安全

PhysiClaw 能触碰手指能触碰的一切——也就是说，凡是你在一台已解锁手机上能做的事，它都能做。 这份能力正是整个项目的意义所在，也正是你在运行第一个任务之前，必须认真对待的那件事。

智能体看着屏幕，敲击玻璃。在手机看来，那支触控笔就是一根没有边界的指尖：没有应用沙盒， 没有权限弹窗，也没有任何”你确定吗？“挡在智能体和设备上已有的一切之间。只要一个手持你已解锁 手机的人做得到，PhysiClaw 就做得到。

把核心风险说明白

PhysiClaw 对一台已解锁的手机拥有完全的物理控制权。即便它一个密码都不知道，它仍然可以：

• 打开你的密码管理器，读出保存的凭据；
• 通过短信收到一条 OTP 验证码，并用它来重置某个密码；
• 在任何已登录的应用里花钱；
• 读取你的短信、邮件和照片，或者冒用你的身份发消息。

如果有恶意行为者攻破了你的智能体——一个被投毒的网页、一次提示注入、一个糟糕的模型决策—— 他们就会继承同样的访问权限。这里没有可以兜底的软件边界，因为按照设计，整条链路里根本就没有软件。

心智模型：一台已解锁的手机落在陌生人手里

智能体可能用到的其他每一条访问路径，都带着一道围栏。API 发放的是受限范围的令牌。无障碍接口 可以被撤销。越狱至少会暴露自己。PhysiClaw 故意拆掉了所有这些围栏——这正是它能在任意应用上工作 且无需任何集成的原因——所以那道围栏只能是手机本身。

理解一次 PhysiClaw 会话的正确方式很简单：你正把自己已解锁的手机交给一个陌生人，然后转身走开。 未必是个心怀恶意的陌生人——但他会一字不差地照做指令，而且可能被骗。如果那台手机里装着你的银行 应用、你的主力号码、你的密码库，你绝不会把它交给陌生人。所以，别这么做。

用一台备用机

真正的缓解措施不是某个你去拨动的开关，而是一台你去挑选的设备。把 PhysiClaw 跑在一台 专用的工具机上——一台便宜的备用机，彻底抹除过——只给它任务真正需要的东西。这台机器上不该有 任何你会介意被陌生人看到或使用的东西。

专用手机

一台备用设备，恢复出厂设置。永远不要用你的主力手机，也永远不要用任何曾经登录过你真实账户的手机。

独立号码

一张与你主身份无关的副 SIM 卡或 eSIM——这样，发到这里的 OTP 验证码就无法解锁你的真实账户。

全新账户

为这台手机新建的登录账户。不要在它上面登录你真实的邮箱、银行或社交账户。

不同的密码

绝不要复用你主力手机上的任何凭据。万一这台设备泄露了一个，攻击者也别想凭它再拿到别的东西。

有限的资金

只充入任务所需的额度。余额很小，就能把会话出错时最坏情况下的花销限制在可控范围内。

不装密码管理器

干脆别装。智能体能打开它看到的一切——所以手机上存的秘密越少，可泄露的东西就越少。

为什么密码是 111111

PhysiClaw 的 unlock_phone 工具把密码硬编码为 111111——这不是一个建议，而是一个刻意的选择。 一个写在源码里、用完即弃的密码，意味着真正的密码永远不必由智能体键入、不必存进配置、也不必通过 日志或 git 历史泄露出去。它只有在一台你早已决定当作可丢弃的工具机上才说得通。

别把真正的秘密放到智能体够得着的地方

同样的逻辑不止于密码。任何智能体可能需要键入的东西——一个卡号、一次登录——它同样能读取并 外泄。除非某个具体任务确实需要，否则把秘密留在手机之外；任务完成后就移除它们。

网络暴露

PhysiClaw 服务器绑定到 0.0.0.0，以便手机的桥接页面能通过你的局域网访问它。这是有意为之， 但也意味着同一网络上的任何东西都能触及这个 MCP 端点。physiclaw doctor 会把这一点提示出来：

bind: 0.0.0.0 (LAN-reachable; intended for the phone bridge)

把整套设备跑在你信任的网络上，并且不要把端口 8048 暴露到公共互联网。

安全是成熟的默认选择，而不是恐惧

以上这些都不是你回避这个项目的理由。一个拥有真实物理触达能力的系统本就应该配上一份清晰、 诚实的威胁模型——而把最坏情况说清楚，恰恰是为了让你把整套设备搭建成”即使最坏情况发生也无所谓”： 一台抹除过的备用机、几块钱的余额、几个就算丢了也无妨的账户。这样做下来，你既能享受到一个可以使用 任意应用的智能体的全部威力，又把影响半径控制在自己刻意选定的范围内。