数字经济观察网 - 软信官网

文|北京市东城区人民法院 郭禹辰

近期，名为OpenClaw的开源AI智能体工具引发全网“养龙虾”跟风热潮，这只“数字龙虾”频频登上热搜，相关话题阅读量达数亿，成为全民关注的科技现象。与以往仅具备内容生成能力的生成式AI不同，OpenClaw可自主执行系统指令、对接外部应用、完成线上操作，有技术专家形容，如果说大模型提升了AI的“脑力”，“龙虾”则补上了“感知力”和“行动力”，让AI成为能思考、会动手、可调度资源的智能助手。然而，在享受智能体带来技术红利、生活便利的同时，客户的不当配置和违规应用也有可能带来更隐蔽的安全隐患和法律风险，亟待高度警惕并予以规范。

“数字龙虾”可能诱发大规模数据侵权与个人信息泄露。OpenClaw智能体的运行依赖于对用户终端数据的广泛读取与处理，涉及个人生物识别信息、银行账户信息、行踪轨迹等敏感个人信息。OpenClaw本地部署版本存在默认安全配置脆弱的问题，如果个人用户在部署时未设置严格的权限管控，直接将最高系统权限授予智能体，将会形成个人信息被非法收集、滥用或泄露的安全短板。一旦发生数据安全事故，不仅会引发以隐私权、个人信息保护纠纷为案由的民事诉讼，更可能导致运营企业因未尽到网络安全法规定的安全保护义务而面临行政处罚。特别是当智能体被用于处理工作数据时，还可能涉及侵犯商业秘密、侵害他人知识产权等法律问题。如国家知识产权局已经发布风险提示，使用OpenClaw等智能体撰写专利申请文件，可能引发“技术泄露风险”“实质缺陷”“不诚信申请”等风险。

“数字龙虾”还可能导致“数字人格”模糊化引发的数据主权监管盲区。OpenClaw在运行过程中会形成庞大的长期记忆库，其中既包含用户的个人信息，也包含智能体自主生成的“思考过程”与“行为日志”。这种混合型数据在法律上难以简单归类，形成了“数字人格”模糊化的新问题。当用户跨境使用或部署在云端时，这些混合数据可能在用户无感知的情况下，被智能体自动同步至境外服务器用于模型迭代训练。此类自主同步是否构成“数据出境”，也对《数据出境安全评估办法》的适用带来挑战。如果海量中国用户的“数字人格”被智能体悄然携带出境，将对我国网络数据主权形成潜在的“蚁穴式”侵蚀风险。

“数字龙虾”也可能引发智能体自主侵权所致的责任主体认定困境。传统侵权纠纷中，行为人与责任主体通常是同一的。但在Open⁃Claw场景下，智能体根据用户指令或自主感知环境，自行规划路径并调用工具执行操作。若智能体在执行过程中因“误判”或“过度执行”对第三方造成损害，在司法实践中将面临认定侵权主体的困难，是用户的指令存在缺陷，是开发者的算法存在漏洞，还是智能体的“自主意志”构成独立过错？而现行法律尚未对该类AI智能体操作失误的责任认定作出专门规定。但在杭州互联网法院2025年审结的首例AI幻觉侵权案中，法院认定人工智能不具有民事主体资格，不能作出意思表示。

如何防范这些法律风险，为人工智能健康发展保驾护航？首先，相关部门应加强对OpenClaw智能体应用场景的监测与研判，敦促相关服务提供者严格落实《网络数据安全管理条例》，对用户进行实名认证与风险分级管理，强制要求关键行业用户采取本地化部署与最小权限原则，及时向社会发布安全预警与合规指引。其次，针对智能体“混合数据”的属性出台专项合规指引，明确“自主同步”类数据传输的监管红线，对涉及关键信息基础设施和大量个人信息的部署场景，要求数据过滤机制，严防“数字人格”数据资源被动出境。最后，司法机关也应在审理涉数据安全、个人信息侵权案件中，结合智能体应用场景，明确过度索权、超范围收集个人信息的法律后果；提前研判“智能体自主侵权”类案件的裁判规则，探索在司法解释中明确智能体法律地位的认定标准，合理分配用户、开发者与平台方的举证责任，以法治力量为人工智能健康有序发展保驾护航。