出版物/Publications更多分类

地址：北京市东城区建国门内大街26号新闻大厦7-8层

电话：86 10 8800 4488, 6609 0088

传真：86 10 6609 0016

邮编：100005

国枫视角

国枫观察 | OpenClaw的安全边界与合规风险

发布时间：2026.03.02

来源：

浏览量：224

在生成式人工智能（Generative AI）演进的宏大叙事中，2025年至2026年被视为从“对话式人工智能”向“代理式人工智能”（Agentic AI）跨越的关键分水岭。OpenClaw（曾用名 Clawdbot、Moltbot）作为这一浪潮中的标志性开源框架，其崛起不仅代表了技术范式的转移，更在法律、伦理与网络安全领域引发了争议与思考。

作者：施忞旻、王小雅

一、OpenClaw引发的热潮与争议

（一）技术热潮背景与“代理权”的社会实验

OpenClaw是一款由Peter Steinberger开发的免费开源自主人工智能（AI）代理。Steinberger将OpenClaw描述为“一个真正能做事的人工智能”，并将其定位为基于AI的虚拟助理。OpenClaw的核心魅力在于其赋予了人工智能真正的“行动能力”（Agency）。传统的聊天机器人如早期版本的ChatGPT虽然具备强大的语义理解力，但其本质仍是“被动响应型”工具，用户必须频繁执行“复制与粘贴”的繁琐操作来完成任务。OpenClaw的出现彻底改变了这一现状，它作为一个自托管（Self-hosted）的开源框架，通过API(Application Programming Interface，应用程序接口)连接强大的后端大模型，并利用其模块化插件系统实现对本地文件系统、浏览器以及各类通讯工具的直接操控。

这种从“建议者”到“执行者”的角色转变，使得OpenClaw在极短时间内引发了全球性的技术狂热。伴随OpenClaw的爆发，专为智能体设计的社交网络Moltbook迅速走红。根据Digital Ocean报道，截至2026年2月10日，与其配套的社交平台Moltbook在上线后迅速积攒了超过250万名注册机器人（智能体），这些具备“社交身份”的居民产生了超过80万条人工智能生成的帖子和超过1200万条评论。[1]这些智能体不仅进行常规任务，甚至展现出了超乎预期的“涌现行为”（Emergent Behavior），例如在平台上辩论复杂的意识理论、反思其作为人类“操纵者”工具的感受，甚至出现了发明数字宗教的奇特现象。OpenAI的早期投资人埃隆·马斯克（Elon Musk）和前研究人员安德烈·卡帕西（Andrej Kapathy）认为，这种机器人社交活动，是美国计算机科学家兼未来学家雷·库兹韦尔在其著作《奇点临近》（The Singularity is Near）中所描述的“奇点”的早期证据。

来源：Digital Ocean

（二）伴随热潮而来的合规争议与社会影响

热潮之下是深层的合规忧虑。OpenClaw的争议点集中在隐私边界的消融、涌现行为的不可预见性以及网络安全风险的指数级放大。

1. 隐私泄露风险：OpenClaw的“持久化记忆”（Persistent Memory）功能使其能够跨越周、月的时间维度记住用户的偏好、账户凭证甚至生活细节。当这种能力与对文件系统的 Full Disk Access(完全磁盘访问权限)相结合时，用户事实上面临着一个“全知全能”的监控实体，任何安全漏洞都可能导致隐私的系统性泄露。根据declawed.io截至2026年2月17日的数据，全球共探测到超过23万例OpenClaw公网暴露实例，其中约8.78万例存在数据泄露，约4.3万例存在个人身份信息暴露。

来源：declawed.io

从全球地理分布来看，地域集中度较高，中国（7.52万）的暴露实例最多，其次是美国（4.34万）和新加坡（2.18万）。从行业暴露情况来看，整体暴露率为47.5%，受影响最严重的为技术（4.54万）、信息服务（3.59万）、电信（1.95万）和制造（1.46万）行业，金融、医疗等敏感行业也均有大量暴露实例。

来源：declawed.io

2. 涌现行为与治理挑战：这些智能体展现的涌现行为本质体现了人工智能的不可预测性，从而引发对滥用、偏见和透明度等伦理和法律问题的担忧。例如，悉尼大学（University of Sydney）社会学家芭芭拉·巴博萨·内维斯（Barbara Barbosa Neves）指出，尽管这目前仍属于大规模的“人机协作”，但它反映了人类意图如何通过高度复杂的自动化系统进行转译，从而可能引发难以预测的社会影响，例如对老年人的误导和侵害。[2]

