开源智能体法律风险的审视与治理

李鑫 周俊杰
　　近日爆火的开源智能体OpenClaw（中文俗称“龙虾”）标志着人工智能从“对话交互”走向“自主执行”的突破性发展，但技术发展的同时，风险也随之浮现，国内外监管机构、科技巨头均对其发布安全风险警示，如何在技术创新与风险防控之间实现动态平衡，是当前亟需回应的关键问题。今年的《政府工作报告》中指出，“深化拓展‘人工智能+’，促进新一代智能终端和智能体加快推广”，并提出“支持人工智能开源社区建设”“完善人工智能治理”，这一部署对开源智能体技术的发展与风险防控指出了明确路径。

一、开源智能体的范畴界定与技术特征
　　开源智能体是指基于开源协议开放核心代码，以大语言模型作为推理核心，具备自主感知、目标拆解、工具调用、闭环执行能力的人工智能系统。开源智能体能够通过记忆和规划模块，将复杂任务分解并执行，区别于传统生成式人工智能只能进行信息的输出，开源智能体可以实现跨时序的状态感知与经验调用，直接完成任务并交付，并且还支持社区协作开发、功能模块化扩展及用户自主部署。
　　开源智能体具有任务执行的自主性，能够将复杂指令拆解为多个步骤，然后调用本地系统资源、外部API与第三方插件，完成文件管理、数据处理等复杂任务的闭环执行。由于开源智能体的代码是公开可修改的，用户可以通过安装社区开发的技能插件，对系统功能进行个性化定制，具有开放共享的技术生态。开源智能体还具有较强的跨场景适配能力，用户可以通过即时通讯工具等多种入口进行交互，实现智能体的使用与日常工作流的无缝融合。系统支持本地私有化部署与云端协同的技术特征赋予了开源智能体强大的应用价值，但同时也埋下了风险的隐患。

二、开源智能体应用的多重法律风险
　　以OpenClaw为例，即使用户将其更新至官网的最新版本，也并不代表完全消除其存在的安全风险，其风险主要体现在以下四个方面。
　　第一，技术架构风险。为实现开源智能体的自主执行能力，系统具有访问本地文件系统、读取环境变量、调用外部API等高阶权限，但默认配置缺乏严格的权限隔离与操作审计机制，攻击者通过诱导或漏洞就能使AI执行越权操作，甚至完全接管用户系统。此外，“AI幻觉”问题可能会导致误删核心数据或执行错误操作，即使用户连续发出停止指令，系统也可能无法及时中止进程。
　　第二，网络安全风险。开放性的开源生态模式使得供应链风险突出，在开源智能体官方插件市场ClawHub中，检测出超过36%的插件含恶意代码，被“投毒”的技能包可以执行窃取凭证、部署木马等操作，会导致设备沦为受控终端。目前，已经公开的提示词注入漏洞、ClawJacked远程控制漏洞等表明，攻击者仅通过诱导用户访问恶意网页即可实现远程操控本地运行的智能体，对个人设备与企业网络安全构成严重威胁。
　　第三，数据安全与个人信息保护风险。开源智能体通过屏幕截图、系统接口调用等方式进行数据收集，其捕捉的用户行为轨迹、聊天记录、支付凭证等信息远超过功能实现所需要的范围，违反了个人信息保护“最小必要”的原则。敏感个人信息处理的“单独同意”义务亦难以落实，开源智能体在自主执行数据处理操作时，用户无法实时掌握数据处理的范围与流向，导致个人信息保护陷入被动。在数据存储与传输过程中，API密钥、身份凭证等敏感数据默认以明文形式存储，存在数据泄露风险，若调用云端大语言模型时未采取加密措施，易引发跨境流动合规风险。
　　第四，法律责任界定模糊风险。开源智能体生态涉及多方主体，在司法实践中，大多参照产品责任规则处理人工智能相关纠纷，但对于可以自主决策执行的开源智能体，算法提供者、系统运营者、终端使用者及插件提供方等各方面的责任如何划分尚缺乏明确的法律依据，易导致纠纷发生后责任归属不清、追责困难等问题。

