四川法治报全媒体记者 徐婷婷 李季
李怀胜 中国政法大学网络法学研究所所长,教授,博士生导师
霍子诗 成都律协惩戒委主任,省律协维权委常务副主任,刑事专家律师
赖晓燕 四川明炬律师事务所合伙人律师
“今天你‘养龙虾’了吗?”近期,开源AI智能体OpenClaw(“龙虾”)掀起全民“养虾”热潮。然而,热潮背后潜藏法律与网络安全风险。日前,工业和信息化部及多地公安、网信部门发布安全预警,提醒公众规范使用。
这款走红全网的“龙虾”究竟是什么?看似便捷的AI操作背后,暗藏哪些法律隐患?用户与企业又该如何合规操作?本报记者专访专家与律师,深度解读“养虾”背后的风险与合规之道。
“龙虾”自己做了错事,谁来担责?
走红全网的“龙虾”究竟是什么?
所谓“龙虾”,其实是一款图标为红色龙虾造型的开源AI智能体OpenClaw,网友们将其安装、部署、训练、维护的过程称为“养龙虾”。区别于普通AI只能“出主意、给答案”的单一功能,OpenClaw能够根据用户设定的目标,自主规划、决策、调用工具并执行具体操作。例如,它可以访问用户的文件系统、发送邮件、执行支付指令,甚至与操作系统底层交互。
然而,既能“出主意、给答案”,又能替用户“办实事、干到位”的“龙虾”实则潜藏诸多法律风险。
此前,工业和信息化部、中央网信办、国家知识产权局等多部门发布官方预警及风险分析:部署与使用OpenClaw这类行动型AI智能体可能存在网络安全风险、数据泄露与隐私风险、系统与数据破坏风险、供应链与插件投毒风险、提示词注入攻击风险、合规与行政处罚风险、刑事犯罪风险等诸多法律风险。
在法律上,OpenClaw这类行动型AI智能体本身不具备民事主体资格。四川明炬律师事务所律师赖晓燕指出,其法律属性需要根据具体场景中的角色和行为来界定,通常被视为一种高度复杂的软件工具或技术产品。
成都律协惩戒委主任、省律协维权委常务副主任、刑事专家律师霍子诗也强调,这类智能体的法律定性并不改变一个基本原则——其对外操作的法律后果,会由部署单位、账号持有人、权限配置人或受益人等承担。中国政法大学网络法学研究所所长、教授、博士生导师李怀胜同样指出,因用户自身配置过失导致第三人的个人信息被泄露,需承担侵权责任。即便用户自身也是受害者,因其未能尽到与泄露风险相当的注意义务,仍需对受损的第三人承担过错赔偿责任。
换言之,无论AI表现得多么“自主”,责任最终要落到真实的人或组织身上。
“OpenClaw这类行动型AI智能体可以获取用户设备高权限,一旦被攻破或发生误操作,后果更为严重。”赖晓燕强调。她指出,OpenClaw这类行动型AI智能体具备“心跳调度”和“持久化记忆”,能在用户不知情时自主唤醒和学习,其决策过程是“黑盒”,人类难以实时监控和干预。
赖晓燕进一步分析,现行备案、内容审核等规定基本适用于普通AI工具,OpenClaw这类行动型AI智能体的出现可能会导致现有规制框架结构性失衡。
在诸多风险中,如何厘清责任划分?用户和企业分别承担哪些法律责任?赖晓燕分析称,其一,最终用户与部署方(含个人、企业)承担主要责任,需履行安全配置、插件来源审查、安全履职证据留存等义务,若因配置不当、指令模糊、违规使用引发安全事故,需承担有关责任;其二,技能包、插件提供者,需对自身提供的插件安全性负责,若恶意插件直接引发安全事故,提供者需承担对应行政、民事甚至刑事责任;其三,开源框架提供者与社区仅对框架本身存在、已知且未修复的底层安全漏洞担责,若用户已更新至漏洞修复版本,其法律责任相对有限。
利用“龙虾”干活,这些行为越线了!
