爆红 “龙虾” 有风险 依法使用是关键
近期,开源AI智能体 “龙虾”(OpenClaw)因能自主执行文件管理、数据处理等复杂任务迅速走红,却因安全漏洞频发被工信部、国家互联网应急中心接连发布风险提示。
作为新兴的AI智能工具,“龙虾” 的使用不仅关乎个人与企业的网络安全,更需在《网络安全法》《网络产品安全漏洞管理规定》《生成式人工智能服务管理暂行办法》等法律法规框架下开展,厘清权责边界、严守法律底线,成为使用这类智能工具的必备前提。
从法律属性来看,“龙虾” 作为具备自主决策和系统资源调用能力的网络产品,其研发者、运营者及使用者均受网络安全相关法律约束。根据《网络产品安全漏洞管理规定》第二条,境内的网络产品提供者和运营者,以及从事漏洞发现、收集的组织和个人,都必须遵守该规定。而新修订的《网络安全法》更是首次将人工智能安全治理纳入法律框架,明确要求对AI技术进行风险监测评估和安全监管,这意味着 “龙虾” 这类 AI 智能体的研发与应用,从诞生之初就被纳入法治监管范畴。
从现实风险来看,“龙虾” 存在的提示词注入、误操作、技能包投毒、安全漏洞等问题,不仅是技术隐患,更可能触碰法律红线。根据《网络产品安全漏洞管理规定》第四条,任何组织和个人不得利用网络产品安全漏洞从事危害网络安全的活动,也不得为这类活动提供技术支持。实践中,若有人恶意制作并传播被植入病毒的 “龙虾” 技能包,导致用户数据泄露、系统被控制,轻则违反《网络安全法》第六十三条,面临行政处罚;重则构成非法侵入计算机信息系统罪、侵犯公民个人信息罪等,被依法追究刑事责任。而对于研发者而言,若发现产品漏洞未按规定及时修补和报告,根据《网络产品安全漏洞管理规定》第七条、第十二条,需在2日内向工信部漏洞信息共享平台报送,否则将被工信、公安部门依法处理。
对于 “龙虾” 的使用者,无论是个人还是党政机关、企事业单位,都需履行法定的网络安全保护义务。《网络安全法》第二十一条明确要求,网络运营者应当落实网络安全保护责任,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。结合官方发布的风险提示,使用者需做到 “合法使用、主动防范”:
一是不得将 “龙虾” 实例暴露于公网,确需联网的应采取加密认证措施,避免因配置不当成为网络攻击的突破口;
二是坚持最小权限原则,严禁使用管理员权限运行,对删除文件、修改系统配置等操作进行二次确认,这既是技术要求,也是履行网络安全保护义务的法定体现;
三是审慎使用第三方技能包,拒绝来源不明的插件,防止恶意代码入侵,若发现恶意技能包,应按规定向工信部漏洞平台报送,配合监管部门处置。
此外,《生成式人工智能服务管理暂行办法》也为 “龙虾” 的使用划定了边界,要求人工智能工具的使用不得危害国家安全和社会公共利益,不得非法收集、使用个人信息。“龙虾” 具备读取本地文件、访问环境变量的能力,若使用者利用其非法获取他人信息,或企业在使用中未采取有效措施保护用户数据,将违反《个人信息保护法》相关规定,承担民事赔偿、行政处罚等责任。而党政机关、金融、能源等关键行业使用该工具时,更需遵守关键信息基础设施安全保护的特殊规定,防止核心数据泄露,维护国家网络安全。
AI 智能体的发展是技术进步的必然趋势,“龙虾” 的出现为产业创新和生活便利提供了新可能,但网络安全没有 “试错空间”,法律底线更不容触碰。研发者需履行漏洞修补和报告的法定义务,筑牢技术安全防线;使用者要树立法治意识,严格落实安全配置要求,审慎使用智能工具;监管部门则需持续加强动态监管,依法打击利用 AI 漏洞实施的违法犯罪行为。唯有让技术创新在法治轨道上运行,才能真正实现 AI 产业的健康发展,让智能工具成为安全、高效的生产生活助手。
