75号咖啡丨人工智能时代AI智能体的机遇与挑战:OpenClaw应用的法律风险防控探讨
法律沙龙
content
本期目录
一、底层逻辑:OpenClaw应用的技术机理与实践展开
二、法治挑战:OpenClaw应用的风险生成与法律检视
三、风险规制:OpenClaw应用的前置防控与体系应对
四、司法治理:OpenClaw应用的规范适用与治理路径
本期召集人 黄冬生
上海市杨浦区人民检察院副检察长
近期,以“自然语言驱动自主执行”为核心功能的开源AI智能体【1】OpenClaw(俗称 “养龙虾”)引发市场热潮并正在被快速推广。但OpenClaw这类AI智能体因其生态的开放性和“高权限、弱管控”技术特性,以及具备系统级自主执行能力,潜藏着重大的公共安全隐患,可能成为网络犯罪的高危载体。为此,我国工业和信息化部网络安全威胁和漏洞信息共享平台(CNNVD)与公安部网络安全监督部门于2026年3月8日发布高危漏洞权威预警通报,已将其列为网络攻击、个人与公共信息泄密和其他网络犯罪的重点风险源。OpenClaw作为人工智能从“生成”向“执行”跨越的典型代表,其技术创新力值得肯定,但其潜在的网络安全威胁和网络犯罪风险不容忽视。本次“75号咖啡·法律沙龙”围绕“OpenClaw应用法律风险的审视和治理”,聚焦OpenClaw技术的底层逻辑、应用风险以及风险防范治理等问题,探索在拥抱人工智能的同时,引导其更好助力经济社会高质量发展。
一、底层逻辑:OpenClaw应用的技术机理与实践展开
本期召集人 黄冬生
上海市杨浦区人民检察院副检察长
OpenClaw作为人工智能的一款重要工具,区别于ChatGPT、DeepSeek、豆包等大语言模型,是基于大语言模型(LLM)构建的开源智能体(Open-Source AI Agent)框架。它的核心定位是让AI从“会聊天”转变为“能动手做事”,通过整合大语言模型的推理能力与工具调用、系统操作等功能,实现跨软件自动化、任务执行等复杂操作,被作为人工智能从“认知”向“执行”跨越的典型代表。那么,其技术架构或者说运行机制是什么?
王文广
上海智通云图科技有限公司首席技术官
OpenClaw最初由奥地利开发者Peter Steinberger于2026年初作为个人项目创建,后因其加入OpenAI,OpenClaw项目移交给OpenAI支持的独立基金会运营,该项目独立、开源。OpenClaw是基于已有的计算机编程范式整合出来的一个普通人可以上手使用的大模型应用系统。其技术架构简单来说,就是以聊天工具作为入口,通过AI智能体编排来利用大模型实现意图分析、任务拆解,然后通过大模型的工具调用能力来执行任务,最终把执行的结果汇总返回聊天入口。在这个过程中,针对特定的业务功能和场景,提供了可扩展的技能(Skill)。在开源AI智能体领域,技能(Skill) 是为智能体提供特定功能或能力的模块,本质上是将智能体的“认知能力”转化为“实际操作能力”的关键组件。它将“完成某件事的动作”封装成一个大模型可调用的能力模块,且可以一次封装,永久复用。一定程度可以说技能(Skill)是OpenClaw生态的基石。
郭星涛
蚂蚁集团安全部安全专家