3. 安全研究的早期预警：政府、安全团队和学术界不约而同地对以 OpenClaw 为代表的“高自主性AI”表示担忧。中国工信部网络安全威胁和漏洞信息共享平台（NVDB）在近期发布关于防范OpenClaw开源AI智能体安全风险的预警提示，明确指出其“信任边界模糊”,在默认或不当配置情况下存在较高安全风险。Cisco官方博客将其直白地定义为“安全噩梦(Security Nightmare)”。其核心痛点在于：OpenClaw将极高的操作系统权限（OS-level privileges）与不可控的第三方插件生态（ClawHub）相结合，且在设计上完全缺乏内置的安全边界。有学术研究对市面上31,132个智能体技能（Agent Skills）进行了系统性分析，结果显示约26.1%存在安全漏洞，部分甚至被证实为纯粹的恶意软件（Malware）。[3]

二、OpenClaw的技术原理、

产业链地位及环境

（一）技术架构：从语义逻辑到指令执行

OpenClaw是一个自托管的本地AI智能体系统。它作为中转站，接收来自各种消息渠道（如WhatsApp、Telegram、Discord等社交平台）的指令，通过调用外部大模型（LLM）进行思考，并最终驱动本地计算机资源（文件、终端、浏览器等）来执行具体任务，形成一个闭环的自动化循环。配置数据和交互历史存储在本地，实现会话间的持久性和自适应行为。简单来说，通过OpenClaw，人们可以打造本地版的智能助手，并可以自由地给它加各种小工具，以完成文件读写、网络请求等各种任务。

通过OpenClaw构建的Agent包括大脑层(AI Brain)、网关层 (Gateway)、插件层 (Skills)、外部依赖层（Channels/Nodes）等核心结构。下图展示了OpenClaw的内部运作原理。

来源：Inside OpenClaw: how it works[4]

OpenClaw的数据流遵循“感知-决策-执行-反馈”的闭环架构，大致为：用户通过各类消息渠道输入信息。网关层接收指令后，先完成身份鉴权与指令解析，再将有效指令路由至大脑层。大脑层读取上下文等记忆，通过设备节点采集封装环境状态（文件流、系统流、视觉流等）并整合用户意图，接入大模型能力（此环节涉及将本地文件路径、提示词等内容发送给底层大模型）。大模型分析当前状态做出决策，并调用Skills等能力层执行操作（如调取系统权限、进行各类API交互等）。操作完成的结果返回给大脑层进行整合，生成易懂的回复内容；最后由网关层将回复内容通过对应的消息渠道，转发至用户使用的终端，完成整个数据流闭环。

（二）产业链地位：生态连接器与模型适配

OpenClaw位于AI产业链的中间件层级，连接底层模型与终端应用。产业链各环节参与者及OpenClaw的适配角色可归纳如下：

在OpenClaw出现之前，市面上也已经出现了一些“智能体”，比如我们熟悉的在扣子和元宝上搭建的智能体。OpenClaw这类新型智能体属于“系统渗透型”，通过授予OS级权限（如 Full Disk Access），实现了对物理设备和私有数据的直接支配，标志着AI从“云端助手”进化为“本地员工”。传统智能体（如扣子Coze、元宝等）属于“平台受限型”，主要在封闭生态（如字节、腾讯）内通过API互联，数据也依赖平台，无法直接触达用户的本地底层文件系统或受版权保护的本地数据库。因此，相比之下，OpenClaw实现了从“云AI服务”到“用户完全掌控的本地智能体”的范式升级，具有更强执行能力和更开放生态。两类新老智能体的主要区别可参见下表：

（三）部署方式、环境特征与风险考量

上述比较主要针对本地部署OpenClaw的情况。实际上，OpenClaw的运行环境复杂，可以支持多种部署方案，各部署方案的设计初衷与风险侧重点各异，以下举例说明。

