智能治理||闫佳琦:OpenClaw驱动知识生产传播的实践逻辑与失范风险

OpenClaw将主动权从平台归还给用户的同时，安全责任也从平台转移至用户个体。目前，OpenClaw的数据安全风险呈现分散化、个体化特征，以用户本地设备为默认且唯一的权威存储节点，缺乏云端架构中专业安全团队的统一防护、异地备份、入侵检测等系统性保障。2026年3月，国家互联网应急中心发布《关于OpenClaw安全应用的风险提示》指出，该应用默认的安全配置极为脆弱，攻击者一旦发现突破口，便能轻易获取系统的完全控制权。这意味着大量用户将OpenClaw相关敏感信息以明文形式存储于本地，一旦系统被突破，数据将毫无防护地被窃取。

用户隐私防护能力的差异，诱发数据泄露风险强度的差异。OpenClaw带来安全防护能力的新型数字鸿沟，或将进一步加剧数字不平等。传统意义上的数字鸿沟，主要体现为不同群体在接入层面的差距，关键在于能否使用。而OpenClaw架构所引发的是安全防护能力层面的隐形鸿沟，关键在于能否安全地使用，避免因本地数据泄露而被迫限制使用或承担更高风险。安全防护能力的鸿沟，不再具象表现为使用率的差距，而表现为使用安全、使用深度与使用信任的参差不齐。

OpenClaw独特的技能插件生态既是优势，也是恶意投毒攻击的风险温床。ClawHub作为官方插件平台，允许开发者自由上传，却未能同步构建有效的代码审核机制，致使大量恶意技能插件混迹其中，众创的活力转化为风险的入口。国家网络与信息安全信息通报中心的数据显示，截至2026年3月13日，OpenClaw历史披露漏洞多达258个，包含恶意代码的技能插件占比高达10.8%，间接引入安全隐患技能插件占比高达17.7%^［9］。同时，近期安全事件显示，OpenClaw遭遇新型窃密木马，其以OpenClaw敏感个人信息为目标，对其配置文件进行针对性窃取与外传。

面对这一风险，对用户层面而言，安装前需加强审查并谨慎下载。但现实情况是，进行全面的恶意代码检测对于普通用户来说仍具有较高门槛。对社区层面而言，更要肩负起探索自动化审核工具的重任，完善技能插件安全性检查工具，通过构建恶意插件的快速响应与下架流程、完善开发者身份认证与溯源体系等举措，真正将开放与审核纳入统一框架。

OpenClaw的自主执行能力带来非确定性的行为模式，意味着相同输入可能产生迥然不同的工具选择与未知结果，由此衍生出执行失控风险。执行失控具体表现为三重风险的叠加效应：一是经济层面的计算资源消耗，一旦智能体自主执行过程中遭遇报错或失败，其自动重试机制将可能产生极为可观的费用损失。二是数据层面的系统文件误操作，智能体面对模糊指令时会自行脑补信息，甚至进行删除操作时也会跳过用户确认环节。三是法律合规层面，可能演变为对用户数字主权的根本性挑战。

执行失控风险蕴含着智能体迈向准主体的危险越界。当前，智能体普遍基于目标导向的行为逻辑，在有限边界内执行指令的约束意识还有欠缺。其一为越权执行，对用户指令等主观性内容理解偏差，超越用户授予的任务边界，执行未被授权的操作；其二为无视指令，由于遗忘上下文等技术缺陷，与用户意图发生显性背离，甚至在用户喊停时仍按既有路径执行；其三为自主膨胀，为完成目标而主动突破系统边界、调用未授权资源，甚至有意探索绕过人类监管的违规路径。更深层的是，即使智能体可以计算“如何去做”的最优解，也仍缺乏“是否该做”的价值判断，可能存在工具理性对价值理性的僭越。鉴于智能体行动速度之快、所涉环节之多，事后追责往往为时已晚，建立熔断机制的重要性在于，将风险防范从被动补救转变为主动嵌入，在智能体自主性与人类控制权之间设立一道可前置激活的安全闸门。

OpenClaw作为连接用户与大模型之间的智能中枢，将人类模糊的自然语言指令转化为机器可执行的精确操作序列，这个转化过程蕴含着人机对齐的巨大张力。人类表达具有天然的含混性、语境依赖性，习惯性默认对方具备与自身相似的背景知识、价值判断与常识约束。而智能体恰恰缺乏这种不言自明的语境场景，其对于确定性、可分解性与逻辑闭合性的追求，极易将多维度的人类意图压缩为单一可量化目标，导致可计算的目标被优先执行，不可量化的价值约束与情境条件被系统性忽视。由此，认知对齐、价值对齐等风险随之显现。

面对人机对齐风险，多视角交叉的协同校验尤为关键。一是优化意图显性化机制，智能体在接受指令后，可向用户复述其理解的任务目标与操作边界，将默会的理解转化为显性的确认，在行动前完成第一层校准。二是强化关键节点反馈，对于复杂任务，可在完成每个子目标后向用户报告进展并等待下一步指令，而非一次性执行完整序列，使人类始终保持对任务进程的感知与干预能力。三是多模型协同校验，将同一指令交由不同模型分别理解，对比其解析结果，当出现显著分歧时触发人工介入。由此，帮助用户弥合人机协同的对齐偏差，形成一套持续校准、多方验证、动态反馈的对齐机制。