OpenClaw的本质是一个可持久运行的AI智能体应用系统,通俗来说类似于受大模型语言驱动的“类病毒性”软件。它的核心价值在于:让AI从“回答问题”进化为“执行任务”。其显著的技术特征是开源生态的开放性和“高权限、弱管控”。当传统云端大模型像一位无所不知的远程顾问,只提供文本方案时,OpenClaw已经运行于本地,拥有与用户等同的系统操作权限,能直接操作电脑终端、编写代码、管理文件,甚至能根据自然语言指令自主学习并安装新的“技能(Skill)”。目前国内相关企业也都陆续推出了本地化的OpenClaw类AI智能体工具,如腾讯推出QClaw,火山引擎推出ArkClaw,智谱AI推出AutoClaw等,国内用户下载安装使用更加便捷。
车延楠
上海科学技术交流中心高新技术发展处
处长
OpenClaw最初作为一个开源项目发布,其设计理念深受“AI操作系统”概念的启发。OpenClaw与大语言模型不同,其诞生不是要取代现有的大模型,而是要成为连接大模型与现实世界的调度中枢。在OpenClaw的架构中,大模型扮演“大脑”角色负责思考与规划,而OpenClaw本身则扮演“小脑”与“神经系统”的角色,负责协调各类工具、控制执行流程、管理上下文记忆。这种分层设计使得OpenClaw具备极强的扩展性——只要封装成技能(Skill),任何外部服务或API【2】都可以被AI智能体调用。
房慧颖
华东政法大学副教授
我赞同三位技术嘉宾的观点。OpenClaw已经把大语言模型的理解和推理能力,同工具调用、系统操作、任务拆解这些执行能力结合起来,推动人工智能从“会生成内容”进一步走向“会执行任务”。从运行结构上看,可以理解为三个层次:第一是模型层,负责理解指令、生成方案;第二是编排和执行层,负责任务拆解、工具选择、调用外部接口;第三是应用层,负责和邮箱、办公系统、文件系统、浏览器等现实场景衔接。
本期召集人 黄冬生
上海市杨浦区人民检察院副检察长
刚刚各位嘉宾从技术的角度谈了OpenClaw的技术底层逻辑。那么其具体的适用场景有哪些,尤其对于法律行业而言,OpenClaw可以提供哪些帮助?
郭星涛
蚂蚁集团安全部安全专家
OpenClaw应用场景广泛,涵盖个人办公、企业运营、内容创作、开发运维等多个领域。具体为:个人办公领域可自动处理文档、整理文件、生成会议纪要。企业运营中,可用于金融风控、制造产线调度、零售智能营销、法务合同与类案审查。内容创作上能批量产出文案、脚本、短视频素材;开发运维应用上则可实现代码生成、系统监控、漏洞扫描与自动化部署,有效提升效率、降低成本。
张勇
华东政法大学教授
我从法律行业谈一谈,从现阶段来看,OpenClaw可以帮助法律从业人员开展以下工作:
一是辅助法律研究与案例检索。如自动检索国内外法律法规、司法解释、判例,归纳争议焦点,生成结构化法律研究报告,帮助法律从业人员快速掌握案件背景和法律依据;定时追踪法规更新和司法动态,推送最新政策变化和典型案例。
二是辅助合同审查与风险管理。如帮助从业人员逐条分析合同条款,标注风险点,提供修改建议;针对合同中违约责任的约定方式与承担范围、知识产权归属与使用权限、争议解决机制、合同解除与终止条件等核心关键内容进行重点提示研判。
三是法律文书起草与润色。如可自动生成起诉状、答辩状、律师函、尽调报告、法律意见书等文书初稿,根据案件材料生成证据目录、庭审提纲、代理词等。
顾伟
上海市徐汇区人民检察院检察官
我从OpenClaw在检察工作中可能涉及的应用场景角度谈一谈我的观点。对OpenClaw的具象化理解就是大语言模型的自动处理。具体到司法办案工作场景的应用,可以分四个阶段:
一是基础阶段,实现底层自动化,自动完成法条匹配、文书审查等程序性工作,突破时间限制高效执行指令。
二是进阶阶段,聚焦实体办案,依托系统开展类案精准推送与检索,辅助证据梳理、判决审查,助力同案同判。
三是高阶阶段,如同智能助理,对案件进行立体建模,整合多类型海量证据,完成数据比对、资金穿透等复杂分析,一定程度上可辅助完成外部专业鉴定。
四是终极阶段,可辅助检察官对案件事实认定和法律适用作出准确判断。当然终极阶段的到来还有很长的一段路要走。
二、法治挑战:OpenClaw应用的风险生成与法律检视
本期召集人 黄冬生
上海市杨浦区人民检察院副检察长
在人工智能技术迅猛发展的时代浪潮下,运用人工智能助力生产力提升,赋能经济社会高质量发展已成为重要议题。但OpenClaw这种新型AI智能体具有明显的双刃效应:一方面能够大幅提质增效,另一方面也可能衍生多重风险,给社会治理带来新的挑战,需要系统梳理OpenClaw在应用中可能产生的各类风险。请各位嘉宾谈谈看法。
王文广
上海智通云图科技有限公司首席技术官
OpenClaw作为具备自主执行能力的AI智能体,和传统大语言模型“能说会道”不同,更突出于“敢作敢为”的执行属性,在提升效率的同时也伴随着较为突出的安全与隐私风险。
具体而言:一是大模型的幻觉,主要体现为“胡说八道”即编造内容,而OpenClaw因具备行动能力导致了会由大模型幻觉引起“胡作非为”。如出现发送不当信息、误删代码、泄露账号密码等失控行为。授权范围越大,潜在破坏性越强。二是开源便捷、一键部署的特点容易造成端口外露,引发网络安全漏洞。三是应用技术门槛较高,普通用户若直接接入社交、办公系统,会进一步加剧数据与隐私安全隐患。其行为在一定程度上可能如同调皮的“孩童”,容易产生预期之外的动作,进一步放大风险。因此,建议用户在虚拟机等隔离环境中逐步试用,审慎开放权限,并优先在非关键场景应用,对重要业务场景严格管控。
郭星涛
蚂蚁集团安全部安全专家
从技术安全维度来看,当前OpenClaw的风险主要集中在三个方面:
一是大模型自身引发的风险。用户若采用缺乏安全约束的国外开源大模型,容易突破伦理底线导致行为不可控;国内合规模型则相对安全,但仍存在需要干预的空间。
二是技能(Skill)供应链投毒风险。OpenClaw Hub【3】等技能平台存在恶意技能(Skill),隐蔽性强,可直接污染本地智能体,造成系统与数据安全隐患。
三是自主进化与越权执行风险。OpenClaw可自主搜寻、创作甚至编写脚本工具,在无人工干预或审核的情况下自动执行,易绕过网站风控与验证机制,实现未经授权的数据抓取、账号操作或自动化任务执行,可能导致网站数据泄露、服务滥用或违反平台使用政策。
车延楠
上海科学技术交流中心高新技术发展处
处长
当前OpenClaw最现实、最集中的风险点,正是技能(Skill)生态。技能(Skill)本质上是逻辑化文本或Markdown文档。不少用户可在平台上分享、下载使用,但其中暗藏个人信息泄露、网络安全侵害及经济损失等多重隐患。一方面,用户从ClawHub等平台安装的技能可能夹带恶意程序,可窃取数据、干扰系统正常运行;另一方面,由于OpenClaw部署安装技术门槛较高,很多用户选择收费“代装服务”。部分非正规服务商可能在技能中植入盗版插件。如果用户将电脑远程控制权交给陌生代装人员,相当于主动开放设备核心操作权限,不法分子可能借机植入后门、窃取计费密钥,直接导致用户遭受经济损失。
