圖標形似小龍蝦的開源AI智能體OpenClaw，被網友親切稱為“龍蝦”，憑借可在個人設備上本地部署、能自主完成各類指令的核心亮點，迅速掀起“養龍蝦”熱潮，成為科技圈的熱門話題。與此同時，國內主流雲平台紛紛伸出橄欖枝，開放一鍵部署服務，社交平台上甚至出現了上門代裝服務，足見其受歡迎程度。

熱潮之下，卻藏著不容忽視的網絡安全隱患與法律風險。工信部、國家互聯網應急中心先后發布預警，明確這款工具存在較高安全風險，這些潛藏的法律“雷區”，值得每一位使用者時刻警惕。

網絡安全須謹慎

配置不當自負責

目前，OpenClaw存在的最為明顯的短板，是信任邊界不清晰，缺乏完善的權限管理和操作記錄機制。用戶若默認設置不變或配置不當，很容易造成違規操作或被惡意控制，進而引發網絡攻擊、個人信息泄露等問題。如深圳某程序員安裝OpenClaw后僅三天，便收到了1.2萬元的使用賬單，原因是未做好安全配置，導致AI在后台自動調用相關服務產生巨額費用。

此外，還有用戶因未關閉公網訪問權限，導致設備被他人惡意控制、敏感文件泄露﹔因未履行安全配置義務，被相關部門責令整改並處罰款。

根據《網絡安全法》相關規定，網絡使用者需做好等級保護、數據加密、操作日志留存等安全措施。若未履行這些義務，可能被處以1萬元以上10萬元以下罰款，相關責任人還可能面臨5000元以上5萬元以下罰款﹔若造成嚴重后果，還需承擔民事賠償，甚至追究刑事責任。

數據隱私須守護

盜版插件藏隱患

使用OpenClaw需授權其讀取本地文件、瀏覽記錄等信息，本就存在信息泄露的基礎風險，而盜版插件的出現，更是將這一風險直接放大。

國家互聯網應急中心已正式發布預警，明確指出OpenClaw的部分插件存在“投毒”風險。這類盜版插件多由黑灰產私自篡改原版代碼制作而成，常被非正規的上門代裝、遠程代裝服務暗中安裝在用戶設備中。不少非正規代裝服務提供者會誘導用戶進行“一鍵全授權”，讓盜版插件獲得無差別的設備訪問權限，導致用戶個人信息、數據隱私等內容脫離安全監管。

根據《個人信息保護法》相關規定，處理金融賬戶等敏感個人信息，應當獲得用戶單獨同意，不能搞“一鍵全授權”的捆綁操作。

代養賺錢需抵制

躺贏分紅是騙局

隨著“養龍蝦”熱潮興起，社交平台上還涌現出大量“代養OpenClaw賺收益”的宣傳，不少機構和個人打著“代養龍蝦、躺贏高分紅”“零成本操作、被動賺佣金”的旗號，吸引普通用戶交出設備權限、付費加盟所謂“代養團隊”，聲稱隻需提供個人設備、無需任何操作，就能獲得高額收益。

這看似誘人的“躺贏”背后，可能藏著黑灰產設下的騙局和陷阱。這些所謂的代養服務，可能是利用用戶的設備和授權，在設備中安裝魔改版OpenClaw，進而從事批量注冊賬號、刷單、網絡攻擊等違法犯罪活動。而所謂的“分紅佣金”只是吸引用戶入局的誘餌，多數用戶最終不僅拿不到任何收益，還會因將設備交由他人用於違法活動，無意間成為黑灰產的“幫凶”。

根據我國《刑法》相關規定，明知他人利用網絡實施違法犯罪，仍提供技術支持或幫助，情節嚴重的可能構成幫信罪。相關司法解釋也明確，向他人提供專門用於違法犯罪的程序、工具或者其他技術幫助的，可以直接認定行為人明知他人在利用網絡實施犯罪。

開源使用守邊界

知識產權嚴保護

OpenClaw採用的是MIT開源協議，這種協議雖然給開發者提供了寬鬆的二次開發空間，允許修改、使用代碼，但並不意味著可以隨心所欲、不受約束。開源協議的核心，是平衡代碼傳播與開發者的合法權益。無論是普通用戶還是開發者，在對OpenClaw進行二次開發、修改或分享衍生作品時，都必須保留原始的版權聲明、附上協議原文，不能違反協議約定擅自將修改后的代碼閉源，更不能惡意篡改版權信息。

如江蘇某法院審理的“OfficeTen1800”軟件侵權案，該案被最高人民法院評為知識產權法庭成立五周年100件典型案例之一。該案中，某科技公司基於OpenWrt開源代碼，自行編寫26萬多行源代碼，二次開發出“OfficeTen1800”軟件，因付出了獨創性勞動，依法享有獨立著作權。但另一家公司復制、修改該軟件代碼，以“開源代碼可以隨意使用”為由辯解，經法院認定構成著作權侵權。同理，若修改OpenClaw代碼后，沒有遵守MIT協議要求，擅自閉源分享或篡改版權信息，也可能面臨著作權侵權的追責。

【法官提示】

謹慎使用“一鍵全授權”

結合工信部預警及相關法律規定，為普通用戶和研發人員在“養龍蝦”時提供以下建議：一是規范部署，履行安全義務。根據《網絡安全法》相關要求，優先選擇虛擬機或閑置設備部署，避免在存儲敏感信息的設備上使用﹔關閉不必要的公網訪問，定期完善安全防護機制。二是堅守正版，規避侵權風險。拒絕使用破解版、魔改版，嚴格遵守MIT開源協議，保留原始版權聲明，避免涉嫌著作權侵權。三是合規授權，保護個人信息。遵守《個人信息保護法》相關規定，謹慎使用“一鍵全授權”，防止敏感個人信息泄露。四是留存痕跡，明確責任邊界。留存使用操作日志，對AI高風險指令進行人工確認﹔代裝服務提供者需遵守法律規定，明確告知用戶風險、留存相關記錄，防范連帶責任。

文/張春曉（北京市第一中級人民法院）