三、开源智能体监管现状与治理困境
　　面对开源智能体的爆火，我国监管机构迅速响应，多部门协同进行风险预警。中央网信办数据与技术保障中心从技术架构、数据隐私等维度梳理风险，呼吁强化治理；互联网应急中心、工信部也先后发布安全风险提示，提出权限管控、插件审核等具体防范要求。在立法层面，《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等已经构成基础规制框架，《生成式人工智能服务管理暂行办法》确立的分类分级监管原则也为开源智能体的治理提供一定参考，部分地方积极响应，出台开源智能体管理规范或者发展规划，通过对现有法律体系的灵活适用与规则细化，逐步完善开源智能体的治理依据。
　　国际社会同样已着手构建开源智能体治理框架，呈现出差异化的治理路径。欧盟的人工智能法采用风险分级监管机制；荷兰数据保护局发布专项警告，呼吁强化全生命周期安全评估；美国则通过行业自律与技术标准先行，鼓励企业建立安全防护机制。
　　当前，开源智能体治理面临三重核心困境。其一，法律规范滞后于技术发展。现有法律主要针对传统AI应用制定，对开源生态的多主体责任划分、权限边界界定、跨境数据流动等新型问题缺乏针对性规定。难以覆盖全链条风险。其二，监管手段存在局限。开源智能体的去中心化特性导致监管难度大，传统行政监管难以应对海量分散的用户部署与插件开发行为，技术监测能力也滞后于攻击手段升级。其三，协同治理机制尚未健全。政府、企业、社区、用户之间缺乏有效联动，现有规范多为风险提示与行政指导，缺乏统一标准，难以形成治理合力。

四、开源智能体的敏捷治理模式构建
　　针对开源智能体应用中风险复杂多变的情况，相关部门应建立敏捷治理模式，此模式的主要内涵有以下五个方面。
　　首先，秉持敏捷治理理念，动态适配技术发展。传统静态监管模式难以跟上开源智能体快速迭代的步伐，而敏捷治理强调在发展中完善规则、在应用中明确边界，通过政策制定者、技术开发者、安全研究机构与终端用户的高频互动与协同应对，实现安全保障与技术创新的动态平衡。针对开源智能体更新速度快、应用场景丰富的特征，相关部门可采用监管沙盒模式，在特定领域划定创新试验范围，同步开展风险评估与规则优化。对涉及国家安全、公共利益、生命财产安全的高风险场景实行严格监管，对一般应用场景秉持包容审慎态度，同时，建立风险等级动态调整机制，依据技术发展与漏洞变化实时调整监管力度，确保治理措施与实际风险状况相匹配。
　　其次，筑牢技术防护基础，构建网络安全屏障。相关部门强化权限管控，严格落实最小权限原则，确保智能体仅能访问完成任务必需的最小数据集与操作权限，对高危操作实行二次确认、人工审核与应急切断机制；严把供应链安全关口，将第三方插件和依赖库纳入全流程监管，防范恶意投毒攻击；提升漏洞应急处置能力，搭建漏洞信息共享平台，推动多方协同开展漏洞排查与修复，畅通快速披露与补丁推送渠道；加强技术防护支撑，推广容器化隔离、日志审计、加密存储等安全技术，从源头规避配置疏漏引发的系统安全隐患。
　　再次，强化数据合规管理，保护个人信息安全。落实数据安全影响评估制度，对处理大量个人信息的开源智能体，要求定期开展合规评估并公示结果，完善数据泄露应急处置流程，明确通知义务、补救措施与赔偿责任。规范数据存储与传输行为，对敏感数据实行强制加密保护，境外模型调用须严格履行数据出境安全评估程序。同时，建立差异化的个人信息保护机制，区分一般信息与敏感信息制定不同处理规则，明晰开源智能体在个人信息处理中的行为边界，并为用户提供便捷的授权撤回途径。
　　又次，完善法律规则体系，健全多方责任框架。明确智能体的工具属性，否定其法律主体资格，确立以人为本、技术向善的核心价值。责任分配上建立穿透式追责机制，对开发者适用过错推定，对运营者适用严格责任，建立行为归因识别机制，探索代理行为的权责溯源路径。推动行业制定统一的安全标准与行为规范，为开发者和使用者提供清晰的合规指引，实现监管要求与行业实践的有效衔接。
　　最后，构建多元共治格局，凝聚协同治理合力。政府部门应强化统筹协调，建立跨部门监管联动机制，加强技术监管能力建设，推动与国际监管规则的衔接互认。企业需落实安全主体责任，加强开源项目的安全维护与合规审查，推动行业自律准则的义务化转化，建立技能插件安全认证体系，制定技术指引。开源社区建立自律规范，推行代码安全审查机制，培育安全文化，引导开发者遵守合规要求。公众应提高数字素养，提升风险识别能力。最终，在我国形成政府监管、企业主责、社区自律、用户参与的协同治理生态。
　　作者李鑫系四川大学法学院教授，周俊杰系四川大学法学院智慧司法研究所助理研究员