OpenClaw的快速采用暴露了一些必须紧急解决的隐患。许多国家纷纷启动安全治理和风险防范管理措施。近日,一款名为OpenClaw的开源人工智能代理迅速风靡全球科技界。该人工智能代理可以在现实场景中代表用户自主执行任务和动作,加速人工智能从“对话助手”到“动作助手”的跨越。然而,随着技术的快速普及,多种安全风险也随之出现。美国包括中国、欧盟、英国、日本、韩国等监管机构、网络安全专家以及国际组织纷纷发出警告,启动风险防控措施和移动AI安全治理。密集风险暴露引发全球安全警钟 “作为开源领域的典型代表作为人工智能领域,OpenClaw凭借其强大的自然语言交互和任务执行能力,在短时间内迅速引起了广泛的关注和应用。但由于其开放性和高度特权的特点,也引起了网络安全领域的广泛关注,存在许多安全问题亟待解决。作为我国人工智能领域的专家、学者,浙江大学光华法学院特聘邱教授熊民辉先生对OpenClaw十分关注,他在接受《法治日报》记者采访时,形象地将Open的第三方技能包Claw,或者说依赖库,比作攻击者的“木马”:“恶意攻击者通过修改软件包、植入后门、或者利用已知漏洞等方式进入。”成功渗透企业内部网可以窃取企业机密“设备层面和系统层面的安全风险同样严重。”熊明辉先生为了完成一项复杂的任务,他解释道,OpenClaw在开发和运行过程中往往需要更高的系统权限,如果软件本身存在配置漏洞或未修补的漏洞,则可能会暴露主机的敏感信息(如密钥和设置),攻击者可以借此接管设备,将其集成到系统中。此外,当OpenClaw充当个人助理并处理大量敏感个人信息(例如通讯录、日程安排、聊天记录)时,安全保护的薄弱环节可能会导致这些数据被窃取和滥用。“在金融交易功能集成的地方,如果代理被攻破,攻击者可以诱使代理进行错误转账、欺诈查询等操作,直接造成用户财产损失,动摇数字经济的信任基础。”为此,熊明辉认为OpenClaw是一把双刃剑,不仅带来效率的革命,也带来多方面的安全挑战。3月8日,网络安全漏洞与威胁信息共享平台上线我国工业和信息化部(NVDB)发布预警后,美国网络安全公司CrowdStrike在专题报告中指出,开源AI代理OpenClaw的部分实例在默认情况下或配置错误存在较高安全风险,极易导致网络攻击、信息泄露等安全问题。远高于传统对话式人工智能。一旦被劫持,可以直接完成劫持用户设备、窃取敏感信息、修改基础数据等操作。损害包括个人隐私、企业商业秘密和信息公开。日本、韩国多家大公司和金融机构已发布紧急通知,全面禁止在办公设备上安装OpenClaw,严防核心业务数据泄露。英国事务信息专员办公室也发布风险警告,提醒公共服务机构谨慎使用移动AI工具,避免公民个人信息被非法窃取。多方协作,打造立体安全防护网。面对OpenClaw带来的系统性安全风险,许多国家的政府、科技公司和安全机构已经建立或正在建立EMER机构安全保护系统。美国联邦通信委员会和联邦贸易委员会联合发布规范和临时法规,要求像OpenClaw这样的移动AI严格执行三个基本要求:最低权限、可追溯的操作以及高风险行为的人工审查。欧盟已正式将OpenClaw纳入高风险AI监控范围,并加强了数据合规和隐私保护要求。韩国、加拿大、澳大利亚等国家很快纷纷效仿,发布了具体的使用指南和安全标准。我国网信、工业和信息化等部门同步完善开源人工智能安全评估指南,强化供应链安全监管,强化开发者和用户的双重安全责任。 “在人工智能应用的浪潮中,“我们需要构建多层防护体系,保护最后一道防线的安全性、可控性和可靠性。”熊明辉将这套防御体系概括为“四维”防线。第一道防线侧重于安全配置和权限管理。实行“最小权限”原则,确保AI代理只能访问完成任务所需的最少数据集和操作权限。第二道防线致力于链上安全。供应AI生态系统开放,引入第三方插件和技能包扩大了潜在的攻击面。必须建立严格的审查机制,对进口组件进行全面的安全审查,以确保来源可信、代码修订和合规性。行业需要制定统一的安全标准和行为准则,为开发者和用户等关键领域提供明确的指导。与金融、能源等企业一样,企业必须建立严格的内部合规框架,确保人工智能应用符合数据安全和隐私保护相关的法律法规,并将合规要求纳入企业运营的各个流程。第四道防线将尖端技术与人的因素结合起来。通过持续的安全培训和清晰的风险沟通,参与者提高安全意识和操作能力,确保安全文化渗透到人工智能生命周期的各个方面。 “人工智能安全治理需要全球视野,各国应加强合作,共同制定国际安全标准和监管框架,建立威胁情报共享机制,共同应对网络风险。只有构建‘技术防护、管理规范、合规限制、用户教育’五位一体的纵深防御体系,才能实现人工智能安全治理。”熊民辉表示,构建国际社会团结的长期安全体系的知识。OpenClaw的全球普及,标志着人工智能正式进入行动时代。技术发展潜力巨大,但不能超越安全极限。只有建立长期治理体系,才能真正保持安全、可控、可靠的发展回报。许多政府、国际组织和科学界联合国教科文组织发布了《2026年国际人工智能安全报告》,旨在建立跨境移动人工智能安全基线,促进相互监管认可和标准协调。国家标准化管理委员会与国际电工委员会共同推广专用标准ISO/IEC27090。该标准将于今年晚些时候正式推出,重点关注预防网络安全和控制人工智能系统。全球第一本权威指南。欧盟表示将继续完善AI法的配套内容,加强对AI.To移动全生命周期的监管。美国提出建立移动AI安全认证制度,未通过认证的产品不得向公众销售。我国正在加快采用开源供应链安全标准,明确开发者、平台和用户的责任,建立完善的问责机制。全球机构的监管正在逐步统一和规范。在国际合作方面,联合国两国多次发表联合声明,呼吁各国加强移动人工智能安全合作,共同打击基于人工智能的网络犯罪、数据盗窃和间谍活动。 G7与金砖国家建立正式安全沟通机制,开展跨境应急联合演练,提升合作应对能力。日本积极参与全球人工智能治理规则制定,推动形成多边、透明的治理体系,为全球移动人工智能安全发展贡献中国方案和中国智慧。全球多国专家共同呼吁移动人工智能恪守伦理准则,列出不可接受的风险清单,确保人类始终拥有最终控制权,确保技术进步始终服务于人类共同利益。从技术爆炸到风险预警,从应急响应到长期治理,OpenClaw的崛起走向全球关注这一概念深刻地说明了我们进入行动时代时人工智能所面临的机遇和挑战。国际社会一致宣称,安全是人工智能创新发展的前提和基础。只有各国共同努力,政府和企业协同,全民参与,严守安全目标,完善治理体系,凝聚国际共识,才能真正构筑移动人工智能安全的坚强防线。 □记者赵阳
(编辑:何欣)