本文作者：赵文捷律师

近期，一款图标为红色龙虾的开源AI智能体OpenClaw（俗称“AI龙虾”）爆火，其可本地私有化部署、具备持久记忆和主动执行能力的特点，成为不少个人和企业的“得力助手”。聚焦热点是人性使然，但热点背后是否藏着安全隐患却少有人关注。我国工信部官方已提示，AI龙虾在默认或不当配置下存在极高安全风险，极易引发信息泄露、网络攻击等相关问题，这也是写这篇文章的目的。

OpenClaw的核心风险在于其“信任边界模糊”的特性，其在缺乏有效权限控制和安全加固时，可能被恶意接管、指令诱导，进而执行越权操作，导致个人信息、商业数据甚至敏感信息泄露。从法律层面看，无论是个人用户还是企业部署者，一旦因使用不当引发数据安全问题，都可能面临法律追责，这绝非“小题大做”。结合相关法律规定，我们从数据安全角度，拆解3个核心法律要点，帮大家厘清底层逻辑和责任边界：

01

谁部署，谁负责，数据安全责任不可推卸

很多人认为“只是用一个开源工具，出问题也和自己无关”。这属于典型的认知错误，根据《网络安全法》规定，用户部署OpenClaw后，就可能被认定为“网络运营者”，有义务采取技术措施保障网络安全，防止数据泄露、被窃取和篡改。无论是个人还是企业，若未履行安全防护义务，导致数据泄露，都需承担相应责任。个人可能面临民事赔偿，企业则可能被处以高额罚款，直接负责人还可能被追责。国家安全部也曾披露相关案例，个别单位因直接使用开源框架建立联网大模型，导致攻击者未经授权即可自由访问内部网络，敏感资料被境外IP非法访问、下载。开源AI工具潜在的安全风险为所有AI工具使用者敲响了警钟。

02

数据处理需合规，开源并非“法外之地”

OpenClaw具备持久记忆功能，会存储用户操作记录、交互信息等数据，若其中包含个人信息，就必须遵守《个人信息保护法》的“合法、正当、必要”原则，采取加密等安全措施防止泄露。尤其企业部署时，若涉及员工信息、客户数据等，一旦因配置不当导致信息泄露，不仅要承担民事赔偿，还可能被监管部门处罚。不仅是开源AI工具，所有AI技术的使用均需恪守数据安全和法律边界。在北京知识产权法院的生效判决中，某科技公司开发运营的云客手机与微小助APP，依托RPA+AI技术，通过备份微信加密数据库、模拟点击等方式，批量获取微信用户聊天记录、好友信息等数据用于企业管理与营销推广，且未获得聊天相对方知情同意。法院认为其构成不正当竞争，判令其停止涉案行为，共同赔偿微信运营方经济损失500万元，并明确数据处理需恪守“明确告知、征得同意、不超过必要限度”规则，不得突破法律与商业道德底线。这一判决充分说明，开源绝非“法外之地”，无论是使用开源AI工具还是依托AI技术开展服务，违规处理、利用他人数据，必将承担相应民事责任。

03

漏洞处置有规范，不得私自利用或泄露安全漏洞

前期因OpenClaw 智能体的不当安装和使用，已出现多项严重安全风险。例如存在“提示词注入”风险，攻击者可通过网页隐藏恶意指令诱导其泄露系统密钥；也有“误操作”风险，可能因理解指令偏差彻底删除邮件、核心生产数据等重要信息；同时面临功能插件（skills）投毒问题，恶意插件会窃取密钥、部署木马导致设备沦为“肉鸡”；且目前 OpenClaw 已曝出多个高中危漏洞，被恶意利用后易造成系统被控、信息泄露，个人用户的隐私和支付信息会遭窃取，金融、能源等关键行业还可能出现核心数据泄露、业务系统瘫痪的严重后果。根据《网络产品安全漏洞管理规定》，用户若发现OpenClaw的安全漏洞，不得私自利用、不得泄露给第三方，需第一时间通知官方和工信部漏洞共享平台。若私自利用漏洞窃取数据、发起网络攻击，或将漏洞出售给黑客，可能涉嫌非法获取计算机信息系统数据罪、破坏计算机信息系统罪等，面临刑事处罚。

总之，因使用OpenClaw等开源AI工具，遭遇信息泄露、网络攻击等侵权纠纷，进而造成权益损害，例如客户流失、商业秘密泄露、行政处罚风险等，尤其金融、能源等关键行业若因使用不当导致核心业务数据泄露、业务系统瘫痪，应当及时咨询专业人士，提供针对性方案，及时止损或维权、追偿。

AI赋能新时代，带来巨大便利的同时，也触发相关合规事项。数据安全无小事，法律防护是底线。无论是提前规避OpenClaw等开源AI工具的使用风险，还是遭遇侵权纠纷后高效维权，专业的法律支撑都是重要保障。我们的愿景是持续关注AI领域数据安全合规动态，解读实用法律知识，为个人及企业筑牢数据安全防线，助力个人和企业安全、合规地享受AI技术带来的翻天覆地之革新。

律师介绍

赵文捷律师

中共党员，西南政法大学硕士研究生。现为北京市京师（深圳）律师事务所审判研究中心主任、公益中心执行主任、职务犯罪事务部主任。

赵文捷律师从事法律职业二十余年，在刑事控告及辩护、经济与职务犯罪、执行案件全流程等领域具有丰富的理论功底及实践经验。现为北京市京师(全国)刑事专业委员会理事、第十二届广东省律协未成年人保护法律专业委员会委员、第十一届深圳市律协教育与未成年人保护法律专业委员会委员、北京市京师(深圳)律师事务所公益中心主任、新型犯罪与疑难案件研究中心执行主任。

赵文捷律师工作多年，一直热心公益，无论从事何种法律职业均积极投身各项社会公益法律事业，有丰富的公益法律服务经验，被深圳市福田小学、深圳市明德实验学校、深圳市园岭小学同时聘为校外法治辅导员。在未成年人普法公益活动中表现突出，被“新雨计划”评为2023年度十佳优秀志愿律师等奖项，又受邀被聘为深圳市残联公益宣讲团讲师。