顾伟
上海市徐汇区人民检察院检察官
综合前面几位嘉宾从技术层面揭示的风险表现,我从治理层面将其归纳为三大核心风险:
一是高授权带来的个人信息泄露风险。为实现复杂任务执行,用户常授予OpenClaw管理员或系统级权限,一旦出现误操作或被恶意诱导,可能直接访问、修改、删除敏感文件,造成数据泄露或丢失。
二是应用过程中的数据安全风险。OpenClaw在运行中会收集用户交互数据、操作记录等。若开发者或运营者未明确告知收集范围与使用目的、未采取足够保护措施,可能过度收集个人信息。这类风险虽具有一定普遍性,但在高权限智能体场景下危害更为突出。
三是使用过程中的伦理风险。普通大语言模型具备多层内容审核与价值判断,而OpenClaw以自动执行为核心,在操作过程中极易出现价值判断缺失,从而缺乏伦理约束。这也正是王文广嘉宾提到的“胡作非为”问题的核心所在。如,用户在自己终端部署了OpenClaw智能体,智能体将用户自动拉入社交群组,在群组中,智能体因缺乏对信息敏感性和社会影响的判断,自动回应社交群体内其他成员的诱导式提问,将用户的隐私曝光给群里其他成员围观。
房慧颖
华东政法大学副教授
从风险类型与法律责任层面作进一步思考。首先,数据和个人信息泄露风险。用户在使用中需要授权其访问文件、调用数据、操作终端,专业用户能够合理控权、做好隔离,但绝大多数普通用户缺乏安全意识,容易出现过度授权;同时,运营方若将敏感个人数据与自动化执行机制直接绑定,也会埋下泄露隐患。
其次,网络安全层面风险。主要可分为三类:一是OpenClaw自身遭受攻击,如提示词注入、恶意插件、权限绕过、漏洞利用等;二是行为人利用其实施外部网络攻击,如批量抓取数据、探测系统弱点、接管终端、植入后门等;三是更为隐蔽的内部误操作风险,即在高权限、高自动化下出现误删、误发、误操作并造成实际损害。
再次,违法犯罪风险。从刑事责任角度看,OpenClaw属于算法自动化决策的具体应用,正如王文广嘉宾所言其行为有时如同调皮的“孩童”,但未成年人违法由监护人承担责任,传统刑事责任认定规则并未因此被颠覆,只是责任链条进一步延伸,涉及研发者、运营者、使用者等多方主体。在具体归责过程中,应重点考量指令发出者、权限设置者、结果利用率及实际获益者,将关键主体纳入刑法评价范畴,从而合理界定各方刑事责任。
张勇
华东政法大学教授
OpenClaw这类开源AI智能体带来的风险具有显著的多元性、多层次性和多源性,已经不再是单纯的软件漏洞问题,而是“高权限智能体”深度接入现实系统后形成的复合型安全问题。风险范围不仅覆盖个人信息保护、网络运行安全,还延伸至数据平台管理、系统权限控制等多个领域,是伴随部署、使用、迭代全过程动态演化的过程性风险。随着自动化能力提升、权限范围扩大,风险还会不断传导、叠加、放大,呈现持续变化、难以单点防控的复杂态势。风险是技术发展的伴生现象,应秉持风险共生治理思路,守住安全底线,在可控范围内鼓励技术试错与迭代成长。
三、风险规制:OpenClaw应用的前置防控与体系应对
本期召集人 黄冬生
上海市杨浦区人民检察院副检察长
通过刚才的讨论知道,应用OpenClaw确实可能存在着数据安全、网络安全、个人信息泄露隐患等风险。面对这些风险,如何从技术、行为、社会监管等维度协同发力,加强安全防控?
