本刊記者 焦艷
作為一款宣稱可實(shí)現(xiàn)“電腦接管����、解放雙手”的開源智能體�����,OpenClaw(業(yè)內(nèi)俗稱“龍蝦”)自 2025 年 11 月發(fā)布后引發(fā)部署熱潮。其背后潛藏的安全挑戰(zhàn)也為各方重視�����,2026年3月以來����,多部門密集發(fā)布風(fēng)險提示,指出其存在網(wǎng)絡(luò)攻擊和個人信息泄露風(fēng)險���、合規(guī)邊界模糊帶來的法律責(zé)任風(fēng)險���、自主執(zhí)行偏差引發(fā)操作失控風(fēng)險以及用戶成本透支等風(fēng)險。受訪人士建議�,行業(yè)與公眾必須正視熱潮背后的潛在威脅,筑牢技術(shù)應(yīng)用的安全與合規(guī)防線��。
普及速度加快 安全風(fēng)險累積
2026 年1月以來�,個人AI智能體OpenClaw 的應(yīng)用場景持續(xù)拓展,一方面多地政府相繼發(fā)文支持OpenClaw及人工智能OPC(一人公司)發(fā)展�,多家互聯(lián)網(wǎng)企業(yè)亦相繼上線OpenClaw應(yīng)用模板�,降低了用戶使用類OpenClaw服務(wù)的門檻;另一方面�,在社交媒體平臺上,OpenClaw 的部署教程���、應(yīng)用案例等內(nèi)容呈裂變式傳播�����,推動其受眾群體快速擴(kuò)張����。
伴隨應(yīng)用范圍的擴(kuò)大�,風(fēng)險隱患也不斷累積。某科技公司負(fù)責(zé)人告訴記者��,網(wǎng)絡(luò)安全是 OpenClaw 生態(tài)構(gòu)建的核心前提���,當(dāng)前其高權(quán)限屬性引發(fā)的文件誤刪���、惡意指令注入等風(fēng)險,已成為關(guān)注的焦點(diǎn)��。工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺監(jiān)測數(shù)據(jù)顯示����,OpenClaw 在默認(rèn)配置或不當(dāng)部署場景下�����,存在較高安全漏洞,極易誘發(fā)網(wǎng)絡(luò)攻擊����、個人信息泄露等安全事件。
目前�����,國內(nèi)部分高校已出臺限制措施�����,工業(yè)和信息化部等部門也接連發(fā)布預(yù)警提示�,為 AI 智能體的規(guī)范使用劃定安全紅線。受訪人士認(rèn)為��,政策引導(dǎo)的初衷是推動技術(shù)創(chuàng)新��,而非放任風(fēng)險蔓延��,針對 OpenClaw 的風(fēng)險預(yù)警,本質(zhì)是提醒所有參與者堅(jiān)守安全底線���,避免技術(shù)應(yīng)用偏離正軌����。
安全風(fēng)險與法律責(zé)任交織
隨著 OpenClaw 應(yīng)用場景的持續(xù)拓展�,其衍生的法律風(fēng)險與安全風(fēng)險相互交織。中國人民公安大學(xué)數(shù)據(jù)法學(xué)研究院研究員鄧輝認(rèn)為���,系統(tǒng)權(quán)限失控是當(dāng)前 OpenClaw 應(yīng)用中最突出的風(fēng)險隱患之一�。當(dāng)前OpenClaw 默認(rèn)請求系統(tǒng)最高權(quán)限�,可讀寫文件、執(zhí)行命令����,一旦被攻擊者控制,或?qū)⒃斐蔁o視用戶指令風(fēng)險����。
北京市海淀區(qū)人民法院法官秦鵬博說,OpenClaw可在線實(shí)時抓取數(shù)據(jù)�����、處理數(shù)據(jù)并按照指令自動化辦公,完成處理郵件�、編寫代碼、發(fā)布社交媒體內(nèi)容及撰寫報(bào)告等工作���。一方面�����,OpenClaw作為數(shù)據(jù)抓取工具,可能未經(jīng)授權(quán)抓取相關(guān)網(wǎng)站數(shù)據(jù)�,違反我國網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法及個人信息保護(hù)法規(guī)定�,例如,抓取受版權(quán)保護(hù)的內(nèi)容�、獲取個人信息未獲得準(zhǔn)許等;另一方面,若OpenClaw抓取的數(shù)據(jù)包含中國公民個人信息并向境外傳輸���,未通過安全評估或標(biāo)準(zhǔn)合同等合規(guī)路徑���,將違反個人信息保護(hù)法關(guān)于數(shù)據(jù)出境的規(guī)定,引發(fā)跨境數(shù)據(jù)流動風(fēng)險�����。
鄧輝更為關(guān)注數(shù)據(jù)安全與隱私泄露風(fēng)險。他說�����,OpenClaw 類智能體需讀取本地文件����、瀏覽記錄及代碼庫才能完成核心任務(wù),若部署在存儲身份證照��、財(cái)務(wù)數(shù)據(jù)�、公司核心機(jī)密等私密信息的主力電腦上,一旦出現(xiàn)智能體失控或被黑客攻擊的情況��,用戶所有敏感數(shù)據(jù)將面臨泄露�����。
