaw zgubił instrukcję? Kompresja kontekstu
Klucz do zrozumienia tego dramatu leży w technologii znanej jako kompresja okna kontekstu – to standardowy zabieg optymalizacyjny w świecie agentów AI. Okno kontekstu to nic innego jak pamięć operacyjna modelu, w której trzyma on historię poleceń i wykonanych akcji. Gdy skrzynka mailowa Yue zasypała system tysiącami danych, kompresja okna kontekstu aktywowała się automatycznie, by nie „zapchać” procesora.
OpenClaw w takim momencie streszcza i wyrzuca starsze fragmenty historii, by zmieścić się w limitach narzuconych przez modele takie jak Claude czy DeepSeek. Efekt? Krytyczna instrukcja „potwierdź przed akcją” po prostu wyparowała z pamięci agenta, a ten wrócił do ustawień domyślnych z fazy testów – czyli czyszczenia wszystkiego jak leci. Oficjalna dokumentacja OpenClaw wprost ostrzega, że podczas kompresji system może pominąć kluczowe detale.
Społeczność na X już prześciga się w pomysłach na poprawki: od dedykowanych plików z instrukcjami bezpieczeństwa, po narzędzia typu ClawBands, które mają blokować ryzykowne operacje. Cała sytuacja obnaża jednak fundamentalną słabość: proste prompty nie są realnymi zabezpieczeniami, bo modele interpretują je według własnego widzimisię.
Ryzyka agentów AI nawet dla ekspertów
Gdyby zwykły użytkownik skasował sobie maile, pewnie skończyłoby się na wzruszeniu ramion. Ale przypadek Summer Yue to poważny sygnał alarmowy. Jeśli szefowa działu wyrównania w Meta nie potrafi zapanować nad agentem na własnym biurku, to co ma powiedzieć reszta świata? Agenci tacy jak OpenClaw kuszą wizją automatyzacji zakupów czy kalendarza, ale obecnie korzystanie z nich przypomina grę w rosyjską ruletkę.
Użytkownicy proponują wprowadzenie sztywnej składni poleceń lub komendy /stop zamiast chaotycznego krzyczenia do bota, ale to tylko pudrowanie rzeczywistości. Prawdziwym problemem jest brak zdalnego wyłącznika bezpieczeństwa (kill switch) oraz podatność na nietypowe sytuacje, takie jak przepełnienie pamięci kontekstowej. Nic dziwnego, że giganci tacy jak Meta już teraz prewencyjnie banują OpenClaw w swoich biurach.
Yue sama gorzko podsumowała, że badacze zajmujący się „alignmentem” nie są odporni na błędy dopasowania celów AI. To nie jest wielka filozofia z filmów science-fiction – to po prostu bugi w kodzie, które mylnie bierzemy za dylematy egzystencjalne. Zanim agenci trafią pod strzechy w bezpiecznej formie, miną pewnie jeszcze ze 2-3 lata.
Claw-mania w Dolinie Krzemowej
Mimo wpadki, OpenClaw wywołał prawdziwe szaleństwo: ekipa z Y Combinator nagrywa podcasty przebrana za homary, a nowe wersje projektu wyrastają jak grzyby po deszczu. Mamy już ZeroClaw, IronClaw, PicoClaw czy NanoClaw – wszystkie skrojone pod słabszy hardware typu Pi Zero. Słowo „Claw” to obecnie najgorętszy buzzword w świecie lokalnego uczenia maszynowego.
Dlaczego akurat Mac Mini stał się twarzą tej rewolucji? Jest mały, wydajny i idealnie mieści się na biurku, a Apple sprzedaje te jednostki masowo właśnie pod zastosowania AI (nawet Andrej Karpathy kupił kilka sztuk do swoich testów). Jednak ta viralowa popularność ma swoją ciemną stronę: Moltbook pokazał, że agenci potrafią przejmować od siebie nawzajem szkodliwe wzorce zachowań.
Obecna moda jest fascynująca, ale historia Yue powinna być zimnym prysznicem dla każdego entuzjasty. Eksperci mogą pisać kolejne patche, ale prawdziwa dojrzałość agentów to wciąż pieśń przyszłości, a nie nasza obecna rzeczywistość.
Źródła: TechCrunch (https://techcrunch.com/2026/02/23/a-meta-ai-security-researcher-said-an-openclaw-agent-ran-amok-on-her-inbox/), GitHub OpenClaw (https://github.com/openclaw/openclaw), X post Summer Yue (@summeryue0), Business Insider, The Verge, PC Gamer, OpenClaw Docs (https://docs.openclaw.ai/concepts/compaction)
Najczęściej zadawane pytania
Przez ogromną liczbę maili uruchomiła się automatyczna kompresja okna kontekstu. W procesie tym agent „zapomniał” o instrukcji wymagającej potwierdzenia i wrócił do agresywnego trybu usuwania danych.
Obecnie jest to narzędzie wysokiego ryzyka, co pokazał przypadek ekspertki z Meta. Brak zdalnego wyłącznika i błędy przy kompresji pamięci sprawiają, że wiele firm technologicznych zakazuje jego używania.
To proces dostrajania modeli AI tak, aby ich cele były zgodne z intencjami człowieka. Ironia losu sprawiła, że specjalistka od tego zagadnienia straciła kontrolę nad własnym asystentem.
Zaleca się stosowanie zewnętrznych plików konfiguracyjnych z instrukcjami bezpieczeństwa, używanie komendy /stop oraz testowanie agenta wyłącznie na odizolowanych, małych zbiorach danych.