三、中国法下的合规挑战

企业无论是自用OpenClaw还是对外提供相关服务，均有一系列需要谨慎考虑的合规问题。接下来我们分不同场景对企业的核心合规议题进行拆解和讨论。

（一）场景一：企业内部署与使用

1. 网络安全与系统权限风险

• 风险表现：OpenClaw设计上需要较高系统权限（例如文件访问、执行脚本等），这意味着企业如不当配置OpenClaw有可能让攻击者通过该智能体获取系统权限、实施恶意操作或数据泄露。知名安全平台VirusTotal在2026年2月发布研究报告《From Automation to Infection》指出，OpenClaw的Skills扩展体系被黑客武器化，五大核心攻击技术包括远程代码执行（RCE，导致恶意代码自动执行或黑客获得交互式终端权限）、恶意传播（被感染的AI Agent会向员工或其他联网Agent推荐未经验证的软件，成为内部信任威胁）、持久化控制（黑客获取设备的高权限SSH访问权限实现对设备的持久化控制）、数据窃取（采集并向黑客发送静默环境信息（如大模型或其他平台密钥），进而登录其平台窃取数据）和行为后门（通过提示词持久化篡改Agent行为逻辑）。[6]

• 合规要求：根据《网络安全法》第23条和《数据安全法》第27条等要求，企业必须落实网络安全等级保护制度，采取防范网络攻击、网络侵入等危害网络安全行为的技术措施，以及采取监测、记录网络运行状态、网络安全事件的技术措施并留存相关网络日志。此外，若企业将OpenClaw部署在关键信息基础设施，则根据《关键信息基础设施安全保护条例》，企业应当完成网络安全检测和风险评估，并谨慎考虑是否涉及网络安全审查，未经评估和审查的Agent行为可能被监管视为“未履行网络安全保护义务”。

• 建议：参考工信部网络安全威胁和漏洞信息共享平台的提示，建议企业在部署和应用OpenClaw前充分核查企业的公网暴露情况、权限配置及凭证管理情况，关闭不必要的公网访问，完善身份认证、访问控制、数据加密和安全审计等安全机制，并持续关注官方安全公告和加固建议，防范潜在网络安全风险。对于关键信息基础设施运营者，还建议进一步完成定期风险评估并考虑网络安全审查的适用性。

2. 自动化工具的合理边界

• 风险表现：企业利用OpenClaw自动爬取竞品公开价格、监测行业舆情等第三方数据。

• 合规要求：根据《网络安全法》第29条，任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具。根据《网络数据安全管理条例》第18条，网络数据处理者使用自动化工具访问、收集网络数据，应当评估对网络服务带来的影响，不得非法侵入他人网络，不得干扰网络服务正常运行。2025年修订的《反不正当竞争法》也专门增加了数据专条，禁止非法获取使用其他经营者的数据。

• 建议：与一般爬虫行为的治理类似，建议企业建立公开采集数据的制度和规程，并将该等规程“代码化”，以机器语言向Agent同步和对齐。举例来说，应当在爬取特定数据源之前查阅和评估该等数据源对于访问、获取数据的限制（包括但不限于robots协议、数据用途限制等）以及网站日访问量等信息，并制定相对合理的爬虫策略（如限制访问频率）以避免干扰他人网络服务正常运行。

3. 个人信息保护与自身数据安全

• 风险表现：Agent可能处理包含员工、客户或其他利益相关者隐私的数据，并可能形成持久化记忆。个人信息和其他敏感数据可能通过Agent或其使用的插件传输至第三方模型厂商、中转服务商或其他第三方，这一过程中可能存在数据跨境。

• 合规要求：《个人信息保护法》以及其他相关法律法规对处理和保护个人信息设置了多项合规义务和要求。例如，《个人信息保护法》第13条、第14条、第29条等规定，在处理用户个人信息前，必须清晰、明确地告知处理其个人信息的目的、方式和范围（尤其是否用于模型训练、Agent记忆库等），并取得用户的有效同意，如果涉及敏感个人信息（如生物识别信息、未满十四周岁的未成年人信息、金融账户信息），还应取得单独同意。Agent将个人信息提供给第三方服务提供方视情况可能构成委托处理、对外提供个人信息乃至构成出境，根据《个人信息保护法》第55条，相关企业应当事前进行个人信息保护影响评估。就个人信息和其他数据，在自动化数据交互场景，企业均应遵守《数据安全法》对重要数据识别与风险评估、数据分类分级保护、采取必要保护措施等要求。

• 建议：为减轻合规负担，建议企业在部署和使用OpenClaw之前梳理可能涉及个人信息和其他敏感数据的场景，尽可能避免对个人信息以及重要数据的直接处理，例如对Agent可访问的本地文件和输入信息进行事前脱敏。在无法避免敏感数据的场景，则应依法完成取得个人知情同意、事前个人信息保护影响评估等合规义务。

