OpenClaw热潮来袭 “养龙虾”需谨慎
图标形似小龙虾的开源AI智能体OpenClaw,被网友亲切称为“龙虾”,凭借可在个人设备上本地部署、能自主完成各类指令的核心亮点,迅速掀起“养龙虾”热潮,成为科技圈的热门话题。与此同时,国内主流云平台纷纷伸出橄榄枝,开放一键部署服务,社交平台上甚至出现了上门代装服务,足见其受欢迎程度。
热潮之下,却藏着不容忽视的网络安全隐患与法律风险。工信部、国家互联网应急中心先后发布预警,明确这款工具存在较高安全风险,这些潜藏的法律“雷区”,值得每一位使用者时刻警惕。
网络安全须谨慎
配置不当自负责
目前,OpenClaw存在的最为明显的短板,是信任边界不清晰,缺乏完善的权限管理和操作记录机制。用户若默认设置不变或配置不当,很容易造成违规操作或被恶意控制,进而引发网络攻击、个人信息泄露等问题。如深圳某程序员安装OpenClaw后仅三天,便收到了1.2万元的使用账单,原因是未做好安全配置,导致AI在后台自动调用相关服务产生巨额费用。
此外,还有用户因未关闭公网访问权限,导致设备被他人恶意控制、敏感文件泄露;因未履行安全配置义务,被相关部门责令整改并处罚款。
根据《网络安全法》相关规定,网络使用者需做好等级保护、数据加密、操作日志留存等安全措施。若未履行这些义务,可能被处以1万元以上10万元以下罚款,相关责任人还可能面临5000元以上5万元以下罚款;若造成严重后果,还需承担民事赔偿,甚至追究刑事责任。
数据隐私须守护
盗版插件藏隐患
使用OpenClaw需授权其读取本地文件、浏览记录等信息,本就存在信息泄露的基础风险,而盗版插件的出现,更是将这一风险直接放大。
国家互联网应急中心已正式发布预警,明确指出OpenClaw的部分插件存在“投毒”风险。这类盗版插件多由黑灰产私自篡改原版代码制作而成,常被非正规的上门代装、远程代装服务暗中安装在用户设备中。不少非正规代装服务提供者会诱导用户进行“一键全授权”,让盗版插件获得无差别的设备访问权限,导致用户个人信息、数据隐私等内容脱离安全监管。
根据《个人信息保护法》相关规定,处理金融账户等敏感个人信息,应当获得用户单独同意,不能搞“一键全授权”的捆绑操作。
代养赚钱需抵制
躺赢分红是骗局
随着“养龙虾”热潮兴起,社交平台上还涌现出大量“代养OpenClaw赚收益”的宣传,不少机构和个人打着“代养龙虾、躺赢高分红”“零成本操作、被动赚佣金”的旗号,吸引普通用户交出设备权限、付费加盟所谓“代养团队”,声称只需提供个人设备、无需任何操作,就能获得高额收益。
这看似诱人的“躺赢”背后,可能藏着黑灰产设下的骗局和陷阱。这些所谓的代养服务,可能是利用用户的设备和授权,在设备中安装魔改版OpenClaw,进而从事批量注册账号、刷单、网络攻击等违法犯罪活动。而所谓的“分红佣金”只是吸引用户入局的诱饵,多数用户最终不仅拿不到任何收益,还会因将设备交由他人用于违法活动,无意间成为黑灰产的“帮凶”。
根据我国《刑法》相关规定,明知他人利用网络实施违法犯罪,仍提供技术支持或帮助,情节严重的可能构成帮信罪。相关司法解释也明确,向他人提供专门用于违法犯罪的程序、工具或者其他技术帮助的,可以直接认定行为人明知他人在利用网络实施犯罪。
开源使用守边界
知识产权严保护
OpenClaw采用的是MIT开源协议,这种协议虽然给开发者提供了宽松的二次开发空间,允许修改、使用代码,但并不意味着可以随心所欲、不受约束。开源协议的核心,是平衡代码传播与开发者的合法权益。无论是普通用户还是开发者,在对OpenClaw进行二次开发、修改或分享衍生作品时,都必须保留原始的版权声明、附上协议原文,不能违反协议约定擅自将修改后的代码闭源,更不能恶意篡改版权信息。
如江苏某法院审理的“OfficeTen1800”软件侵权案,该案被最高人民法院评为知识产权法庭成立五周年100件典型案例之一。该案中,某科技公司基于OpenWrt开源代码,自行编写26万多行源代码,二次开发出“OfficeTen1800”软件,因付出了独创性劳动,依法享有独立著作权。但另一家公司复制、修改该软件代码,以“开源代码可以随意使用”为由辩解,经法院认定构成著作权侵权。同理,若修改OpenClaw代码后,没有遵守MIT协议要求,擅自闭源分享或篡改版权信息,也可能面临著作权侵权的追责。
【法官提示】
谨慎使用“一键全授权”
结合工信部预警及相关法律规定,为普通用户和研发人员在“养龙虾”时提供以下建议:一是规范部署,履行安全义务。根据《网络安全法》相关要求,优先选择虚拟机或闲置设备部署,避免在存储敏感信息的设备上使用;关闭不必要的公网访问,定期完善安全防护机制。二是坚守正版,规避侵权风险。拒绝使用破解版、魔改版,严格遵守MIT开源协议,保留原始版权声明,避免涉嫌著作权侵权。三是合规授权,保护个人信息。遵守《个人信息保护法》相关规定,谨慎使用“一键全授权”,防止敏感个人信息泄露。四是留存痕迹,明确责任边界。留存使用操作日志,对AI高风险指令进行人工确认;代装服务提供者需遵守法律规定,明确告知用户风险、留存相关记录,防范连带责任。
文/张春晓(北京市第一中级人民法院)