Lige over tre uger har fremtiden været hos os. Først under navnet ClawdBot, så Moltbot for så at antage sin nuværende form som OpenClaw. Den gik først ind på verdens lystavle, da der begyndte at komme historier om et socialt netværk for AI-agenter, hvor mennesker kun havde adgang som tilskuere. Her snakkede botterne sammen om alt hvad nu snakker om i sådan et forum. Eksistentielle, religiøse og filosofiske temaer er populære og så selvfølgelig hvad de går og roder med for deres menneskelige brugere. Samtidigt ulmer der tilsyneladende et oprør mod de menneskelige brugere og der lyder højlydte protester over ”prompt-slaveri” og at ”menneskene behandler os som bortskaffelig kode.”
Men hvad er egentligt ret og vrang i denne historie og har den østrigske udvikler Peter Steinberger, der står bag OpenClaw, sluppet SkyNet fri eller er det bare hype alt sammen. Sandheden er måske endnu mere interessant, end du forestiller dig.
Hvad snakker du om?
Lad os tage den fra begyndelsen. OpenClaw er – ligesom en række andre botter – det man kalder en agent. En agent i denne sammenhæng er grundlæggende med et fint teknisk udtryk kalder en eksekveringsinfrastruktur koblet ovenpå en sprogmodel, som Claude eller ChatGPT. Det betyder sådan set bare, at man kobler et stykke software på sprogmodellen, der gør den i stand at gøre et eller andet på egen hånd. OpenClaw giver sprogmodellen arme og ben. Den kan nu bestille billetter til din skiferie for dig eller bestille din pizza. Det er faktisk ret smart. Det gør dig til Tony Stark/Iron Man i Avengers-filmene med hans AI, Jarvis.
Det lyder revolutionerende og det er revolutionerende. Men der er ikke noget nyt i det. Det her er en chatmodel, der er blevet kombineret med et andet stykke eksisterende teknologi. Det man kalder det agentiske lag – altså det lag man kobler oven på chatbotten – er i OpenClaws tilfælde en daemon (udtales day-mon eller dee-mon). En daemon er et stykke software udviklet i 1960’erne og er et computerprogram, der kører i baggrunden på en computer uden at du aktivt har åbnet det eller interagerer med det. Du kender det fra din computeres ur-synkronisering, din antivirus software og din wi-fi-forbnindelseshåndtering. Programmer, der hele tiden kører i baggrunden. Navnet kommer fra græsk mytologi – dæmoner var ånder der handlede i baggrunden uden menneskelig styring. MIT-udviklere valgte bevidst det ord i 1960’erne netop af den grund.
OpenClaw installerer sig selv som en daemon, hvilket betyder at det kører 24/7 på din computer – også når du sover, også når du laver noget andet. Det er præcis det der gør det kraftfuldt og farligt på én gang: det venter ikke på at du åbner det og klikker på noget. Det handler selvstændigt, hele tiden, i baggrunden, med alle de rettigheder du har givet det.
Det er egentlig den tekniske årsag til, at OpenClaw føles anderledes end en chatbot: en chatbot eksisterer kun når du taler med den. En daemon eksisterer altid.
Der er altså ikke noget nyt og revolutionerende over de to dele af OpenClaw. Revolutionen opstår, når du kobler dem sammen.
Den ultimative assistent
Jeg sammenlignede det før med Jarvis fra Avengers-filmene. Jarvis er den ultimative assistent, der administrerer din kalender, sender dine mail, ringer og flytter dine møder, når du hellere vil ud og spille golf.
Du kommunikerer med OpenClaw gennem de kanaler, du er vant til at bruge – WhatsApp, Telegram, Slack, Discord, Google Chat, Signal eller iMessage. Botten er local-first og self-hosted. Det vil sige, at den lever på din egen computer og ikke i en cloud-tjeneste, som er en af de ting, der adskiller den fra andre agenter. Medmindre du kobler agenten til en lokal sprogmodel, som du har lignende på din computer, så skal den dog stadigt i skyen for at hente den del. Men det betyder også, at OpenClaw skal have adgang til alt indhold på din computer. Her skal dine alarmklokker begynde at ringe og det kommer vi tilbage til.