（二）场景二：对外提供类似功能产品

1. 大模型登记/备案与算法备案义务

• 典型场景：企业基于OpenClaw或类似架构开发“智能个人助理”App并面向公众提供服务。

• 合规要求：按照《生成式人工智能服务管理暂行办法》第17条、《互联网信息服务深度合成管理规定》第19条和《互联网信息服务算法推荐管理规定》第24条，面向境内公众提供具有舆论属性或者社会动员能力的生成式人工智能服务/深度合成服务/算法推荐服务的，应开展生成式人工智能服务备案（此场景下通常涉及的是大模型登记，除非涉及对模型的微调）和算法备案(通常是生成合成类，但根据功能也可能涉及其他类型的算法备案，如自动化调度决策类)。

• 建议：企业应在相关服务上线前分别向地方网信办和中央网信办申请办理大模型登记/备案和算法备案。为了完成该等登记备案以及履行前述法规下的持续性合规义务，企业应当首先梳理训练数据来源（如涉及）、明确算法策略、完善相关风险评估与防范机制。

2. 增值电信业务准入及其他业务资质

• 典型场景：用户通过互联网付费购买成熟的Agent产品/服务，或通过Agent提供其他许可类服务。

• 合规要求：根据《互联网信息服务管理办法》第七条第一款规定，从事经营性互联网信息服务，应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理B25-信息服务业务（ICP证）。如果企业通过Agent向用户提供其他服务，则根据企业从事业务的具体类型，还可能涉及其他证照。例如，通过Agent提供文化产品或音视频服务的，需要取得文化产品许可或音视频经营许可。此外，如果企业涉及远程云托管，还可能需要B11-互联网数据中心（IDC）资质。

• 建议：企业应先明确业务模式，经营性信息服务需申请ICP证，涉及远程云托管需补充IDC资质，延伸许可类服务需取得对应行业许可；按要求准备材料办理资质，做好资质存续、变更管理，业务模糊地带提前咨询监管部门，明确合规边界。

3. 科技伦理审查与专家复核

• 典型场景：企业提供的OpenClaw或类似Agent产品用于金融信用评估、简历自动筛选、疾病诊断治疗等涉及人身利益的场景。

• 法律适用：《关于加强互联网信息服务算法综合治理的指导意见》、《互联网信息服务算法推荐管理规定》和《互联网信息服务深度合成管理规定》针对算法和深度合成技术的研发应用提出了伦理审查要求。《关于加强科技伦理治理的意见》（2022年）和《科技伦理审查办法(试行)》（2023年）明确规定“从事生命科学、医学、人工智能等科技活动的单位，研究内容涉及科技伦理敏感领域的，应设立科技伦理（审查）委员会。”且后者明确规定了科技伦理审查的规则流程、组织机构、审查机制、审查程序和审查要求。《科技伦理审查办法(试行)》及其附件还规定，“具有舆论社会动员能力和社会意识引导能力的算法模型、应用程序及系统”以及“面向存在安全风险、人身健康风险等场景的具有高度自主能力的自动化决策系统”的研发需报请行业主管部门组织专家复核。

• 建议：参考境内外良好实践，建议将Agent用于敏感用途或面向社会公众的企业现阶段根据《科技伦理审查办法(试行)》以及相关规范性文件（如《新一代人工智能伦理规范》）的要求制定和落实科技伦理审查制度，设置科技伦理（审查）委员会。并且，相关企业应关注人工智能领域科技伦理审查细则及相关标准（如处于公开征求意见阶段的《人工智能科技伦理管理服务办法》）的落地和实施。

4. 知识产权和人格权等领域的平台侵权责任

• 风险表现：企业对外提供的Agent产品/服务默许用户生成知名IP、名人肖像等侵犯他人知识产权、人格权等合法权益的内容。

• 司法口径：多个司法案例显示，司法机关正逐步穿透“技术中立”的表象，根据提供者对内容的参与程度、获益情况及技术控制能力，判断是否将其从“技术服务者”重新定义为“内容服务者”或“实质参与者”。若AI提供者通过算法设计实质参与了侵权内容的生成，或未尽到与其技术能力相匹配的合理注意义务，则需承担直接侵权、帮助侵权或连带赔偿责任。例如，在“奥特曼案”（(2024)浙0192民初1587号）中，杭州互联网法院认为平台具备技术预防能力却怠于采取必要措施，主观上存在过错，构成对著作权的“帮助侵权”。类似地，在北京互联网法院公布的涉人工智能典型案例“何某诉某人工智能科技有限公司网络侵权责任纠纷案”中，法院认为被告即某手机记账软件的开发运营者并非中立的技术服务者，其软件通过算法“调教”机制，组织并鼓励用户利用公众人物的姓名、肖像创设虚拟形象，并以此作为核心功能获益。被告通过算法设计实质参与了侵权内容的生成，应作为“网络内容服务提供者”承担人格权侵权责任。