OpenClaw引发的“养虾”热潮持续走高,不少人纷纷陷入“AI焦虑”,盲目跟风入局。与此同时,上门部署、远程代装等商业化“装虾”服务涌现,“代养OpenClaw赚收益”“远程代装篡改版OpenClaw”等相关帖文热度居高不下。
“这些行为已从单纯的技术使用演变为黑灰产链条,法律定性较为明确且严厉。”李怀胜表示,所谓“代养”,通常是指利用用户的算力或账号资源,操控OpenClaw实施刷单、薅平台羊毛、虚拟货币挖矿等违规操作。运营“代养”平台者,涉嫌构成破坏计算机信息系统罪,对于提供“远程代装篡改版”服务的从业者,若篡改版绕过安全检测或植入后门,其行为涉嫌提供侵入、非法控制计算机信息系统程序、工具罪。
李怀胜进一步剖析,批量注册、刷单,利用OpenClaw自动化批量注册电商、社交平台账号,属于典型的网络黑产。根据《中华人民共和国反不正当竞争法》第十二条,该行为属于“妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行”,面临高额行政处罚。若用于骗取平台补贴、优惠券,达到数额较大标准,可能构成诈骗罪。在此类案件中,司法机关往往会穿透“AI自主行为”的表象,将背后发出攻击指令或明知存在攻击风险仍放任的用户认定为刑事责任主体。
除此之外,版权侵权风险同样不容忽视。在李怀胜看来,构成版权侵权的可能性较高,核心争议点在于“临时性复制”与“文本与数据挖掘”的合理使用抗辩是否成立。OpenClaw运行过程中,往往伴随对目标网站内容的抓取,可能涉及第三方受版权保护的文字、图片、代码等内容。“无论个人还是企业,只要部署并指令OpenClaw实施数据抓取、内容复制行为,即需承担直接版权侵权责任。”李怀胜强调,若第三方插件专门用于盗版内容抓取,插件开发者构成间接侵权,使用者明知插件侵权用途仍安装使用,二者则构成共同侵权。
据国家知识产权局发布声明,如果专利代理机构违规使用OpenClaw等智能体撰写专利申请文件,导致申请失败或泄露,需向委托人承担违约赔偿责任,并面临行业行政处罚。
对此,赖晓燕进一步提醒,用户还要杜绝不诚信行为,例如利用AI凭空生成、拼凑内容用于专利申请等严肃法律文书。她建议,个人用户在“养龙虾”自娱自乐时,首先应注重保护自身的数据安全与网络安全,应在合规、可控的前提下探索使用AI技术,让技术真正服务于社会进步。
筑牢防线 以法治护航AI行稳致远
面对上述风险,用户和企业并非只能“因噎废食”。如何在享受AI技术带来便捷的同时,有效规避安全与法律风险?专家提出了合规建议。
对于普通用户而言,霍子诗梳理出八大合规避险建议:一是及时截图保存操作界面、AI对话记录、异常账单等关键信息;二是保管系统日志、安全软件报警记录,便于后续维权取证;三是遭遇损失时立即保存交易流水并向公安机关报案;四是只从官方渠道下载,坚决不安装“魔改版”;五是遵循最小权限原则,按需授权,不开启“完全磁盘访问”等高危权限;六是公私分明,不在办公电脑、涉密设备上“养虾”,不安装来源不明的插件;七是警惕远程代装服务,不将电脑远程控制权交给陌生人;八是警惕以“代养分红”为名的衍生骗局,避免沦为网络黑灰产的工具人。
AI智能体的快速发展是数字技术进步的必然趋势,如何平衡技术创新与法律规制,构建健康有序的行业生态,成为当下亟待破解的时代命题。
“开源AI智能体是通往‘通用人工智能’的重要路径,法律规制不应‘一刀切’扼杀创新,而应通过‘敏捷治理’和‘责任分层’实现平衡。”李怀胜从立法、司法、技术三个维度,提出系统性治理建议:立法上,建议引入“高风险行动类智能体强制备案”制度,要求开发者披露智能体的能力边界,让监管部门提前掌握风险隐患,实现事前防控;司法上,确立“合理注意义务”标准,避免对使用者过度归责;技术上,推动“可解释性”与“监管科技”协同,鼓励行业探索“行为指纹”技术,通过技术手段强制要求智能体在执行敏感操作时,必须在日志中嵌入不可篡改的“操作意图签名”,既为法律定责提供证据支撑,也助力企业履行“安全保障义务”。
在此基础上,赖晓燕则从行业监管、责任界定、安全标准角度,提出完善建议:首先,建立场景化分类分级监管体系,依据智能体自主程度、应用场景,设定差异化安全标准与准入门槛;其次,厘清开源框架提供者、集成开发者、插件市场、最终用户等多方主体的安全义务与责任边界,如基础模型开发者承担设计缺陷责任、插件开发者承担内容合规责任、部署者承担运营管理责任、用户承担指令责任等,在保障各方合法权益的同时,避免抑制技术创新;最后,制定行动型AI智能体强制性安全基准线,完善安全评估与认证机制,强化数据出境、个人信息保护监管,织密AI安全法治防护网。
法条链接
《中华人民共和国网络安全法》
第二十四条第一款 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
《中华人民共和国反不正当竞争法》
第十三条第三款 经营者不得以欺诈、胁迫、避开或者破坏技术管理措施等不正当方式,获取、使用其他经营者合法持有的数据,损害其他经营者的合法权益,扰乱市场竞争秩序。
《中华人民共和国刑法》
第二百八十五条第二款 违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
第二百八十六条第一款 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
【未经授权,严禁转载!联系电话028-86968276】