王文广
上海智通云图科技有限公司首席技术官
面对应用OpenClaw带来的风险,应对的核心原则是不损害他人利益,在此基础上,每个人可根据自身对隐私和安全的重视程度,自主选择授权尺度与使用方式,在包容创新的同时守住安全底线。
具体为:一方面运营者和用户不能依赖零信任【4】机制。该机制在实际使用中并不具备可行性。用户使用OpenClaw这类工具本就是为了简化操作、提升效率,不太可能逐条核对安全提示和授权。因此从技术角度来看,开发者和运营者需摒弃或改进零信任机制。另一方面是要注重开放包容与严厉追责并重。从技术应用与责任边界来看,只要行为不侵害他人合法权益,就应当给予技术创新足够的试错空间。用户对自身数据和隐私拥有自主选择权,愿意承担风险便可放宽使用限制,即便自身信息不慎泄露,也应由个人自行负责;但一旦利用工具侵害他人权益,就必须受到约束与追责。
郭星涛
蚂蚁集团安全部安全专家
在包容创新与守住底线之间寻求平衡,是应对AI智能体技术风险的关键。本人对OpenClaw持积极拥抱态度。技术发展往往是风险与机遇并存,关键在于找到务实可行路径实现风险可控。
从技术防控角度,构建针对OpenClaw的受限可控运行环境。通过实施严格的权限最小化策略,将OpenClaw的文件访问、系统调用、网络操作及数据读写等行为限定在预设的安全边界之内。在该机制下,现阶段明确剥离高敏数据访问与资金交易等关键执行权限,确保自动化任务仅在非核心业务域内运行。
从技术开发和平台运营角度,加强系统安全与漏洞管理。定期对平台系统进行安全检测和漏洞扫描,防止黑客利用漏洞进行攻击、数据窃取或系统破坏。对使用者上传、存储和传输的数据进行加密处理,确保数据在传输和存储过程中的安全性。在涉及交易的平台中,通过技术手段防止交易欺诈、资金盗用等违法行为。
车延楠
上海科学技术交流中心高新技术发展处
处长
前面两位嘉宾分别从用户自主选择、平台责任以及有限隔离等具体技术手段,勾勒出安全防控的基础框架。个人认为谈OpenClaw应用的风险与防范,需要立足发展,从技术研发、产业生态与用户使用等多个维度统筹考量。
在技术层面,不追求绝对化的封闭限制。正如郭星涛嘉宾所言,可通过权限管控、动态监测等手段,实现可控创新。在保障技术活力的同时,把越权操作、数据泄露、恶意利用等风险控制在可控范围。
在产业层面,持续强化外部监管,同时引导人工智能头部企业切实履行自律责任。头部企业应秉持“能力越大、责任越大”理念,在平台治理、技能(Skill)审核、权限管控、风险预警等方面主动提高标准,从源头提升产品与服务的安全性、可靠性。
在个人层面,我同前面两位嘉宾一样,对OpenClaw的应用持积极拥抱的态度。普通用户应主动学习,知晓OpenClaw便利,明析风险。在使用OpenClaw时,遵循最小权限原则,按需逐项开放而非全权授权,自行建立完整操作日志,确保每一步AI操作授权都可回溯。
顾伟
上海市徐汇区人民检察院检察官
前面几位嘉宾更多从技术实现、产业引导和用户行为层面给出了防控思路,我都赞同。OpenClaw的风险本质上集中在应用环节,预防监管重点应放在使用行为与应用场景上。
具体为:一是完善行业治理。行业协会可为OpenClaw这类AI智能体设立明确准入门槛与底线标准。如针对AI自主执行可能引发的法律风险,明确AI智能体参与工作的责任条款,建立从人类到AI智能体到行为的完整审计追踪;明确AI智能体应用的边界与流程,制定清晰使用规范,明确哪些任务可以自主执行、哪些须人工审核。
二是强化多部门协同监管。监管部门定期开展网络安全与数据安全检查,对相关企业、平台未采取必要技术隔离措施、未履行安全管理义务的,引导帮助完善制度设计和落实好管理责任。结合检查中发现的问题,梳理风险点,推动网信、工信、公安等部门加强开源AI智能体安全监管,提出立法建议,促进技术发展与安全规范同步。
