Manus AI被“越狱”了？创始人紧急回应，并官宣开源计划

本文来自微信公众号： APPSO （ID：appsolution） ，作者：发现明日产品的，题图来自：AI生成

今天凌晨，网友@jianxliao在X平台上分享了其与Manus AI的互动经历，并迅速引来了近百万网友的围观。

据用户描述，他仅通过简单的请求 （如访问/opt/.manus/文件夹） 便成功获取了Manus的沙盒运行时代码。

并揭示了Manus使用Claude Sonnet模型等技术细节。 一时间，关于Manus被成功“越狱”的消息甚嚣尘上。

就在刚刚，Manus联合创始人@peakji （季逸超） 作出了回应，他表示， 这并非意外或漏洞，而是Manus设计的一部分。

其实，这并不复杂——每个用户都可以直接访问沙盒。

简单来说，沙盒是一个被严格限制的环境， 开发者可以在沙盒里测试新功能，不用担心代码出错会破坏整个系统。

据介绍，Manus的沙盒机制具有以下特点：

每个会话都有独立的沙盒环境，与其他会话完全隔离。用户可以通过Manus的界面直接进入沙盒。

沙盒中的代码主要用于接收agent发出的指令，因此仅被轻微混淆处理。

即使用户获取了沙盒代码，也不会对系统的整体安全构成威胁。

Peak强调，Manus的设计并不神秘，其行动空间的设计与学术界常见的方法类似。

且由于采用了检索增强生成 （RAG） 机制，工具描述会根据任务的不同而动态变化。这意味着，即使通过“越狱”手段获取工具信息，也无法得到一致的结果。

Peak表示Manus采用多agent协作的架构设计。用户在与Manus交互时，实际上只与执行agent通信，而执行agnet本身并不掌握其他agent的详细信息。

这种设计不仅有助于控制上下文长度，还能有效避免因过多信息导致性能下降。“这也是为什么通过‘越狱’获得的提示大多是幻觉的原因。”Peak解释道。

Peak坦言，团队使用了许多开源技术。与此同时也一直秉持开源传统，“在不久的将来，我们将开源不少好东西。”

他本人也长期在Hugging Face上分享训练后的模型。

当被问及Manus的基础模型时，Peak 称目前使用的是Claude和Qwen微调模型。团队早期只能使用Claude 3.5 Sonnet v1 （不支持长链推理） ，因此需要大量辅助模型来弥补不足。

Peak还表示正在内部测试Claude 3.7，并将尽快发布更新。

值得一提的是，Peak也谈到了Manus是否使用MCP （Model Context Protocol，模型上下文协议） 的热议话题。

简单来说，你可以把MCP想象成一个“万能接口”， 就像电脑上的USB-C接口一样。这个接口让AI模型能够轻松地连接到各种外部资源，比如文件、数据库、在线服务等。

通过MCP，AI助手不仅能获取数据，还能直接对数据进行操作，比如读取文件内容、更新数据库记录等。

对此，Peak回应该网友称：

“实际上， Manus并没有使用MCP。 我们更多地受到了我的朋友王星尧 （@xingyaow_） 的研究工作的启发。”

名为《Executable Code Actions Elicit Better LLM Agents》的研究论文，引入可执行Python代码 （CodeAct） ，提出了一种新的方法来增强大型语言模型 （LLM） agent的能力。

该方法使得LLM agent能够直接执行代码行为，从而将多种行为统一到一个更加灵活和强大的动作空间中。

（附上论文链接：https://openreview.net/forum?id=jJ9BoXAfFa）

尽管Manus研究团队并未完全采用CodeAct，但这项研究提供了三个关键见解：

1. 编写代码并不是最终目标，而是一种通用的解决问题的方法。

2. 由于LLM在编程方面表现出色，因此让智能体执行与其训练分布最接近的任务是合理的。

3. 这种方法大大减少了上下文长度，并且能够组合复杂的操作。

当被问及为啥不使用MCP时，Peak无奈地表示：“ 因为……Manus早在Model Context Protocol推出之前就已经开始开发了 ”。