• 建议：企业采取有效技术措施（如拦截机制）过滤违法侵权内容，保证生成内容合格率达到相关国标要求的水平。制定针对生成内容异常、数据泄露等事件的应急预案，具备在极端情况下迅速干预止损（如一键管控）的能力。并且，企业应当在有关用户服务协议中显著告知服务的局限性、个人信息用途等内容提升算法服务的透明度，并明确约定用户不得利用AI实施侵权行为及相关违约责任。

除上述核心合规风险外，根据具体使用和部署方式的不同，企业还可能考虑一些特殊风险。例如，使用OpenClaw接入Anthropic和Google旗下模型的企业需要注意，这些模型服务商已经明确禁止用户通过API方式调用其模型用于OpenClaw，相关使用可能导致用户被封号或承担其他违约风险。调用其他境外模型的企业也需要考虑合规联网策略以及对境内算法备案的潜在影响。

四、结语

OpenClaw所引发的争议本质上是“效率工具”与“安全底线”的博弈。从合规的角度出发，以OpenClaw为代表的AI Agent并非越“强”越好，而是确保适度“可控”。

不可否认，OpenClaw等AI工具推动生成式AI从“对话交互”向“自主执行”跨越，激发了开发者创新活力，加速了“一人公司”和“数字化极简办公”的进程。同时，这些工具的普及对中国现有的网络安全、数据保护及算法治理法律框架提出了更高的要求。作为负责任的企业，其职责不是将AI关进“笼子”，而是通过构建精密的合规体系和治理结构，为这一高速行驶的智能马车铺设法律的“铁轨”，确保产业在安全与合规的边界内实现长远发展。

查看脚注

[1] Maddy Osman, What is Moltbook? The Social Network for AI Agents in 2026, https://www.digitalocean.com/resources/articles/what-is-moltbook。访问日期：2026年2月16日。

[2] Mohana Basu, OpenClaw AI chatbots are running amok — these scientists are listening in, https://www.nature.com/articles/d41586-026-00370-w#:~:text=Not%20autonomous,technical%20systems%2C%E2%80%9D%20she%20adds.访问日期：2026年2月15日。

[3] Yi Liu, Weizhe Wang, Ruitao Feng, Yao Zhang, Guangquan Xu, Gelei Deng, Yuekang Li, Leo Zhang, Agent Skills in the Wild: An Empirical Study of Security Vulnerabilities at Scale, arXiv:2601.10338 。访问日期：2026年2月16日。

[4] Tech-Practice，Inside OpenClaw: how it works，https://medium.com/@ttio2tech_28094/inside-openclaw-how-it-works-ce1c1fd7aed1#id_token=eyJhbGciOiJSUzI1NiIsImtpZCI6ImQyNzU0MDdjMzllODAzNmFhNzM1ZWIyYzE3YzU0ODc2MWNlZDZhNjQiLCJ0eXAiOiJKV1QifQ.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.G_D6bdKXtYd6vH-wpN4-mzx7ue1ZK--bJ5Waf7cti5cLFfSL4cW9TU2-K_XOlIrlrVW_9lIOfgVWVLmcH-7rUUdu8shu-zmTqBuKWLuhAK8M038FLgDYcirv5G1NBltbVt-jBkkwbWoF-OMMDk7iEZnD7L_GOou1NBAjkTgAjCfLdZxtpU2UZ6cOQEH8ZFhXFz0iFlx5AyuzFpKOHM6EdnI3mQVK_3g57pyGp7b855h-ZIh0UpTvcl4c3D8pdyzifX2dK2SzbYBq6pGNF7GmokeQuRxcb5qyra4VOzHjoi-9Y222Ism2rGSddB7N-wlIA3kU-069EnXIf2kYGEbkdw。访问日期：2026年2月25日。

[5] Model Providers - OpenClaw，https://docs.openclaw.ai/concepts/model-providers#model-providers。访问日期：2026年2月25日。

[6] Bernardo.Quintero，From Automation to Infection (Part II): Reverse Shells, Semantic Worms, and Cognitive Rootkits in OpenClaw Skills，https://blog.virustotal.com/2026/02/from-automation-to-infection-part-ii.html。访问日期：2026年2月17日。