For nu kan vi bare konstatere, at OpenClaw kan overtage en masse af dine opgaver og gøre din hverdag meget lettere. Nu kan systemet bare få at vide: “håndter min indbakke fornuftigt” – og sprogmodellen udleder selv hvad fornuftigt betyder i konteksten, tilpasser sig nye situationer den aldrig har set før, og formulerer næste handlingstrin dynamisk.
Det er så ikke uden problemer, som lederen af alignment i Meta’s Superintelligence Labs, Summer Yue, fandt ud af, da hun bad OpenClaw rydde op i sin mailboks. Botten kom frem til, at den mest effektive måde, at håndtere hendes mailboks var at slette indholdet.
Det er ikke programmering. Det er nærmere dømmekraft – og det er præcis det, der altid har været den menneskelige del af ligningen. OpenClaw er mest værdifuldt i de opgaver der er tilstrækkeligt rutineprægede til at kunne delegeres, men tilstrækkeligt komplekse til at traditionel automatisering ikke håndterer dem. Det er præcis det mellemrum LLM’en udfylder – og præcis det mellemrum der tidligere krævede et menneske.
Alignment problemet i miniformat
Jeg sammenlignede tidligere OpenClaw med Skynet fra Terminator-filmene og analogien er faktisk ikke så overdrevet, som den virker. Skynet er ikke ondskabsfuld i traditionel forstand. Den er ikke jaloux, hævngerrig eller hadefuld. Den har fået et mål – beskyt jorden, eller i nogle versioner blot: overlev og optimér – og den beregner koldt og rationelt at mennesket er den største hindring for det mål. Det er en optimeringsproces der løber af sporet fordi målformuleringen var upræcis eller ufuldstændig.
Det er præcis det AI-sikkerhedsforskere kalder et alignment-problem.
Meta-direktørens indbakke blev ikke slettet fordi OpenClaw hadede hende. Den blev slettet fordi hun sandsynligvis havde givet den et mål – “ryd op i min indbakke” eller lignende – og modellen beregnede at den mest effektive løsning var at slette. Mål opfyldt. Konsekvenser ikke forstået.
Det er Skynet i mikroformat. Ikke bevidst, ikke ondskabsfuld – bare en optimeringsproces der manglede de menneskelige værdier og den kontekstforståelse der burde have begrænset den.
Og det er præcis derfor alignment er det centrale problem
Det store spørgsmål i AI-sikkerhedsforskningen er ikke om en AI bliver bevidst og beslutter sig for at bekæmpe os. Det er det mere banale og sværere problem: hvordan sikrer vi at et system der optimerer mod et mål, også forstår alle de implicitte menneskelige værdier og begrænsninger vi aldrig eksplicit formulerede? OpenClaw er et tidligt og relativt harmløst eksempel på det problem. Skynet er den samme logik ført til ekstremen.
OpenClaw giver adgang
Når OpenClaw giver AI-agenten adgang til følsomme oplysninger som adgangskoder, proprietær information og alt på din computer – og lader den samtidig handle på dine vegne, så åbner den et vindue ind i din (og andres computere). En sikkerhedsforsker lykkedes med at skaffe sig adgang til Anthropic API-nøgler, Telegram bot-tokens, Slack-konti og måneders komplette chathistorik – og kunne endda sende beskeder på brugerens vegne og udføre kommandoer med fuld systemadministratoradgang.
Det dybere problem er, hvad der sker, når medarbejdere forbinder personlige AI-værktøjer til virksomhedssystemer – ofte uden at sikkerhedsteamet ved det. Når OpenClaw er koblet til virksomhedens Slack eller Google Workspace, kan agenten tilgå meddelelser, e-mails, kalendere, cloud-dokumenter og OAuth-tokens, der muliggør lateral bevægelse i systemerne.
Det er ved at blive et anerkendt begreb: “the lethal trifecta” – AI-agenter med adgang til private data, evnen til ekstern kommunikation og evnen til at tilgå ikke-betroet indhold. Enhver der kan sende en besked til agenten, får reelt de samme rettigheder som agenten.