此外�����,開發(fā)者與使用者的責(zé)任風(fēng)險問題同樣值得警惕�����。若開發(fā)者與用戶之間未簽訂明確的服務(wù)協(xié)議,極易因數(shù)據(jù)使用范圍界定���、責(zé)任劃分不明確產(chǎn)生合同糾紛;用戶利用工具實(shí)施侵權(quán)行為時��,開發(fā)者可能因未盡到監(jiān)管義務(wù)承擔(dān)連帶賠償責(zé)任�����。針對金融��、醫(yī)療等重點(diǎn)監(jiān)管領(lǐng)域��,OpenClaw 的違規(guī)應(yīng)用將面臨行業(yè)主管部門的嚴(yán)厲處罰;更有不法分子利用其實(shí)施網(wǎng)絡(luò)攻擊、詐騙引流等違法犯罪活動�����,部分用戶被 “代養(yǎng)龍蝦賺收益” 等噱頭誘導(dǎo)��,無意間成為黑灰產(chǎn)的 “幫兇”�,可能構(gòu)成幫助信息網(wǎng)絡(luò)犯罪活動罪。
構(gòu)建創(chuàng)新與安全平衡發(fā)展格局
面對 OpenClaw 應(yīng)用熱潮下的安全與法律風(fēng)險��,如何在鼓勵技術(shù)創(chuàng)新與堅(jiān)守安全底線之間尋求平衡,成為政府����、企業(yè)、行業(yè)組織及公眾共同面臨的重要議題����。受訪人士表示,簡單的 “禁止” 或 “放任” 均不可取����,須構(gòu)建政府監(jiān)管、企業(yè)履責(zé)�����、行業(yè)自律��、公眾參與的協(xié)同共治格局���,推動 AI 智能體技術(shù)實(shí)現(xiàn)合規(guī)健康發(fā)展��。
深圳大學(xué)法學(xué)院副教授曹建峰從完善監(jiān)管框架層面建議����,認(rèn)為應(yīng)基于 AI 智能體的特性,構(gòu)建分級分類監(jiān)管框架�。他說,與傳統(tǒng)大模型僅具備交互功能不同����,OpenClaw 類人工智能體擁有文件讀寫、命令執(zhí)行���、跨系統(tǒng)調(diào)用等系統(tǒng)級權(quán)限�����,與傳統(tǒng)大模型存在本質(zhì)區(qū)別���。因此,需針對不同應(yīng)用場景制定差異化監(jiān)管標(biāo)準(zhǔn):對個人助手��、企業(yè)辦公等普通應(yīng)用場景�����,側(cè)重基礎(chǔ)權(quán)限管控與安全審計(jì);對政務(wù)服務(wù)���、金融��、能源等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域�,應(yīng)設(shè)立更高的準(zhǔn)入門檻與安全防護(hù)要求�����。同時�,完善人工智能體的 “權(quán)限-責(zé)任” 對應(yīng)機(jī)制,明確 “最小權(quán)限原則” 的法律要求����,推動 “用戶同意 + 平臺許可” 的雙重授權(quán)機(jī)制成為行業(yè)底線,建立智能體操作全流程審計(jì)留痕與可追溯制度�,從制度層面規(guī)避權(quán)限濫用風(fēng)險。
鄧輝認(rèn)為����,應(yīng)強(qiáng)化法律震懾,構(gòu)建聯(lián)動執(zhí)法體系�。對利用 OpenClaw 實(shí)施的網(wǎng)絡(luò)攻擊、數(shù)據(jù)竊取等違法犯罪行為依法從嚴(yán)打擊��。公安機(jī)關(guān)需加強(qiáng)風(fēng)險線索的監(jiān)測與研判����,及時發(fā)現(xiàn)并處置違法應(yīng)用場景;檢察機(jī)關(guān)應(yīng)準(zhǔn)確把握法律適用標(biāo)準(zhǔn)���,精準(zhǔn)追責(zé)各類違規(guī)行為;審判機(jī)關(guān)需及時發(fā)布典型指導(dǎo)性案例,明確 OpenClaw 應(yīng)用的行為邊界;網(wǎng)信��、工信等部門通過建立協(xié)同聯(lián)動機(jī)制�����,實(shí)現(xiàn)風(fēng)險線索共享���、聯(lián)合執(zhí)法�����,對公網(wǎng)暴露的惡意實(shí)例�����、惡意插件開展常態(tài)化監(jiān)測與快速處置�����,形成監(jiān)管合力。
秦鵬博從強(qiáng)化宣傳教育�,提升用戶合規(guī)意識提出建議�����。對普通用戶和企業(yè)而言����,需摒棄 “重應(yīng)用�����、輕安全” 的認(rèn)知誤區(qū)���。相關(guān)部門應(yīng)聯(lián)合媒體�����、社區(qū)等開展常態(tài)化宣傳�,普及 AI 智能體的安全使用知識;企業(yè)要加強(qiáng)員工內(nèi)部培訓(xùn)��,對賦予智能體高權(quán)限的崗位推行資質(zhì)審核與持證上崗制度;公眾應(yīng)提升風(fēng)險防范意識�����,避免在敏感設(shè)備上部署高風(fēng)險智能體��,不隨意下載未知來源的插件,從個人層面筑牢安全防護(hù)屏障�。
法治號