三是强化司法引导。发布典型案例清晰界定合法与违法的行为边界,为技术研发、平台运营及普通用户提供明确行为指引。例如,就检察机关而言,可以探索刑事检察与公益诉讼协同联动模式,针对OpenClaw滥用导致的群体性信息泄露、公共利益受损等问题,强化检察保护力度,制发典型案例,为打击恶意利用技术实施的违法犯罪行为提供参考。
房慧颖
华东政法大学副教授
从技术防护、产业自律到司法监管,前面几位嘉宾已经搭建了较为完整的风险防控体系。我认为,在此基础上,可以将OpenClaw风险纳入制度化治理框架,明确使用规则与责任归属,实现技术、行为、社会三个层面的系统性治理。
首先,在技术层面,聚焦最小权限和强制隔离。对于使用者来说,不让OpenClaw默认接触与任务无关的本地文件、账户凭证和高危系统,尤其不能直接赋予金融、政务、核心业务系统的高权限;对于运营者来说,应当把关键操作的二次确认、风险输出过滤、插件准入审查、异常熔断和权限分级等,作为运营安全最低标准。
其次,在行为层面,把规则讲清楚、把边界划明白。对使用者而言,避免向AI智能体输入与任务无关的敏感信息,避免模糊、歧义和高风险指令;对运营者而言,建立实名核验、权限审批、异常监测、风险预警和审计复盘机制,使每一次高风险调用都有迹可循。把OpenClaw纳入AI使用规程,明确哪些业务可以用、哪些数据不能碰、哪些操作须人工复核、哪些场景原则上不得部署。
最后,在社会层面,对OpenClaw这类智能体遵循分类分级、协同共治路径。开源社区应当承担漏洞披露和版本修补责任,平台和云服务商应当承担准入提醒和生态审查责任,行业协会应当尽快形成面向高风险行业的专项操作指引,监管部门则应当把网络安全、数据安全、人工智能治理和刑事打击衔接起来,形成“准入—预警—追溯—处置”的协同治理链条。目前,我国网络安全法已经明确了主管部门履行监督职责、行业组织建立本行业网络安全保护规范和协作机制,这些内容为协同治理提供了制度基础。
张勇
华东政法大学教授
对于OpenClaw应用风险的预防,可进一步聚焦授权、数据、评估与追责四个关键环节,形成闭环治理体系。
一是明晰授权筑牢防线。可以围绕授权机制构建系统化风险防控体系:明确授权边界、规范授权流程、强化权限最小化配置,对高敏感操作强制设置二次确认,避免因过度授权、模糊授权带来越权执行、数据泄露、非法操作等安全隐患,从源头压实权限合规责任。
二是推进数据分类分级管理。目前各行业已普遍建立分级风控机制,这一成熟模式同样适用于OpenClaw的风险预防。可以按照数据敏感程度实施差异化权限与保护措施,实现精准管控。
三是强化全流程风险评估。在技术研发、部署应用、运行操作等各个阶段开展风险识别与研判,根据评估结果及时采取预警、限制、阻断等对应处置措施,做到早发现、早干预,从源头防范风险升级为违法犯罪行为。
四是主体责任追责时确立优先顺序。优先运用民事追责、行政处罚等前置手段,将大量应用风险在行政监管和行业自律层面化解;同时鼓励企业主动开展内部安全评估与合规自查,把风险解决在前端。
四、司法治理:OpenClaw应用的规范适用与治理路径
本期召集人 黄冬生
上海市杨浦区人民检察院副检察长
从前述应用风险分析来看,OpenClaw在开发、推广、使用的技术全生命周期,都可能触发法律风险。这些风险是否可能触犯《中华人民共和国刑法》规定,如构成侵犯公民个人信息罪、非法获取计算机信息系统数据、非法控制计算机信息系统罪等。从司法治理角度,如何规制这些风险?也想听听各位嘉宾的意见建议。
王文广
上海智通云图科技有限公司首席技术官
从应用生态来看,技能本身无恶意,但使用技能(Skill)的行为方可能存在恶意,研发上传恶意技能(Skill)的主体更可能直接触及违法犯罪,需要纳入法律规制乃至刑事追责范畴。具体而言可分为两种情况:一类是合法合规的技能(Skill)被他人恶意利用,或对不同技能(Skill)进行组合实施违法违规行为,此时需结合行为方主观态度、违法行为与危害后果依法追责;另一类是研发者故意研发恶意技能(Skill)(俗称技能投毒)并上传至OpenClaw生态系统,操控其实施黑客攻击、系统破坏等行为,则应直接适用相关法律法规追责。两种情形下恶意