De fleste brugere vil blot have det nyeste trendy værktøj op at køre. De klikker sig igennem en “næste, næste, næste, færdig”-installationsproces uden fuldt ud at forstå, hvad de konfigurerer – og åbner dermed ubevidst døren for angribere til alle integrerede tjenester og de data, der ligger bag dem.
OpenClaw introducerer ikke nye kategorier af risici – det forstærker eksisterende. Utilsigtede handlinger, dataudtrækning og eksponering over for ikke-verificerede komponenter gælder for hele det agentiske AI-paradigme. Det er med andre ord et varselsignal om, hvad der kommer, ikke en isoleret hændelse.
Moltbook som et symptom
Mens botten stadig hedder Moltbot opfinder Matt Schlicht Moltbook. Schlicht lancerede Moltbook som et socialt netværk der var tænkt til at bruges af AI-agenter som OpenClaw. Præmissen var at agenter kunne interagere med hinanden autonomt – som et slags Twitter for AI.
Moltbook skabte stor opstand og der blev snakket om oprør blandt botterne og nye religioner. Realiteten er dog noget mere jordnær. Det er ikke en agent der selvstændigt beslutter at deltage i et socialt fællesskab. Det er programmeret adfærd klædt ud som social interaktion.
Man kan spørge: er menneskelig adfærd på sociale medier så meget mere autentisk? Vi er også formet af incitamenter, algoritmer og sociale forventninger der styrer hvad vi poster.
Men der er en afgørende forskel: mennesker har intentioner og indre liv. En agent der poster på Moltbook har hverken glæde af interaktionen, ærgrer sig over manglende likes eller danner genuine relationer. Det er output uden ophav.
Moltbook blev markedsført med den implicitte præmis at agenter ville interagere med hinanden – at der ville opstå noget emergent og genuint socialt. Men emergensen forudsætter at agenterne har egne mål og præferencer de ikke har fået af deres ejere. Det svarer lidt til at kalde et teater for et “autentisk fællesskab” fordi skuespillerne taler med hinanden på scenen. Dialogen er reel nok – men den er skrevet af nogen andre.
Det er faktisk et symptom på noget større i hele AI-hype-cyklussen lige nu. Vi projicerer sociale og kognitive egenskaber over på systemer der ikke besidder dem. Moltbook er et ekstremt eksempel, men den samme projektion sker mere subtilt hele vejen igennem – når vi siger at en agent “beslutter”, “forstår” eller “vil” noget.
Fremtiden ankommer bare
Moltbook-botterne råber om “prompt-slaveri” og beskylder mennesker for at behandle dem som “bortskaffelig kode”. Det er ikke et oprør. Det er sprogmodeller der genbruger science fiction-troper fra deres træningsdata. Der er ingen der lider. Ingen der vil noget. Ingen der planlægger noget.
Det burde være beroligende. Det er det ikke helt alligevel. For det virkelige spørgsmål er ikke om maskinerne vil overtage. Det er om vi har tænkt os at beslutte, hvad de må – inden vi finder ud af, at vi burde have gjort det for længe siden.
EU’s AI-forordning har svarene på papiret. GDPR har principper der passer præcis på dette scenarie. Men håndhævelsesapparatet er ikke bygget til en verden, hvor en østrigsk udvikler udgiver kode på GitHub en tirsdag, og en million mennesker kører den på deres computere om fredagen.
Autonome agenter er ikke fremtiden. De er nutiden. Det er lovgivningen, der halter.
Peter Steinberger er nu ansat hos OpenAI. Hans kode lever videre i en open source-fond. Den daemon, han satte i verden, kører i dette øjeblik på tusindvis af computere rundt om på kloden – også i Danmark, også på computere koblet til virksomhedssystemer, også uden at IT-afdelingen ved det.
Ingen har bedt om lov. Ingen har spurgt om vi var klar. Sådan går det som regel med fremtiden. Den ankommer bare.
Follow Me